* Un refus des cookies doit être conservé pendant au moins six mois

* La recommandation de la Cnil va au-delà du RGPD de l'UE

* Elle pourrait affecter des éditeurs et annonceurs-avocat

par Mathieu Rosemain

PARIS, 1er octobre (Reuters) - La Commission nationale de l'informatique et des libertés (Cnil), chargée en France de veiller à la protection des données personnelles, a recommandé jeudi aux sites basés ou opérant dans l'Hexagone de conserver pendant au moins six mois tout refus d'un internaute sur l'usage des cookies et autres traceurs afin qu'il ne soit pas réinterrogé à chaque visite.

Cette préconisation va au-delà du règlement général sur la protection des données (RGPD), entré en vigueur en 2018 dans l'Union européenne.

"Le silence vaut déjà refus, mais la Cnil impose qu'on recueille le refus et qu'en plus ce refus vaille pour six mois", indique Etienne Drouard, avocat spécialisé dans la protection des données au cabinet américano-britannique Hogan Lovells, ajoutant que la mesure pourrait mettre à mal les entreprises exploitant les cookies pour proposer de la publicité ciblée.

"Cela impose de recueillir une donnée personnelle d'une personne qui refuse qu'on en collecte", dit-il.

Les cookies et autres traceurs sont des petits programmes informatiques associés aux navigateurs internet qui conservent les informations des utilisateurs lorsqu'ils surfent sur le réseau.

Dans le cadre des nouvelles directives de la Cnil, qui doivent être mises en oeuvre par les sites internet d'ici mars prochain, les internautes devront être en mesure de retirer leur consentement, facilement, et à tout moment, sur l'usage des cookies.

"La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l'internaute. Refuser les traceurs doit être aussi aisé que de les accepter", souligne la Cnil dans un communiqué.

"Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l'utilisateur", indique la Cnil dans ses directives.

Le régulateur français souhaite aussi que les internautes soient clairement informés de l'utilisation finale des cookies avant toute demande de consentement. Il recommande que l'interface de recueil du consentement ne comprenne pas seulement un bouton "tout accepter" mais aussi un bouton "tout refuser". Les sites internet devront en outre indiquer l'identité de tous les acteurs utilisant les données collectées.

La Cnil a cependant prévu des dérogations pour certaines situations, notamment dans le cas d'une authentification à un service ou encore pour garder en mémoire son panier d'achat sur un site marchand. (Version française Claude Chendjou, édité par Jean-Michel Bélot)