Articles
Guides Privacy
Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs
Guides Privacy
new

Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs

Publié  

10/1/2020

par 

Romain Gauthier

12
min lecture

Published  

October 1, 2020

by 

Romain Gauthier

10 min read
Sommaire

Suite à la publication des recommandations de la CNIL à la collecte du consentement, nous avons créé et mis à jour cette page pour vous aider à vous y préparer. En effet, début 2020, la CNIL avait déjà publié les grandes lignes de son projet (nous en parlions déjà sur notre blog et lors d’un webinar consacré au sujet) avant d’en reporter la publication définitive pour cause de Covid-19.

 

Le 1er octobre 2020, la CNIL a publié ses recommandations définitives basées, entre autres, sur la synthèse des contributions à une consultation nationale. Retrouvez sur cette page un résumé des changements à implémenter avant le mois de mars 2021 pour votre mise en conformité.

 

Commencez tôt ! Certains changements auront un impact profond. Nous terminons par des étapes concrètes de mise en conformité, et une FAQ répondant aux questions courantes sur les recommendations de la CNIL

 

1. La CNIL a émis des recommandations pour que les français aient un vrai choix de consentement 

 

La Commission Nationale Informatique et Libertés (CNIL) est dans son rôle de protection des Français, tout particulièrement de leur vie privée. Les recommandations ne sont pas là pour mettre les entreprises (médias, e-commerçants, marques…) en difficulté, mais pour favoriser la construction d’une relation gagnant-gagnant entre les acteurs du numérique et les internautes.

 

L’objectif est de permettre aux entreprises une collecte de données personnelles utile et raisonnée, tout en permettant aux Français de comprendre et de facilement modifier leurs choix de partage de données. En effet, le sujet est complexe, et la CNIL est soucieuse de la protection des données personnelles des Français et de maintenir un haut niveau de confiance dans le numérique.

 

Le projet de recommandations de la CNIL de janvier 2020 avait pour but d’accompagner les éditeurs de sites et d’applications mobiles dans leur démarche de mise en conformité, en leur donnant les modalités pratiques de recueil d’un consentement conforme, ainsi que des exemples concrets d’interfaces utilisateurs et des bonnes pratiques permettant d’aller au-delà des exigences légales.

 

bannière de cookies avec 3 boutons, un vrai choix

 

2. Tous types d’entreprises seront concernés (petites, grandes, françaises, étrangères, publiques, privées…)

 

Les éditeurs de sites ou d’applications mobiles dont la visite déclenche le dépôt de traceurs (par exemple : des cookies) et qui en autorisent l’utilisation, y compris par des tiers, devront s’assurer de la présence d’un mécanisme leur permettant de recueillir le consentement de manière libre, spécifique, éclairé et univoque des utilisateurs.

 

Par “éditeur”, on entend toute organisation, qu’il s’agisse d’une entreprise, d’une de ses agences ou d’un média disposant d’un site Internet ou d’une application à partir duquel des données concernant les utilisateurs peuvent être collectées, utilisées et/ou transmises à des partenaires.

 

Cela concerne à la fois le secteur privé et public, et les entreprises françaises ou étrangères, dès lors qu’elles collectent des données personnelles de Français. En d’autres termes : les recommandations à venir concernent un très large panel de la population

 

image pour illustrer les différentes entreprises concernées

 

3. Impliquez vos responsables juridiques et votre équipe digitale pour anticiper les changements

 

Si vous avez un(e) responsable de la conformité ou Délégué à la Protection des Données (DPD), ou Data Privacy Officer (DPO) au sein de votre entreprise, cette personne devrait pouvoir vous accompagner dans l’application des recommandations de la CNIL concernant les cookies et traceurs numériques. Le DPD ou la DPO doit notamment s’assurer que vos mécanismes de recueil de consentement des utilisateurs sont adéquats à votre utilisation de cookies et traceurs.

