Délibération n° 2019-83 du 15 mai 2019 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les modalités de dépôt et la durée de conservation des cookies et autres traceurs sur les terminaux d'utilisateurs de réseaux de communication électronique.

Vu la Constitution ;
Vu le Pacte international relatif aux droits civils et politiques du 16 décembre 1966, rendu exécutoire par l'Ordonnance Souveraine n° 13.330 du 12 février 1998 ;
Vu la Convention de sauvegarde des droits de l'homme et des libertés fondamentales du Conseil de l'Europe du 4 novembre 1950, rendue exécutoire par l'Ordonnance Souveraine n° 408 du 15 février 2006 ;
Vu la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe du 28 janvier 1981, ainsi que son Protocole additionnel du 8 novembre 2001 ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Conformément à l'article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d'informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. À ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Aussi elle souhaite, par la présente recommandation, préciser les grands principes applicables aux modalités de dépôt des cookies et autres traceurs sur les terminaux d'utilisateurs de réseaux de communication électronique, et aux durées de conservation de ceux-ci.
Les cookies s'entendent comme de petites suites d'informations déposées dans le terminal d'un utilisateur par le serveur du site Internet visité par ce dernier et/ou par un serveur tiers. En fonction de leur nature, ils peuvent concourir à différents objectifs : cookies permettant le fonctionnement du site, cookies permettant une analyse du comportement de l'internaute, cookies publicitaires, cookies de réseaux sociaux...
Les principes ainsi consacrés par la présente délibération s'appliquent à tous les types de responsables de traitement, quelle que soit la formalité à laquelle ils sont soumis.

I. Information des personnes et recueil du consentement

À titre liminaire, il convient de préciser que l'article 14-2 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives dispose que :
« L'utilisation de réseaux de communications électroniques en vue de conserver des informations ou d'accéder à des informations conservées dans l'équipement terminal d'un abonné ou d'un utilisateur doit être précédée d'une information claire et complète de l'utilisateur ou de l'abonné, sur la finalité du traitement et sur les moyens dont il dispose pour s'y opposer.
Sont qualifiés de réseaux de communications électroniques les systèmes de transmission et, le cas échéant, les équipements de commutation ou de routage ainsi que les autres ressources qui permettent l'acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d'autres moyens électromagnétiques.
Il est interdit de subordonner l'accès à un service disponible sur un réseau de communications électroniques à l'acceptation, par l'abonné ou l'utilisateur concerné, du traitement des informations stockées dans son équipement terminal, sauf si la conservation ou l'accès technique visent exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou sont strictement nécessaires à la fourniture d'un service expressément demandé par l'abonné ou l'utilisateur »
Il s'en infère que :
- les cookies strictement nécessaires au fonctionnement d'un site Internet peuvent être déposés dans le terminal d'un utilisateur sans recueil de son consentement ;
- les autres cookies doivent être acceptés par les internautes avant leur dépôt. En cas de refus, le site doit demeurer accessible et fonctionnel.
Pour ce faire, la Commission rappelle donc la nécessité d'insertion d'un bandeau s'affichant dès l'arrivée d'un Internaute sur le site visité. Elle demande à ce qu'aucun cookie autre que de fonctionnement ne soit déposé dans le terminal de l'utilisateur sans que ce dernier n'ait donné son consentement. À défaut, son consentement serait vicié, d'autant plus que certains cookies tiers peuvent transmettre des informations à des entités tierces autres que l'éditeur du site visité.
À cet égard, elle tient à préciser que le bandeau ne doit pas être utilisé uniquement à des fins informatives mais doit permettre l'approbation ou la désactivation du dépôt de cookies directement sur le site par une action positive de la personne concernée, si possible par typologie de cookie (publicitaires, analytiques, réseaux sociaux, etc.) avec une option permettant un refus global exprimé en une seule fois.
Sur ce point elle précise qu'une information indiquant aux internautes comment paramétrer le(s) navigateur(s) qu'ils utilisent ne remplit pas ces conditions.
Enfin, la Commission rappelle que pour qu'un consentement soit valable, la qualité de l'information promulguée à la personne concernée est essentielle. Ce consentement doit également pouvoir être retiré facilement par l'internaute.

II. Durée de conservation
La Commission demande à ce que la durée de conservation des cookies, qu'ils soient techniques ou à d'autres fins, soit la plus courte possible eu égard à la finalité pour laquelle le cookie a été déposé. En tout état de cause, aucun cookie ne devrait être conservé sur le terminal d'un utilisateur plus de 13 mois.

III. Transfert d'informations vers un pays ne disposant pas d'un niveau de protection adéquat
Des cookies tiers peuvent communiquer des informations à leurs éditeurs, qui ne sont pas les éditeurs du site. Il peut s'agir par exemple de certains cookies analytiques (Exemple : Google Analytics), publicitaires, ou proposés par les réseaux sociaux (exemple : Facebook Connect), voire même de certains cookies techniques mis à disposition par des sociétés tierces (exemple les recaptcha de Google).
Les sociétés destinataires peuvent être situées dans un pays ne disposant pas d'un niveau de protection adéquat, tels que les États-Unis d'Amérique. Monaco n'étant pas couvert par l'Accord dit Privacy Shield liant l'Union européenne et les USA d'une part, et la Suisse et les USA d'autre part, aucune communication d'informations ne peut être effectuée sans la pleine information des personnes concernées et le recueil de leur consentement spécifiquement à cette fin ; en effet, il s'agit alors d'un transfert vers un pays n'assurant pas un niveau de protection adéquat au sens du deuxième alinéa de l'article 20 de la loi n° 1.165.
Seules des informations anonymisées, qui ne contiennent par exemple pas l'adresse IP des personnes concernées ni aucune autre information permettant directement ou indirectement de les identifier, peuvent être communiquées sans recueil de consentement.
Le transfert d'informations directement ou indirectement nominatives au sens de la loi n° 1.165, susmentionnée, est soumis à l'autorisation préalable de la Commission.

Le Président de la Commission de Contrôle des Informations Nominatives.