.svg)
En Décembre dernier, la CNIL a sanctionné Orange d’une amende de 50 millions d’euros, principalement pour avoir affiché des publicités dans son service de messagerie électronique sans obtenir le consentement de ses utilisateurs.
En marge de cette sanction, l’autorité de protection des données a également relevé un manquement d’Orange vis à vis des cookies lus malgré le retrait du consentement, et c’est le sujet sur lequel je veux me pencher aujourd’hui.
Comprendre la sanction de la CNIL pour Orange (Décembre 2024)
Si la sanction de Décembre 2024 de la CNIL contre Orange met surtout en avant un manquement dans le système de messagerie de l’opérateur, un sujet qui a déjà été largement commenté et documenté, nous n’allons pas nous attarder sur cet aspect ici. Nous souhaitons plutôt nous concentrer sur une autre infraction relevée par la CNIL dans la seconde partie du communiqué de presse ayant trait aux cookies déposés par l’entreprise :
La CNIL a constaté que lorsqu’un utilisateur du site web orange.fr acceptait le dépôt et la lecture de cookies sur son terminal, puis retirait son consentement, les cookies précédemment déposés continuaient à être lus par la société ORANGE et par ses partenaires.
La CNIL a rappelé qu’une telle opération de lecture, qui consiste à accéder aux informations stockées dans le terminal de l’utilisateur, était explicitement interdite par l’article 82 de la loi Informatique et Libertés, même si ces informations ne sont pas exploitées par la suite.
Elle a également précisé que, pour garantir le retrait effectif du consentement, la société devait mettre en œuvre des solutions techniques empêchant la lecture des cookies dont elle a la maîtrise. Pour les cookies déposés par ses partenaires, elle devait s’assurer auprès de ces derniers de la mise en place de solutions similaires.
- Commission nationale de l'informatique et des libertés (Source: CNIL, 10 décembre 2024)
En bref, la CNIL a observé qu’Orange et ses partenaires continuaient de lire les cookies déposés après qu’un utilisateur (qui avait préalablement consenti au dépôt et à la lecture de cookies sur son appareil) ait retiré son consentement.
Ce type d’opération est interdite, même si les données ne sont pas, dans les faits, exploitées.
La question qui se pose, dès lors, est de savoir comment l’entreprise aurait pu garantir le retrait effectif du consentement.
Comment s’assurer du respect du retrait du consentement utilisateur pour les cookies et traceurs ?
La CNIL donne un élément de réponse dans son communiqué de presse:
(...) pour garantir le retrait effectif du consentement, la société devait mettre en œuvre des solutions techniques empêchant la lecture des cookies dont elle a la maîtrise. Pour les cookies déposés par ses partenaires, elle devait s’assurer auprès de ces derniers de la mise en place de solutions similaires.
- Commission nationale de l'informatique et des libertés (Source: CNIL, 10 décembre 2024)
De quel type de “solutions techniques” les entreprises peuvent-elle s’équiper afin de garantir la maîtrise de cookies ? La question est complexe, et nécessite un écosystème de solutions et de bonnes pratiques, à commencer par notre Advanced Compliance Monitoring (ACM).
Le rôle de l’ACM dans la gestion des cookies post-consentement
Notre solution Advanced Compliance Monitoring (ACM) aide les entreprises à mieux comprendre et maîtriser l’usage des trackers sur leurs propriétés numériques. En simulant le comportement d’un utilisateur, l’ACM capture les interactions avec les traceurs tout au long de la navigation et met en évidence :
- Les traceurs actifs avant, pendant ou après un consentement/refus ;
- Les scénarios où des traceurs persistent malgré un retrait de consentement.
Ces données granulaires, disponibles via des indicateurs User behaviour (qui agrège les valeurs comportementales liées aux interactions) et Ran scenarios (qui détaille les scénarios dans lesquels un tracker a été détecté), permettent aux entreprises de diagnostiquer rapidement les problèmes de conformité et offrent une vue granulaire de l’impact des configurations de consentement.