 

À titre d’exemple, voici une liste non-exhaustive d’usages qui nécessitent - ou non - un consentement conforme aux recommandations de la CNIL :\

Vous êtes concerné par les recommandations si vous utilisez des cookies ou traceurs pour:

  • Faire du retargeting, c’est-à-dire affichez de la publicité aux utilisateurs ayant déjà consulté votre site
  • Suivre vos visiteurs d’un site à un autre afin de connaître leurs préférences et habitudes
  • Enrichir ou cibler votre contenu en fonction du comportement des visiteurs ou des sites qu’ils ont consulté
  • Souhaitez connaître le comportement des internautes sur votre propre site

Vous n'êtes pas concerné si vous déposez des cookies ou traceurs uniquement pour:

  • Éviter à vos visiteurs de se reconnecter à nouveau à chaque passage sur le site
  • Conserver le panier de vos visiteurs, si vous êtes e-commerçant
  • Garder en mémoire le choix de la langue du site ou de la personnalisation de l’interface
  • Vous souvenir des préférences de vos visiteurs en matière de cookies

 

Compte tenu des usages décrits ci-dessus, il convient évidemment d’impliquer votre webmaster, responsable marketing ou votre agence digitale, car ceux-ci utilisent quotidiennement ces outils. En charge du trafic et de la conversion de leads, ils doivent s’assurer qu’ils respectent bien les règles en vigueur concernant la gestion des données utilisateurs.

 

Ils doivent non seulement rester au fait des changements en matière de recueil et de gestion des données personnelles, mais ils doivent aussi adopter des solutions leur permettant d’adapter rapidement la manière dont le consentement est recueilli et dont les préférences utilisateurs sont gérées, à l'aide d'un préférence center, par exemple.

 

4. Les recommandations concernent tous types d’appareils et de traceurs numériques

 

Les recommandations de la CNIL en matière de consentement à l’usage de traceurs portent sur tous types d’appareils Web (ordinateurs fixes, portables, tablettes) et mobiles (smartphones) puisque tous utilisent des technologies de suivi des internautes.

 

Sachez qu’elles ont aussi vocation à être appliquées dans d’autres contextes où le recueil du consentement est également nécessaire, comme le consentement dans les jeux vidéos ou encore les télévisions connectées.

  

À noter que les recommandations ne dispensent pas du recueil du consentement lorsque l’utilisateur est déjà authentifié, car celui-ci doit toujours avoir manifesté son consentement sans équivoque.

 

En d’autres termes, les recommandations portent aussi bien sur les environnements logués (ex : vous êtes connecté à votre média préféré) que non logués (vous visitez un site média pour la première fois). En ce sens, la CNIL n’entend pas avantager les gros éditeurs comme les GAFA (Google, Apple, Facebook & Amazon).

 

Le terme de cookies est à prendre au sens large et couvre l'ensemble des traceurs déposés et / ou lus, par exemple, lors de la consultation d'un site Internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile.

 

ordinateur et iphone avec la bannière de cookies Didomi en conformité avec la CNIL

 

5. Les grands principes du consentement de la CNIL découlent du règlement RGPD

 

Les recommandations à venir de la CNIL se basent sur la régulation européenne RGPD, qui définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

 

Selon cette définition, l’utilisateur d’un site Web, d’une application ou d’un jeu vidéo qui utilise des dispositifs de traçage numérique doit pouvoir (1) comprendre le traitement qui sera fait de ses données, (2) choisir sans contrainte d’accepter ou non ce traitement, et (3) changer d’avis librement et à tout moment.

 

C’est pour cela qu’un site Internet ou une application mobile doit disposer d’un mécanisme lui permettant de recueillir le consentement, par exemple une plateforme de recueil de consentement comme celle de Didomi.

 

6. Consentement éclairé : Les utilisateurs devront comprendre facilement quel choix ils ont

 

L’exigence de consentement éclairé vise à donner plus de transparence aux utilisateurs, en leur présentant les finalités des traceurs, qui doivent leur être présentés avant de leur donner la possibilité de consentir ou pas à leur utilisation.

 

En d’autres termes, l’utilisateur doit être en mesure de comprendre ce à quoi il consent. Il s’agit de l’informer clairement des finalités, de l’identité du ou des responsables de traitement, ainsi que de la portée du consentement.

 

L'utilisateur pourra accepter globalement ou refuser globalement lors du premier niveau d'information.  Un lien présentant les finalités détaillées doit être proposé, permettant d'afficher directement l'information en première page ou renvoyer vers un deuxième niveau d'information.

