RAPPEL DU CONTEXTE : feuilleton interminable… ou presque

Depuis 2013, ce sujet est récurrent dans les tribunes de la CNIL qui publie régulièrement des recommandations. Depuis l’entrée en vigueur du RGPD, les choses ne se sont pas simplifiées. Dans ce cadre, la CNIL a publié ses lignes directrices en matière de cookies le 4 juillet 2019 (règles applicables). En janvier dernier, elle a publié un projet de recommandation des modalités pratiques du recueil de consentement conforme aux règles applicables, ouvert à consultation publique.

La CNIL a adopté la version finalisée le 17 septembre 2020, version révélée aujourd’hui, 1er octobre 2020.

Ni prescriptive ni exhaustive, cette recommandation a pour but de guider les professionnels ayant recours aux cookies afin qu’ils recueillent le consentement des internautes en bonne et due forme.

2 objectifs affichés :

Clarifier la situation en orientant les acteurs sur le cadre applicable ;
Informer l’internaute sur le contrôle qu’il peut exercer sur ces traceurs.

Quelles sont les principales avancées de cette recommandation ?

· Adieu les cookies walls : désormais, le simple fait de continuer sa navigation sur un site internet ne vaudra pas consentement au dépôt de cookies.

Consentement : l’internaute doit consentir au dépôt de cookies par un acte positif clair, tel que le fait de cocher une case « accepter le dépôt des cookies ».

Réciprocité : aussi simple d’accepter et de refuser ! Le retrait du consentement doit être accessible facilement et à tout moment pour l’internaute. Le refus du dépôt de cookies doit être aussi facile d’accès que l’acceptation du dépôt de cookies.

Informations : les internautes doivent être clairement informés de l’intérêt d’installer chaque cookie et des conséquences en cas de refus ou d’acceptation. Les internautes doivent également être informés de l’identité des acteurs utilisant les traceurs.

· Les acteurs exploitant ces traceurs doivent pouvoir prouver à tout moment qu’ils ont recueilli un consentement libre, éclairé, spécifique et univoque de l’internaute.

Quels sont les conseils ergonomiques de la CNIL ?

1. Sur le consentement

La CNIL recommande vivement aux acteurs de proposer 2 boutons dès le premier stade d’information :

- un bouton tout accepter

- un bouton tout refuser

Elle recommande également de prévoir 1 bouton permettant de consentir ou refuser, finalité par finalité, au deuxième niveau d’information. Exemple : j’accepte le dépôt de cookies à des fins statistiques mais je refuse le dépôt de cookies à des fins publicitaires.

2. Sur l’information

La CNIL propose l’illustration suivante pour informer les internautes des finalités de dépôt de cookies. Elle recommande de le faire au premier niveau d’information :

POLITIQUE COOKIES

Publicité personnalisée : (nom de votre site/application et des sociétés partenaires) utilise(nt) des traceurs dans le but de mesure l’audience de la publicité (nom de votre site) sans vous profiler.

La CNIL recommande ensuite de mettre en place un bouton de menu déroulant permettant à l’internaute d’obtenir plus de détails sur les finalités du dépôt. Par exemple, le fait que la publicité personnalisée permette de ne pas présenter de manière trop répétitive une même publicité à un internaute.

Pour encore plus de transparence, le responsable de traitement peut également indiquer les catégories de données collectées.

3. Sur la durée de conservation de l’acceptation ou du refus de dépôt de cookies

La CNIL suggère aux acteurs de conserver le refus de l’internaute « pendant un certain temps » afin de ne pas le réinterroger à chaque connexion au site internet.

Elle recommande également de ne plus afficher le bandeau « cookies » au bout d’un laps de temps court de navigation dès lors que l’internaute n’a pas manifesté son choix d’accepter le dépôt de cookies. L’apparition de ce bandeau pourrait conditionner le confort de navigation de l’internaute et le pousser à accepter le dépôt de cookies.

Enfin, elle considère que le fait de conserver l’acceptation ou le refus pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.

4. Sur le retrait du consentement

Un lien accessible à tout moment sur le service concerné afin de retirer ce consentement serait une bonne pratique pour permettre à l’internaute de retirer facilement son consentement.

5. Sur la preuve du recueil conforme du consentement

Cette preuve pourrait notamment être une capture d’écran du site ou de l’application, horodatée, pour chaque version.

Quels sont les traceurs exemptés du recueil du consentement ?

- Les traceurs destinés à s’authentifier auprès d’un service

- Ceux destinés à garder en mémoire le panier d’achat de l’internaute sur un site marchant

- Certains traceurs de statistiques de fréquentation

Cette liste n’est pas exhaustive et a vocation à simplement donner des illustrations en la matière.

La CNIL indique que le délai de mise en conformité est de 6 mois. Autrement dit, à compter de mars 2021, la CNIL pourra faire des contrôles et sanctionner les organismes qui ne se conforment pas aux nouvelles règles de protection !

Pour lire la recommandation c’est par ici !

Retrouvez nos articles sur cette saga cookies :

La réponse du Conseil d’état, en opposition à celle de la CJUE

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Ainsi que notre infographie sur la meilleure recette de cookies pour être conforme :