Notre DPO externe, Sebastien Gantou, met en avant l’utilité de l’ACM dans le cadre d’une stratégie globale de conformité:
L’écosystème du marketing numérique repose sur des interactions en temps réel. Depuis 5 ans, le TCF mobilise éditeurs et adtechs pour valider leur droit d’agir, maîtriser leurs actions et prouver leur conformité grâce aux CMPs comme Didomi.
Les approches traditionnelles – compliance, audits ou gouvernance – apportent des solutions ponctuelles, mais elles s’avèrent souvent coûteuses à grande échelle. Si l’expertise humaine reste incontournable pour traiter des cas spécifiques, elle devient nettement plus efficace lorsqu’elle s’appuie sur des outils adaptés.
Nous avons conçu ACM pour surveiller efficacement la conformité de vos actifs numériques. Elle offre des contrôles opposables et actionnables, tout en simplifiant et optimisant le travail de vos équipes.
- Sebastien Gantou, Data Protection Officer de Didomi & CEO de Digital DPO
Note sur les limites actuelles et pistes d’amélioration: Il est important de noter que pour l’instant, si l’ACM permet d’identifier si des trackers persistent ou interagissent avec le terminal d’un utilisateur en fonction des choix exprimés, l’outil ne stocke pas encore de manière granulaire le type d’interaction (création, lecture, modification, suppression) qui rendrait possible une analyse encore plus détaillée.
Notre Product Manager, Teodora Tanase, partage avec nous un apercu de la roadmap de l’ACM, et des projets en cours dans ce cadre chez Didomi :
Didomi s’engage à développer l'Advanced Compliance Monitoring (ACM) pour aider les entreprises à éviter les écueils de conformité.
Nos prochaines améliorations incluent des mécanismes d’alerte avancés pour un suivi détaillé au niveau des propriétés, des capacités d’exportation de données robustes pour une analyse fluide, et une fonctionnalité étendue de scan de site web afin d’assurer une visibilité complète des risques de conformité.
Ces innovations visent à fournir aux entreprises les outils nécessaires pour gérer la conformité de manière proactive, réduire leur exposition aux amendes, et instaurer un climat de confiance avec leurs utilisateurs.
- Teodora Tanase, Product Manager chez Didomi
Dans l’état, l’ACM offre une puissante capacité de cartographie et de diagnostic, qui peut servir de base à la mise en conformité et au dialogue avec les partenaires tiers.
{{learn-more-about-didomi's-advanced-compliance-monitoring}}
Adopter une approche intégrée pour assurer la conformité
Un autre défi mis en lumière par le cas Orange réside dans la gestion des trackers déposés par des tiers. Bien qu’il soit possible de bloquer la lecture des trackers internes après un retrait de consentement, garantir que des tiers respectent les mêmes règles nécessite un contrôle supplémentaire.
La solution d'Advanced Compliance Monitoring, en détectant si un tracker est encore actif malgré un refus, peut fournir des informations utiles, mais il est aussi impératif de collaborer avec les partenaires pour aligner leurs pratiques sur les exigences réglementaires. En résumé, garantir le respect du retrait du consentement passe par :
- La suppression ou le blocage des trackers internes via des solutions techniques comme un système de gestion des tags (par exemple, GTM).
- La surveillance continue grâce à des outils comme l’ACM pour identifier les non-conformités.
- Une collaboration proactive avec les partenaires pour vérifier leur conformité.
Pour aller plus loin, une base de données centralisée des trackers et une analyse avancée des interactions pourraient renforcer davantage la capacité des entreprises à prouver leur conformité, non seulement face à la CNIL, mais également pour préserver la confiance de leurs utilisateurs.
Pour en savoir plus, visitez la page de notre site sur l’ACM et suivez-moi sur LinkedIn pour rester informés des actualités et opportunités de notre industrie.
.avif.avif){kind=tracking}
