Il y a un an, après des années de bataille judiciaire, la Cour de Justice de l'Union Européenne (CJUE) a rendu un arrêt définitif dans le dossier C-673/17, également connu sous le nom de dossier "Planet 49". Elle a essentiellement interdit de pré-cocher des cases sur un avis de cookie, considérant qu'un consentement valable ne pouvait être basé que sur une action positive et affirmative de l'utilisateur. Cette décision a eu un effet domino sur l'ensemble du secteur de la publicité, ce qui a conduit l'IAB à mettre à jour son cadre de transparence et de consentement (TCF). Voici comment.
Sommaire
- Pourquoi une cour européenne s'est-elle intéressée au consentement des cookies ?
- Quelles sont les conséquences de cette décision pour les propriétaires de sites web allemands ?
- Comment le TCF a-t-il changé à la suite de l'arrêt Planet 49 ?
- Quel est le calendrier de mise à jour des notices de consentement cookie ?
Pourquoi une cour européenne s'est-elle intéressée au consentement des cookies ?
Sur quoi la CJUE a-t-elle statué ? Pourquoi une juridiction européenne s'est-elle saisie d'une affaire concernant la notice de consentement de cookies d'un site web mineur appelé Planet 49, une entreprise allemande offrant un service de loterie en ligne qui utilisait deux cases à cocher ?
Parce que les professionnels de la protection de la vie privée voulaient des réponses à 3 questions principales :
- Le consentement à la collecte de cookies par le biais de cases pré-cochées est-il valable ?
- Quel type d'information sur les cookies doit être mis à la disposition de l'utilisateur pour obtenir un consentement valable ?
- Le consentement devrait-il être recueilli uniquement pour les cookies utilisés pour lire ou accéder à des données personnelles ?
Les experts en matière de protection de la vie privée attendaient avec impatience la décision, attendant de la Cour européenne qu'elle affirme des règles strictes sur le consentement explicite. Auparavant, les marques et les éditeurs en Allemagne s'appuyaient principalement sur la base juridique de "l'intérêt légitime" pour utiliser des cookies et des traceurs sur les visiteurs des sites web allemands.
Tomorrow is a big day for #ePrivacy as the #CJEU issue judgment on Case C‑673/17 (#planet49).
Highly expect that Court will rule #consent *must* be an affirmative & separate action (per purpose); *must* include names of 3rd parties & duration of #cookies
— Alexander Hanff (@alexanderhanff) September 30, 2019
Et ils avaient raison. La CJUE a en effet répondu à un certain nombre de questions relatives au consentement des cookies, en exigeant des propriétaires de sites web qu'ils mettent en œuvre ou adaptent leurs mécanismes de consentement des cookies pour s'assurer qu'ils se conforment à l'arrêt.
L'arrêt Planet49 ( C‑673/17) de la CJUE confirme que le consentement doit être demandé avant le dépôt d'un cookie y compris si ce cookie ne comporte pas en lui-même de données personnelles. pic.twitter.com/vgjsiZNGjG
— Guillaume Champeau (@gchampeau) October 1, 2019
Arrêt #CJUE #Planet49 C-673/17 : le consentement à l'utilisation de traceurs (#Cookies) n’est pas valablement donné lorsqu'il résulte d'une case cochée par défaut que l'utilisateur doit décocher pour refuser de donner son consentement. #EUDataP #ePrivacy https://t.co/RZKdYZuDBi
— Valérian Bonnard (@BonnardV) October 1, 2019
L'arrêt dit essentiellement que les cases pré-cochées et le regroupement des objectifs de collecte de données sont interdits pour recueillir un consentement valable, qu'ils soient utilisés pour accéder à des données personnelles ou non personnelles. En outre, les utilisateurs doivent être informés de la date d'expiration des cookies, ainsi que de la possibilité pour les tiers de lire ou d'installer des cookies sur le site web, avant de pouvoir donner leur consentement.
La CJUE a également exprimé qu'un "comportement actif avec une vision claire" du consentement est nécessaire pour recueillir un consentement valable, ce qui devrait effectivement mettre fin à l'utilisation du scrolling ou de la navigation continue comme mode de consentement.
{{discover-our-cmp}}
#ECJ : A consumer's consent to collection and retention of I.D. in a telecommunications services contract cannot be presumed to have been validly given when the relevant box has been ticked by the data controller prior to the signing of the contract. #Romania @orange pic.twitter.com/jlPJA1x04i
— EU Court of Justice (@EUCourtPress) November 11, 2020
Quelles sont les conséquences de cette décision pour les propriétaires de sites web allemands ?
Que dois-je faire en tant que propriétaire d'un site web si je collecte des données auprès d'utilisateurs allemands ? Qu'est-ce qui doit changer concrètement si vous, ou votre entreprise, dirigez un site web qui utilise des cookies ?
- Listez tous les cookies déposés ou lus sur votre site web et recueillez leur date d'expiration et leur catégorie ;
- Informer l'utilisateur de votre utilisation de cookie (but et informations sur le cookie) sur votre notice de consentement cookie ;
- Assurez-vous de proposer un choix neutre pour les besoins de votre consentement à l'utilisation de cookies, et ne recueillez le consentement que lorsque l'utilisateur a eu un "comportement actif" (pas de scrolling ou de navigation continue) ;
- Ne supprimer ou lire les cookies qu'après que l'utilisateur en ait été informé et ait donné son consentement ;
- Assurez-vous que les partenaires sur votre site web respectent cette règle.
De plus, il faut noter que la CNIL considère les analytics comme des cookies fonctionnels, donc essentiels, pour lesquels aucun consentement n'est nécessaire, alors que la Cour de justice européenne les a considérés comme non essentiels, et donc nécessitant un consentement. Si vous souhaitez en savoir plus sur les recommandations 2020 de la CNIL, découvrez notre page dédiée à ce sujet.
Si vous utilisez une plateforme de gestion du consentement (CMP), comme celle de Didomi, ces vérifications devraient être faciles à effectuer. Les CMP permettent en effet de recueillir, de stocker et de diffuser le consentement des utilisateurs, non seulement pour les opérateurs de sites web, mais aussi parmi les fournisseurs qui font partie de la liste globale des vendeurs (GVL).
Mais qu'est-ce qui va changer avec la norme du secteur pour recueillir le consentement des consommateurs, la TCF ?
{{discover-didomi-for-compliance}}
Comment le TCF a-t-il changé à la suite de l'arrêt Planet 49 ?
Alors que de nombreux acteurs de l'industrie sont encore en pleine transition du TCF v1 au TCF v2, l'organisation du cadre de transparence et de consentement de l'IAB a adopté un amendement à ses politiques afin de soutenir les changements requis par la décision Planet 49. Voici ce que disent les lignes directrices du "TCF v2.1" :
- Vos partenaires TCF (vendors) sont obligés d'indiquer la durée maximum de stockage des cookies sur le GVL et de préciser si d'autres moyens de stockage/accès sont utilisés ;
- Les CMP sont obligés de divulguer la durée maximale de stockage des cookies de chaque partenaire, et de préciser si d'autres moyens de stockage sont utilisés ;
- Les CMP sont obligés de divulguer les informations d'accès plus détaillées et spécifiques à chaque partenaire, lorsque elles mettent ces informations à disposition ;
- Il est interdit aux partenaires de TCF de mettre à jour la durée maximale de stockage lorsque celle-ci n'est pas indéfinie, et sauf si l'utilisateur a renouvelé son consentement.
En alternative, les partenaires peuvent divulguer des informations de stockage plus détaillées et spécifiques à leur objectif lorsqu'ils souhaitent démontrer qu'ils respectent en détail les exigences de la décision.
Ces nouvelles exigences s'accompagnent de nouvelles spécifications techniques. Des informations supplémentaires sur les fournisseurs concernant leurs cookies seront ajoutées à la GVL (voir détails ici).
Quel est le calendrier de mise à jour des notices de consentement cookie ?
En termes de calendrier, les fournisseurs doivent compléter leurs exigences en matière d'informations supplémentaires d'ici le 30 septembre 2020, et les CMP doivent mettre à jour leur interface utilisateur (IU) pour tenir compte des nouvelles exigences d'ici le 31 janvier 2021. Il n'y a rien à faire pour les opérateurs de sites web et d'applications, s'ils sont correctement équipés d'une CMP.
{{discover-our-cmp}}
Ces changements permettront aux propriétaires de sites web de divulguer très facilement des informations sur leurs tiers appartenant au TCF et les aideront donc à se conformer à l'arrêt Planet 49.
Contactez-nous si nous pouvons vous aider dans ce processus.
{{request-a-demo}}