 

La CNIL recommande dans ses "bonnes pratiques" de rendre accessible l'information concernant les catégories de données traitées.

 

De plus, étant donné que ces recommandations viseront également les traceurs déposés par des sites tiers, la liste de la totalité des sites Web ou applications mobiles concernés devra être accessible via un lien hypertexte ou un bouton situé sur le premier niveau du mécanisme de recueil de consentement, afin de permettre à l’utilisateur d’être pleinement conscient de la portée effective du consentement.

 

Il n’est plus question de renvoyer vers la politique de confidentialité, ou Privacy Policy, ou d’utiliser une formulation du type “En continuant la navigation, vous acceptez que nous utilisions vos données personnelles” (consentement au scroll).

 

Et en pratique, ça donnera quoi ? 

 

  • Les finalités doivent être indiquées dans un langage clair et accessible et accompagnées d’un descriptif
  • L’utilisateur doit être informé sur la possibilité que son consentement soit également valable pour le suivi de sa navigation sur d’autres sites ou applications que ceux depuis lesquels son consentement est recueilli
  • L’éditeur doit faire figurer une liste exhaustive, régulièrement mise à jour, du ou des responsables de traitement de manière permanente à un endroit aisément accessible. 
  • Une transparence accrue pour les utilisateurs et des finalités plus granulaires : par exemple, au lieu de parler de cookies publicitaires, formulation qui reste assez vague, il s’agira de préciser “Affichage de publicité”, “Publicité personnalisée” voire “Publicité géolocalisée”

 

À noter concernant ce dernier point, qu’un ajout substantiel à cette liste nécessitera, que ce soit qualitativement ou quantitativement,  de redemander le consentement de l’utilisateur. Cependant, il ne sera pas obligatoire d’avertir systématiquement les utilisateurs en cas d’ajout non substantiel.

 

Dans ce cas, la CNIL recommande de mettre visuellement les changements en valeur, par exemple en surlignant les nouveaux partenaires ou les changements mineurs des 30 derniers jours dans une couleur différente dans la liste.

 

Bannière de cookies Didomi avec un badge "new" à côté des nouveaux partenaires

 

7. Consentement libre : Il ne faut pas restreindre l’accès en cas de refus des cookies

 

Le consentement ne pourra être valide que si l’utilisateur est en mesure d’exercer librement son choix. La CNIL recommande de proposer un choix symétrique entre acceptation et refus de l’utilisation des cookies.

 

Les deux options devront être disponibles côte à côte, et aucun des deux choix ne devra être visuellement avantagé. Ce sera la fin du couple “Tout accepter” et “En savoir plus” qui favorise implicitement une acceptation des cookies par les visiteurs.

 

Et en pratique, ça donnera quoi ? 

 

  • Donner tant l’option d’accepter que de refuser les opérations de lecture et d’écriture ; 
  • Offrir la possibilité de consentir ou pas avec le même degré de simplicité ;
  • Enregistrer le refus de consentement de manière à ne pas le solliciter à nouveau pour une durée au moins identique à celle d’un consentement positif. Un visiteur qui refuse le dépôt de cookies ne devra donc plus être sollicité à chaque visite sur le site ;
  • Donner la possibilité à l’utilisateur de cliquer sur croix de fermeture du gestionnaire de consentement sans accepter ou refuser le consentement. Donner accès à l’utilisateur à ses consentements et la possibilité de les retirer facilement. Cela peut se faire sous différentes formes : un lien hypertexte en bas de page, une icône statique “cookies” en bas de page, un bandeau “Gérer mes cookies” mis en valeur visuellement…
  • La possibilité de ne pas exprimer de choix, ce qui sera interprété comme un refus (au lieu d'une acceptation) en ne permettra le dépôt d'aucun traceur non-essentiel ;
  • L’utilisateur ne doit pas subir de préjudice s’il choisit de refuser. 

 

Concernant ce dernier point, le CNIL n'est pas catégorique en ce qui concerne les cookies wall. Le Conseil d’État a en effet rendu une décision en juin 2020, considérant que la CNIL outrepassait ses pouvoirs en édictant une interdiction générale et absolue par le biais d’un instrument de droit souple.

