COOKIES : LA CNIL PUBLIE (ENFIN !) SES RECOMMANDATIONS DEFINITIVES
Le Département IP/IT/Data du cabinet Marvell, représenté par Yaël Cohen-Hadria, (ycohenhadria@marvellavocats.com) vous propose de découvrir, en synthèse, les nouvelles recommandations cookies de la CNIL.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a rendu publiques, hier les délibérations tant attendues sur les règles applicables en matière de cookies :
Ces textes, dévoilent les attentes de la CNIL en matière d’utilisation des cookies et traceurs, auxquelles les éditeurs de site et les acteurs de la publicité en ligne, notamment, vont devoir se conformer.
La CNIL peut-elle sanctionner sur le fondement de ces règles ?
En pratique, la CNIL pourra sanctionner sur le fondement des Lignes directrices et de la Recommandation à partir de mars 2021 (soit 6 mois après la date prévue de publication définitive de la Recommandation), ce qui laisse un délai aux entreprises pour se mettre en conformité.
|
|
A noter : La CNIL précise que les Lignes Directrices sont « non exhaustives et non prescriptives » ce qui signifie qu’il est possible d’y déroger à condition de pouvoir le justifier et de conserver la justification dans une Fiche Accountability.
Que faut-il retenir de la mise à jour des Lignes Directrices et de la Recommandation définitive ?
|
|
Profitez de cette mise à jour pour vérifier la conformité globale de votre Site internet !
|
|
Quelles sont les nouveautés en détail ?
La liste des cookies exemptés de recueil du consentement évolue
Le recueil du consentement n’est pas exigé pour les « opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse des utilisateurs ».
La CNIL a mis à jour la liste des cookies « techniques » dont l’utilisation ne nécessite pas le recueil du consentement de l’utilisateur. Ainsi, les cookies conservant la trace du consentement de l’utilisateur, les cookies permettant de limiter l’accès gratuit à des sites payants ou encore les cookies permettant l'équilibrage de la charge des équipements concourant à un service de communication, font désormais partie des cookies exemptés de recueil du consentement.
Nouveauté septembre 2020 : Les cookies de mesure d’audience ne sont pas soumis à l’obligation de recueil du consentement à condition qu’ils aient pour finalité la réalisation de statistiques anonymes
Attention : les utilisateurs doivent en tout état de cause être informés de leur dépôt via une politique de confidentialité.
Responsabilité : l’éditeur a une responsabilité pour les cookies tiers
La personne qui décide du dépôt d’un cookie et de ses finalités sur le terminal d’un utilisateur est, par principe, responsable de cette opération.
Toutefois, la CNIL considère que l’éditeur du site ou de l’application mobile qui autorise le dépôt de traceurs par des tiers doit s’assurer de la présence d’un mécanisme de consentement valide à disposition des utilisateurs. Surveillez les cookies tiers !
Information des utilisateurs : maintien d’une information à deux niveaux
La CNIL conserve le principe d’information « à deux niveaux » sur la forme, toutefois l’obligation d’information sur le fond est significativement renforcée. Elle recommande de distinguer chaque finalité dans des intitulés courts et mis en évidence, accompagnés d’un descriptif.
Pour le premier niveau (bandeau ou fenêtre pop-up par exemple), la CNIL donne des exemples d’information à fournir en fonction du type de cookies. L’utilisateur doit être informé de la finalité du cookie, des cookies tiers, et des moyens de retirer son consentement. Des précisions peuvent être apportées dans une description plus détaillée disponible via un bouton de déroulement.
Pour le second niveau, l'information doit être accessible depuis l’interface de recueil du consentement (ex : lien hypertexte ou texte déroulant) ET accessible facilement depuis le site (ex : icône statique ou lien en bas de page du site). L’utilisateur doit alors être informé de manière détaillée sur les finalités de cookies, et avoir accès à la liste des sociétés utilisant des traceurs sur le site (regroupés par catégorie et régulièrement mise à jour) et à la liste des sites web sur lesquels le consentement recueilli sera également valide (ex : dans le cadre d’un éditeur qui édite plusieurs sites).
