La Cnil, qui l’avait déjà clairement annoncé, rappelle dans sa publication du 2 avril 2021 que l’une de ses thématiques prioritaires de contrôle sera à présent « l’évaluation de l’application des règles relatives aux traceurs, en application de l’article 82 de la loi Informatique et Libertés et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthétisées dans ses lignes directrices ».

Par Me Pierre-Randolph Dufau
Avocat à la cour, fondateur de la SELAS PRD avocats

Au-delà des sanctions administratives et amendes de la Cnil largement médiatisées, les manquements pourraient aussi être sanctionnés pénalement ou civilement, comme par exemple, sur le fondement de la violation de la vie privée ou encore de la responsabilité civile délictuelle et même contractuelle de leur auteur.

Alors quelles preuves conserver ? Dans ses lignes directrices du 17 septembre 2020, la Cnil rappelle que « l’article 7.1 du RGPD impose que les organismes exploitant des traceurs, responsables du ou des traitements, soient en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur ».

Il convient donc d’établir de manière formelle ces preuves documentaires, de les rendre valablement opposables par un mécanisme assurant leur authenticité et leur conférant une date certaine, puis de les conserver le temps de la prescription judiciaire des litiges.

Concrètement, il peut s’agir d’un constat d’huissier de la documentation, de la mise sous séquestre avec un horodatage des différentes versions des codes informatiques, ou juste du « hash » sur une plateforme publique.

La Cnil suggère dans sa recommandation également en date du 17 septembre 2020 qu’une simple « capture d’écran du rendu visuel [du consentement] affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée », ce qui apparaît néanmoins être une preuve fragile et contestable.

Le recours aux audits réguliers par des tiers spécialisés constitue naturellement une preuve solide.

Les plateformes de gestion et de recueil du consentement (« Consent Management Platform ») rencontrent un certain succès et leurs éditeurs proposent aussi parfois d’assurer la conservation horodatée de la preuve. Attention cependant au délai de prescription qui s’avère souvent d’une durée trop courte puisqu’il doit, pour couvrir le risque pénal, être de six ans à compter de la dernière utilisation du cookie. Par ailleurs, s’agissant des « cookies tiers », il n’est pas suffisant d’insérer une clause contractuelle engageant le prestataire à recueillir un consentement valable pour votre compte, dans la mesure où, selon la Cnil, « une telle clause ne permet pas de garantir, en toutes circonstances, l’existence d’un consentement valide ». Elle recommande donc que la clause « soit complétée pour préciser que l’organisme qui recueille le consentement doit également mettre à disposition des autres parties la preuve du consentement, afin que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état ».

Il appartient au responsable du traitement de vérifier l’effectivité des moyens mis en place ou confiés à un prestataire pour sauvegarder la preuve du recueil du consentement, mais aussi de s’assurer qu’il conserve la preuve du retrait dudit consentement ainsi que la documentation relative aux cookies ne nécessitant pas de consentement.

Retrouvez toutes nos tribunes « Juridique »