 

La CNIL avait émis un communiqué pour signifier qu’elle tiendrait compte de la décision du Conseil d’État dans ses recommandations définitives. Dans les recommandations définitives, elle explique que cela s'appréciera au cas par cas : "La mise en œuvre d’un « cookie wall » est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement [et sa licéité] doit être appréciée au cas par cas."

 

bannière de cookies qui démontrent que "accepter" et "refuser" ont le même resultat

 

8. Consentement spécifique : Chaque finalité devra pouvoir être refusée indépendamment

L’utilisateur devra se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Dans le cadre d’un traitement qui comporterait plusieurs finalités, les utilisateurs devront avoir la possibilité de consentir indépendamment et choisir librement les finalités pour lesquelles ils consentent au traitement de leurs données.

 

Et en pratique, ça donnera quoi ? 

 

Le recueil du consentement peut aussi bien se faire de manière spécifique que globale.  Cependant, si vous demandez à un utilisateur de consentir de façon globale à un ensemble de finalités, vous devez vous assurer que les conditions suivantes soient remplies : 

 

  • Avoir présenté à l’utilisateur, au préalable, l’ensemble des finalités ;  
  • Permettre également à l’utilisateur de consentir ou de refuser finalité par finalité ; 
  • Donner également la possibilité de refuser de façon globale au même niveau et dans les mêmes conditions que la possibilité de consentir de façon globale ;
  • Offrir un choix granulaire pouvant non seulement être fait par finalité, mais également par responsable du ou des traitements.

 

9. Consentement univoque : Il faudra arrêter les bannières de consentement “trompeuses”

 

D’après les recommandations de la CNIL, le consentement doit se manifester par un acte positif clair de l’utilisateur. En d’autres termes, le recueil du consentement doit être effectué de sorte qu’il n’existe aucun doute que l’utilisateur a volontairement consenti au dépôt de cookies sur son appareil et donc, au traitement de ses données.

 

Et en pratique, ça donnera quoi ? 

 

La CNIL fait un sort à toutes les pratiques de dark patterns, ces pratiques de design qui induisent en erreur les visiteurs et les font consentir malgré eux à la collecte de données, au dépôt de cookies ou aux traitements d’un partenaire. La CNIL souligne 3 pratiques que les éditeurs sont encouragés à arrêter :

 

  • Proposer une option “tout accepter” ou des cases pré-cochées sur les modalités de recueil du consentement, et rendre plus difficile ou laborieux le refus du dépôt de cookies ;
  • Suggérer implicitement que le consentement est obligatoire pour continuer la navigation ;
  • Partir du principe que la poursuite de la navigation, aussi connue sous le terme consentement au scroll, équivaut à un consentement de l'utilisateur.

 

À noter que même les plus grandes marques ne respectent pas toujours ces impératifs de clarté et de transparence. Voici 15 exemples de bannières cookies personnalisées par des marques.

  

bannière de cookies Didomi avec possibilité de refuser chaque finalité

 

10. Une CMP peut aider - sans être obligatoire - pour votre mise en conformité

 

Les plateformes de gestion des consentements (souvent désignée sous l’acronyme CMP pour Consent Management Platform) permettent aux éditeurs de sites et d’applications de mettre en œuvre un mécanisme de recueil de consentement conforme aux attentes de la CNIL.

  

Elles offrent l’avantage d’être éditées par des entreprises comme Didomi qui effectuent constamment des veilles juridiques afin d’adapter leurs outils aux normes en vigueur et permettre à leurs entreprises clientes de rester en conformité.

 

Didomi met à disposition différentes solutions afin de permettre aux entreprises de répondre aux différentes exigences de la CNIL, directement dans la Console Didomi, qui permet à nos clients de personnaliser leurs notices de consentement. Il suffira aux acteurs français ou aux éditeurs ayant du trafic provenant de la France d'activer ces options pour les utiliser. 

 

Une CMP comme celle de Didomi vous permet de rester en conformité aux recommendations de la CNIL grâce à :

 

1. La collecte du consentement 

La CMP doit permettre un recueil du consentement conforme aux exigences de la CNIL en donnant facilement accès aux utilisateurs à l’ensemble des finalités et des partenaires auxquels ils souhaitent donner leur consentement, soit de manière globale ou granulaire et en proposant des choix symétriques entre accepter et refuser.