La CNIL recommande également d’informer l’utilisateur sur les catégories de données collectées pour chaque finalité.
Évolution des pratiques de recueil du consentement
Avec la publication des Lignes directrices, la CNIL a définitivement enterré la poursuite de la navigation comme moyen de recueil du consentement.
Elle apporte des éclairages sur les nouvelles mesures de recueil du consentement. Nous pouvons retenir les éléments suivants :
- Le consentement doit se manifester par un acte positif clair des utilisateurs. Le silence de l’utilisateur n’est pas susceptible d’être considéré comme un acte d’acceptation de la part de celui-ci.
- Le refus doit être aussi visible que l’acceptation pour l’utilisateur et l’utilisateur ne doit subir aucun préjudice en cas de refus. Le refus doit notamment être pris en compte dans la durée au même titre que l’acceptation. De plus, le refus de consentir doit présenter le moins d’actions possible afin de ne pas « décourager » l’utilisateur.
- L’utilisateur doit pouvoir donner son consentement par finalité (publicité ciblée, affichage publicitaire, mesure d’audience, réseaux sociaux…) et, si possible, par responsable de traitement, de manière univoque : cases à cocher, grammaire et design simple.
- Il est possible de proposer à l’utilisateur d’accepter ou de refuser le dépôt de cookies de manière « globale », par exemple en proposant des boutons « tout accepter » et « tout refuser » ;
- La CNIL considère également que l’utilisateur peut ne pas faire de choix, l’outil de gestion des cookies doit donc pouvoir se fermer. Dans ce cas aucun cookie ne peut être déposé, mais le consentement pourra être redemandé à la prochaine visite.
Sur les cookies Wall : suite à la décision du Conseil d’État n° 434684 du 19 juin 2020, la CNIL a revu ses positions sur les cookies wall : ils peuvent être utilisés à condition d’en apprécier préalablement la licéité (fiche Accountability) et d’informer l’utilisateur des conséquences de ses choix.
Retrait du consentement :
La CNIL est très claire à ce sujet : le refus de donner son consentement doit être aussi simple que de le donner !
Cela signifie qu’il doit être mis à la disposition de l’utilisateur des solutions simples, directes pour y procéder. Cela se fait notamment via un lien accessible à tout moment ou d’une icône renvoyant vers un module de paramétrage.
De plus, pour la CNIL et de manière générale, le consentement de l’utilisateur a une durée de 6 mois. Il sera possible de choisir une autre durée à condition de la justifier.
Nouveauté septembre 2020 : les choix doivent être conservés 6 mois, tant le consentement que le refus. Le consentement pourra donc être redemandé tous les 6 mois.
Preuve du consentement :
À des fins d’accountability, la personne responsable du dépôt de cookies devra pouvoir :
- Prouver de manière individuelle le consentement de l’utilisateur. Cela suppose l’utilisation d’un traceur de consentement ou d’un mécanisme de recueil du consentement (horodatage du consentement par finalités, contexte et mécanisme utilisé). Ces dispositions s’appliquent également pour des cookies tiers afin que le consentement soit valide pour l’ensemble des responsables de traitement intervenants dans le processus.
- Prouver que le mécanisme utilisé permet un consentement conforme. À cette fin la CNIL propose, à titre d’exemple, la mise sous séquestre du code informatique utilisé par l’organisme qui recueille le consentement, la capture d’écran ou encore l’audit régulier des sites.
Évolution des pratiques
Pour finir, la CNIL invite les acteurs du secteur et les éditeurs de navigateur web à mettre en place des bonnes pratiques en matière d’utilisation des cookies et de recueil du consentement à partir du navigateur. L’objectif étant de maximiser la transparence vis-à-vis des utilisateurs.
Tous les éditeurs de site internet sont concernés par ces nouvelles règles et doivent, dès à présent, préparer un plan d’action pour être en conformité au plus tard en mars 2021 !
Pour toute question ou implémentation de ces recommandations, contactez-nous sur contact.ntic@marvellavocats.com !
|
|
|