Paramétrer sa CMP pour être conforme au RGPD et aux dernières recommandations de la CNIL et du G29
Rappelons en préambule que selon l’article 4 du RGPD, le consentement est défini comme : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Le consentement de l’utilisateur est l’une des six bases légales possibles pour collecter le consentement de l’utilisateur lorsqu’un traitement de donnée est effectué.
Une CMP (Consent Management Platform) est une plateforme permettant de collecter le consentement de l’utilisateur en matière de données personnelles. La CMP a également pour rôle d’enregistrer le consentement, de le stocker et de le restituer mais aussi de le transmettre aux différents partenaires lorsqu’il y a lieu. Elle rend l’expérience utilisateur plus fluide et le processus de collecte de consentement plus facile.
Cependant, comme l’a rappelé Armand Heslot (Privacy et Security Expert à la CNIL) lors d’une interview pour Mind Media, avoir une CMP ne signifie pas que vous êtes en conformité avec le RGDP, ni que vous obtenez valablement le consentement de l’utilisateur.
Vous voulez assurer la conformité avec le RGPD ? Organisez une démo avec Didomi.
{{discover-didomi-for-compliance}}
Quelles sont donc les différentes conditions à respecter pour être en conformité lorsque vous collectez des consentements utilisateurs par le biais d’une CMP ?
{{request-a-demo}}
Illustration de notre page pilier sur les recommandations de la CNIL 2020
Quelles sont les lignes directrices et les nouvelles recommandations de la CNIL sur les cookies et traceurs ?
Le consentement doit être libre, spécifique, éclairé et non équivoque. Tant de conditions que la CNIL veille à ce qu’elles soient respectées. En effet dès juillet 2018, soit quelques mois à peine après l’entrée en application du RGPD, l’autorité de protection des données met en demeure Teemo et Fidzup de se mettre en conformité avec le règlement . Ces sociétés permettent de collecter des données comme l’identifiant publicitaire et des données de géolocalisation par le biais d’un SDK implémenté dans l’application de leur partenaire.
Or, la CNIL remarque que les deux entreprises françaises ne collectent pas correctement le consentement des utilisateurs pour la collecte des données à des fins de ciblage publicitaire. Les utilisateurs ne sont pas informés de la finalité du traitement de ciblage publicitaire, ni de l’identité du responsable de traitement, ni même qu’un traitement est mis en œuvre pour Fidzup. Le 23 octobre 2019, la CNIL met en demeure une troisième société pour les mêmes motifs .
Elle constate que Singlespot ne recueille pas le consentement les utilisateurs pour les traitements de données de géolocalisation et de ciblage publicitaire toujours effectués par le biais d’un SDK installé dans les applications mobiles. La CMP mise en place par l’entreprise ne permet pas de « refuser clairement le ciblage ». En outre, dans ces décisions la CNIL affirme qu’un partenaire déposant un SDK sur l’application mobile de l’éditeur est considéré comme un responsable de traitement au regard du RGPD.
Pour échapper à la sanction, les start-ups ont se sont donc mises en conformité et ont installé des bannières permettant de recueillir un consentement répondant aux critères posés par le RGPD. Selon la CNIL, l’utilisateur doit connaître la finalité du traitement des données, l’identité des responsables de traitement, mais aussi les données collectées. Voilà déjà trois informations devant impérativement figurer sur une CMP.
Mais c’est avec la mise en demeure de la société Vectaury le 9 novembre 2018 que la CNIL donne des recommandations plus précises sur le paramétrage des CMP. L’autorité de protection des données pointe encore du doigt l’absence de recueil du consentement pour les données de géolocalisation à des fins publicitaires par le biais de SDK installés dans le code des applications mobiles. Elle relève également que Vectaury a exploité sans consentement valable des données recueillies lors d’offres d’enchères publicitaire en temps réel. La start-up a ainsi recueilli « plus de 42 millions d’identifiants publicitaires et les données de géolocalisation à partir de plus de 32 000 applications ». Par ailleurs la CNIL rappelle ici que les partenaires déposant un SDK sur l’application mobile sont des responsables de traitement.
⚠ Mise à jour Octobre 2020 : Didomi a récemment publié un article sur les nouvelles recommandations de la CNIL. Découvrez notre page dédié au sujet Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs.
Illustration de notre page pilier sur les recommandations de la CNIL 2020
Qu’en est-il du standard de l’IAB Europe ?
Vectaury fait partie du Consent and Transparency Framework établi par l’IAB Europe qui propose un ensemble de règles communes à respecter lors de la collecte des consentements des utilisateurs par le biais d’une CMP afin de normer les consentements publicitaires. Or Mathias Moulin Directeur Protection des Droits et Sanctions à la CNIL précise dans une interview pour le journal du net que “la CNIL ne s’est pas prononcé sur le framework de l’IAB mais sur l’implémentation du framework que Vectaury a adoptée” et que “la mise en demeure de Vectaury n’est pas un jugement sur le framework de l’IAB”. En effet, la CNIL apporte dans cette mise en demeure, des précisions importantes sur la manière de configurer une CMP pour être totalement conforme au RGPD et aux recommandations du G29 sans pour autant invalider les travaux réalisés par l’IAB Europe.
Les principes de collecte du consentement à respecter
Pour commencer, l’autorité de protection des données indique que le langage utilisé doit être clair, compréhensible, rédigé en termes simples et permettre aux utilisateurs de comprendre précisément à quoi ils consentent.