 

2. La présence d’un espace spécifique de gestion des cookies et traceurs 

L’utilisateur doit pouvoir, en quelques clics, avoir accès à ses consentements et pouvoir les retirer facilement depuis le site Internet sans avoir à entrer dans les paramètres du navigateur. Cela peut se faire sous différentes formes grâce à la CMP : un lien hypertexte en bas de page, une icône statique “cookies” en bas de page, un bandeau “Gérer mes cookies” mis en valeur visuellement… Cet espace doit être accessible tout au long de la navigation, peu importe la page où se trouve l’utilisateur.

 

3. La gestion du retrait de consentement 

Le RGPD précise que les individus doivent pouvoir retirer leur consentement aussi facilement qu’ils l’ont donné. Cette règle s’applique également aux consentements liés aux cookies, et implique que les visiteurs aient accès à un espace de gestion de leurs consentements, et soient informés des modalités de retrait des consentements donnés lors de la collecte du consentement. L'utilisateur doit être informé en première page de la possibilité de revenir à tout moment sur ses choix. Le lien qui lui permet de changer ses choix doit être accessible sur toutes les pages à un endroit visible et pendant toute la durée de navigation. Le texte renvoyant vers la bannière de collecte des consentements doit être clair et intuitif comme "Gérer mes cookies" ou "Préférences cookies".

 

4. L’apport de la preuve du consentement 

La CNIL vérifiera que le consentement a été obtenu dans les règles, en respectant les 4 principes de la validité du consentement : éclairé, libre, spécifique, univoque. Cela signifie que vous devez conserver et être en mesure de fournir la preuve de la collecte du consentement. Vous pouvez également choisir de passer par un prestataire, comme Didomi, à qui il incombera de conserver ces informations et de vous les fournir en cas de contrôle de la CNIL.

 

Nous vous invitons aussi à découvrir comment la solution de Didomi peut vous accompagner.

  

CMPs sur les écrans des iphones

 

11. Démarrez votre mise en conformité 

La première étape est de cartographier vos données en recensant précisément la manière dont elles seront traitées afin de prioriser les actions à mener. Didomi dispose d’un outil d'audit de conformité qui vous donnera une vue d’ensemble des partenaires présents sur vos sites, des cookies qu’ils y déposent ainsi que la durée de vie de ses cookies.

 

La deuxième étape consistera à prioriser vos actions en vous assurant de ne collecter que les données nécessaires à votre activité, de contacter vos partenaires afin d’harmoniser vos pratiques ou encore de déterminer la base juridique de vos traitements de données.

 

Pour la troisième temps, il conviendra d’évaluer votre mécanisme actuel de recueil de consentement et de vérifier que vous disposez des outils adéquats pour recueillir un consentement conforme, soit en mettant votre CMP actuelle à jour ou en acquérant une solution adaptée telle que celle de Didomi.

 

Quatrième étape, une fois votre mécanisme de recueil de consentement en place, il faudra passer au paramétrage de la bannière depuis la console de votre CMP. Au-delà des aspects liés à la conformité, il conviendra de déterminer de manière générale l’expérience client que vous souhaitez donner à vos utilisateurs (format pop-in, bannière basse...) car cela jouera sur le taux de consentement et la confiance que vos visiteurs accorderont à votre entreprise.

 

Contactez-nous pour démarrer un audit de conformité.

Vous n’avez pas trouvé de réponse à votre question ? N’hésitez pas à nous la soumettre, nous vous répondrons directement et l’ajouterons dans une section FAQ ainsi que la réponse.

  

Cette page, rédigée entièrement par Didomi, a pour objectif de vous aider à comprendre et à mettre en œuvre les recommandations réglementaires de la CNIL. Référez-vous en priorité au site Internet et aux réseaux sociaux officiels de la CNIL pour obtenir les recommandations directement du régulateur.

 

Un bouton pour organiser une démo avec Didomi

 

FAQ : Réponses aux questions courantes sur les recommandations de la CNIL

 

Pour complémenter les FAQ rendues publiques par la CNIL le 1er octobre 2020, nous avons compilé ici une liste des questions les plus fréquemment posées.

 

Quelle est la durée de conservation des cookies ?

 

La durée de vie des cookies avait jusqu’ici été fixée à treize mois, et l'industrie s'attendait à ce que la CNIL impose de réduire la validité d’un consentement à six mois, ce qui implique que les cookies expireront également au bout de six mois.

 

Finalement, la CNIL laisse davantage de liberté aux éditeurs, suggérant une durée de 6 mois (proposant donc de recollecter le consentement tous les 6 mois) sans pour autant l'imposer.  : "La durée de conservation des choix devra être appréciée au cas par cas (au regard de la nature du site web ou de l’application concernée et des spécificités de son audience). Généralement, une conservation des choix pendant une durée de 6 mois constitue une bonne pratique."

 

Rappel : vous êtes libre de déterminer une durée de vie différente pour vos cookies si cela est pertinent, mais vous devrez être en capacité de justifier la durée que vous choisirez.

 

Faudra-t-il pouvoir démontrer le consentement individuel ?

 

Puisque vous devez demander à vos visiteurs de consentir au dépôt de traceurs sur leur appareil, vous devez également être en mesure de prouver que vous avez obtenu ce consentement lors d’un contrôle du régulateur.

 

La CNIL suggère d’enregistrer les éléments suivants pour chaque consentement :

  1. La date et l’heure. On parle d’horodatage du consentement ;
  2. Le site ou l’application pour lequel le consentement a été obtenu ;
  3. Les finalités auxquelles l’utilisateur a consenti.

 

La bonne pratique : l’utilisation d’une CMP (Consent Management Platform) vous permet de garder une trace valide et à jour des consentements de l’ensemble de vos visiteurs.

 

De combien de temps disposez-vous pour vous mettre en conformité ?

 

La CNIL propose 6 mois à compter de la date de publication de ses recommandations, laissant donc jusqu'à mars 2021 pour la mise en conformité. Cependant, quelques points comme le recueil de consentement sont déjà obligatoires. Le délai de six mois concerne les “nouvelles mesures” comme l’interdiction de collecter le consentement avec le scroll.

 

La CNIL rappelle évidemment que, indépendamment des recommandations de et du délai de mise en conformité de 6 mois, elle sera attentive à tout abus de collecte et d'usage de données personnelles : "La CNIL est en tout moment en mesure de poursuivre des manquements portant une atteinte particulièrement grave au droit au respect de la vie privée."

 

Qu’est-ce qu’un  "cookie wall" ? Qu’en dit la CNIL ?

 

Un cookie wall est un dispositif qui empêche un internaute d’accéder à l’affichage du contenu d’un site Internet s’il n’accepte pas que des traceurs (cookies) soit installés sur son périphérique.

 

La CNIL estimait dans ses lignes directrices que l’utilisation d’un cookie wall rendait impossible le consentement libre dès lors que le refus entraînait l’impossibilité d’accéder au site, mais le régulateur a été contredit le Conseil d’Etat dans un arrêt du 19 juin 2020, juge que la CNIL n’a pas le pouvoir de poser cette interdiction. L'usage de cookie walls n'est donc pas explicitement interdit par la CNIL.

 

Quelles sont les recommandations sur le design des plateformes de gestion de consentement (CMP) ?

 

Nous avons de multiples ressources qui vous aideront à comprendre les bonnes pratiques pour mettre en pratique une plateforme de gestion de consentement. Vous pouvez les consulter ici

 

Que vérifie la CNIL ? Fera-t-elle des contrôles ciblés suite à ses recommandations ?

 

La CNIL effectue déjà régulièrement des contrôles autour du traçage de la navigation des individus sur Internet, et les traceurs et le consentement seront un des sujets phares de ces prochains mois. 

 

Dans une première étape, les actions de la CNIL se limiteront à vérifier que les recommandations de 2013 qui figurent dans les nouvelles recommandations sont bien appliquées. La CNIL pourra prendre des mesures, voire des sanctions si ce n’est pas le cas.

 

Dans une seconde étape, des missions de contrôle sur l’application du nouveau cadre seront réalisées à la fin de la période d’adaptation de 6 mois. Les contrôles porteront notamment sur les acteurs ayant un impact particulièrement important sur le quotidien des citoyens/associations qui déposent régulièrement des plaintes, et dont les pratiques posent de sérieuses questions de conformité. 

 

Ces contrôles seront également initiés suite à :

 

  • Des plaintes et réclamations adressées à la CNIL ;
  • Des sujets d’actualité nécessitant le contrôle des traitements mis en œuvre ;
  • Des mesures correctrices (mises en demeure, sanctions…) imposant de nouvelles vérifications.

 

Y a-t-il déjà eu des avertissements ou amendes pour non-conformité ?

 

Il n’y a pas encore eu de sanction pour non-conformité. La CNIL prévoit une période d’adaptation de 6 mois au terme de laquelle elle commencera ses missions de contrôle sur l’application du nouveau cadre.

 

Cela étant dit, la CNIL a déjà par le passé infligé des amendes pour non-respect du RGPD. Ces amendes peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial pour une grande entreprise.

 

L’amende donnée en 2019 à Google pour manque de collecte de consentement clair (non-lié aux cookies et traceurs, mais à l'utilisation générale des données des français) d’un montant de 50 millions d’euros est celle qui a récemment le plus marqué les esprits. Le Conseil d'Etat a confirmé cette amende en 2020.

 

Le CNIL impose-t-elle l'utilisation d'une CMP payante / privée ? 

 

La CNIL n’émet pas de recommandations particulières concernant le choix du mécanisme de recueil de consentement. Une liste de CMP publiée en 2018 sur son site Internet a d'ailleurs été retirée par la CNIL, étant obsolète. 

 

Vous devrez donc déterminer de vous même de l’utilisation d’une CMP qui peut-être soit « maison » ou payante/privée comme celle de Didomi. Les CMP payantes offrent l’avantage de se tenir à jour d’un point de vue juridique, d’offrir des fonctionnalités utiles tels que l’A/B test ou encore de personnaliser l’interface utilisateur pour l’adapter à votre marque.

 

{{cta('9dd6f60d-de60-43c1-ad61-00488d98908e')}}

 

Peut-on être conforme avec un simple bandeau de consentement “maison” ?

 

Oui à partir du moment où ce bandeau suit les recommandations de la CNIL. Vous trouverez quelques exemples de paramétrage de votre notice de consentement sur cette page mis à disposition de la CNIL.

 

Quels peuvent être les impacts sur les taux d'opt-in ? Vais-je avoir moins de données pour mon site ou mon application ?

 

Les recommandations vont offrir davantage de transparence et de choix aux utilisateurs concernant la suite qu’ils souhaitent donner au traitement de leurs données. Si aujourd’hui les taux de consentement se situent généralement autour de 85%-95%, il faudra s’attendre à une évolution à la baisse après la mise en conformité de votre site Internet.

 

Vous aurez sûrement moins de données mais l’enjeu à l’avenir sera de collecter celles qui sont réellement utiles à votre activité, de réfléchir à de nouvelles solutions pour obtenir ces informations et de construire un capital confiance avec l’utilisateur sur la durée.

 

Une plateforme de gestion de consentement comme celle de Didomi permet d’effectuer un suivi régulier du taux de consentement et de réaliser de l’A/B test pour comprendre comment le design, le texte ou encore l’animation des bannières de consentement peuvent positivement impacter ce taux.

 

Existera-t-il des exemptions, ou exceptions, autorisées par la CNIL ?

 

Les règles décrites ci-dessus s’appliqueront à toutes les entreprises qui utilisent, dans leurs applications ou sur leurs sites, des traceurs récoltant des données personnelles dans le cadre de leurs activités numériques. Il existera probablement des exceptions, pour lesquelles la CNIL considère que l’usage n’aura pas besoin de consentement :

 

  • Les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la volonté de celui-ci de ne pas exprimer un choix ;
  • Les traceurs destinés à l’authentification auprès d’un service ;
  • Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ;
  • Les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service ;
  • Les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • Les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée ;
  • Les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs.

 

Existe-t-il des outils me permettant de savoir si je suis conforme ou non ?

 

Il n’existe pas (encore) d’outil officiel de la CNIL pour savoir si vous êtes conforme ou non à ses recommandations en termes d’utilisation de cookies et autres traceurs. Il existe néanmoins des outils vous permettant de “scanner” votre site web très rapidement :

 

  • Blacklight est “inspecteur de vie privée” automatique et gratuit, il suffit d’entrer l’URL de n’importe quel site
  • Ghostery est une extension Chrome & Firefox vous permettant d’identifier quels traceurs utilisent les sites sur lesquels vous naviguez
  • Didomi propose un “rapport de conformité” de vos sites web, mais celui-ci n’est accessible que via une demande de démo (gratuite)
  • Cookieviz est un outil de la CNIL qui intègre de nouvelles fonctionnalités d’analyses avancées des sites, le support multilingue ainsi que de nouvelles options pour prédéfinir des parcours de visites.
  • Analyze est un outil qui vous permet de vérifier les mesures de protection des données prises par un site pour vous aider à exercer un contrôle sur votre vie privée. 

 

Comment gérer mes cookies Analytics ?

 

Les cookies Analytics peuvent dans certains cas être exemptés de consentement préalable à leur dépôt. Notamment les cookies liés à la mesure d’audience comme par exemple AT Internet et Matomo.

 

La CNIL acceptera probablement que des cookies et traceurs soient déposés sans avoir à demander un consentement à l’utilisateurs si les conditions suivantes sont strictement respectées :

 

  • Vous devez informer vos visiteurs sur la mesure d’audience : l’outil que vous utilisez, ce que vous mesurez, les données collectées, combien de temps vous les conservez, et autre information pertinente dans votre contexte ;
  • Vous devez permettre à vos visiteurs d’accéder aux données qui ont été collectées sur eux (droit d’accès) ;
  • Vos visiteurs doivent pouvoir s’opposer facilement au suivi de leurs activités, par exemple avec l’extension DoNotTrack ou n’importe quel outil de ce type ;
  • Le traceur doit servir exclusivement à suivre l’audience, évaluer le contenu, faire de l’A/B test et segmenter l’audience en cohorte, sans ciblage individuel ;
  • Les données ne doivent jamais être recoupées avec une autre base, ni à suivre les activités sur d’autres sites internet tiers ;
  • L’adresse IP ne doit pas donner plus d’informations que la ville de connexion (les 3 derniers octets doivent être masqués) ;
  • La CNIL recommande que le traceur doit expirer au bout de 6 mois maximum, sans renouvellement.

 

A noter que Google Analytics ne sera pas exempté de demande de consentement car Google se réserve le droit dans ses conditions générales de faire transiter les données de Google Analytics vers d’autres entités Google.

 

Quelles informations la CNIL recommande de faire figurer au premier niveau ?

 

Pour résumer voici ce qu'il faudra prévoir de voir figurer au premier niveau d’information dans les nouvelles recommandations CNIL:

 

  • La liste des finalités détaillées ;
  • La liste des responsables de traitement qui traitent les données collectées ;
  • La liste des sites/applications pour lequel le consentement est collecté ;
  • La possibilité de revenir sur ses choix à tout moment ;
  • Si le consentement est demandé globalement, un bouton "J'accepte tout" et un bouton "Je refuse tout" ;
  • La durée de vie des cookies et éventuellement les catégories de données collectées ;
  • La durée de vie du consentement (6 mois est recommandé par la CNIL).

 

Le bouton "Refuser tout" en première page est-il obligatoire ?

 

Oui, les recommandations de la CNIL prévoient que les finalités ainsi que la possibilité d’y consentir, ou de s'y opposer, figure au premier niveau de l’interface de consentement. Sachant qu’il devra y avoir symétrie parfaite entre les choix « accepter »et « refuser », il faudra s’attendre à ce que le bouton "Refuser" apparaisse également obligatoirement dès le premier le niveau (en première page).

 

Est-ce que je peux bloquer l'accès à mon site si l'utilisateur refuse les cookies ?

 

Dans son projet de recommandation, la CNIL avait initialement statué au sujet des cookies wall en estimant que bloquer l’accès d’un site Internet suite au refus d’un utilisateur allait à l’encontre du principe de consentement libre. Néanmoins, une décision du Conseil d’Etat de juin 2020 a invalidé cette décision. Le CNIL explique qu'elle appréciera les usages au cas par cas.