Les finalités du traitement doivent être claires et communiquées dès la première page de la bannière. Des boutons « J’accepte », « Je refuse » et « J’affine mes préférences » pour permettre à l’utilisateur de consentir ou refuser globalement peuvent être proposés en première page mais ils doivent être positionnés après la liste des différentes finalités détaillées. Sur la seconde page vous pouvez demander le consentement par finalité mais attention, les cases pré-acceptées ne sont pas tolérées par la CNIL ni par le G29.
L’autorité de protection des données française est très claire sur la question dans la mise en demeure Vectaury : « Le fait que l’ensemble des finalités de collecte soient pré-acceptées par défaut ne saurait aboutir à l’expression d’un consentement de la part de l’utilisateur. En effet, son action n’est requise que pour s’opposer au traitement par le fait de décocher les cases correspondant aux différentes finalités ».
En outre, les responsables de traitement doivent également apparaître dès la première page de la bannière. Cela permet à l’utilisateur de donner son consentement en connaissant l’identité des sociétés qui collectent ses données.
De plus, le texte ne doit pas laisser penser à l’utilisateur que le refus de donner son consentement l’empêchera d’accéder au site ou entrainera le paiement d’un prix pour y avoir accès.
La question particulière des traitements sur les données de géolocalisation
Lorsque vous collectez des données de géolocalisation il faut demander un consentement spécifique à l’utilisateur. La CNIL le rappelle encore dans sa mise en demeure « Une acceptation globale, sans même que l’utilisateur ne soit clairement informé de l’existence de plusieurs traitements ou de plusieurs finalités, ne saurait répondre au critère de spécificité du consentement exigé par le G29. Les utilisateurs des applications mobiles partenaires ne consentent donc pas spécifiquement au traitement de leurs données de géolocalisation à des fins de profilage et de ciblage publicitaire ».
Le consentement au scroll est-il valable ?
Récemment, le consentement au scroll n’est plus autorisé dans le projet de recommandation de la CNIL. Les éditeurs ont 6 mois pour s’y conformer après la publication officielle de la recommandation, donc environ jusqu'à décembre 2020.
Il ne faut pas oublier non plus de laisser la possibilité à l’utilisateur de revenir sur son consentement ou de changer ses paramètres en cliquant sur un lien présent sur votre site en bas de page, ou encore dans votre politique de confidentialité.
Il est également utile de rappeler que la durée du consentement de l’utilisateur pour les cookies est aujourd'hui 13 mois en France, mais dans le projet de recommandation CNIL cela passera à 6 mois. Didomi s’occupe de recollecter le consentement automatiquement à la fin de ce délai. Il faut donc automatiquement lui redemander d’opérer ses choix passé ce délai. La durée de vie des cookies Google Analytics est parfois configurée par défaut à 24 mois. Pour réduire la durée de vie de ces cookies, voici la documentation.
{{technical-documentation}}
Les cookies analytics peuvent-ils être considérés comme essentiels ?
Enfin, faites attention, les cookies de mesure d’audience comme Google Analytics ne sont pas considérés comme des cookies essentiels sauf s’ils respectent un certain nombre de conditions énumérées par la CNIL. Aujourd’hui, seules deux solutions sont reconnues par la CNIL comme respectant ces différentes conditions. Il s’agit de AT internet (Xiti) et Matomo. Vous devez donc demander le consentement de l’utilisateur lorsque vous souhaitez déposer un tel cookie sur son terminal.
Récapitulatif des points de vigilance dans le paramétrage de la CMP
- L’utilisateur doit connaître la finalité du traitement des données, l’identité des responsables de traitement, mais aussi les données collectées pour que le consentement soit valide
- Le langage utilisé pour informer l’utilisateur doit être clair, compréhensible, rédigé en termes simples et permettre aux utilisateurs de comprendre précisément à quoi ils consentent
- Des boutons « J’accepte », « Je refuse » et « J’affine mes préférences » pour permettre à l’utilisateur de consentir ou refuser globalement peuvent être proposés en première page mais ils doivent être positionnés après la liste des différentes finalités (et non avant)
- Les cases pré-acceptées ne sont pas tolérées par la CNIL ni par le G29
- Le texte ne doit pas amener l’utilisateur à croire que le refus de donner son consentement l'empêchera d’accéder au site ou entraînera le paiement d’un prix. Mais, plus à jour, les cookie walls sont acceptés par le Conseil d’Etat
- Lorsqu’il y a collecte de données de géolocalisation il faut demander un consentement spécifique à l’utilisateur
- Concernant le consentement au scroll ou par clic, il est plus maintenant toléré par la CNIL (encore toléré pendant quelques mois)
- Il ne faut pas oublier de laisser la possibilité à l’utilisateur de revenir sur son consentement ou de changer ses paramètres en cliquant sur un lien présent sur votre site
- La durée du consentement de l’utilisateur pour les cookies est de bientôt 6 mois. Il faut donc automatiquement lui redemander d’opérer ses choix passé ce délai
- Les cookies de mesure d’audience ne sont pas considérés comme des cookies essentiels sauf s’ils respectent un certain nombre de conditions énumérées par la CNIL.
Vous voulez savoir comment une CMP pourrait aider votre entreprise et assurer la conformité avec la CNIL ?
{{request-a-demo}}
⚠ Mise à jour Octobre 2020 : Didomi a récemment publié un article sur les nouvelles recommandations de la CNIL. Découvrez notre page dédié au sujet Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs.