fbpx

cookies

cookies et RGPD

Les cookies : suite et fin ?

Les cookies : suite et fin ? 960 640 Optimex Data

Optimex Data vous présente les dernières actus cookies et RGPD

cookies et rgpd

C’est presque un rituel désormais de faire le point sur les recommandations en matière de cookies. En effet, entre les premières lignes directrices, les précisions de la CNIL, l’invalidation de certaines par le conseil d’Etat, les évolutions ont été régulières sur ces deux dernières années. Avant de vous présenter les nouvelles lignes directrices de la CNIL, on vous propose un court calendrier rétrospectif de l’année écoulée :

Le 7 janvier dernier on vous faisait un point sur les lignes directrices de la CNIL pour l’utilisation des cookies ;

– Le 21 février on vous faisait un point sur les dernières précisions de la CNIL, notamment, que le fait de continuer à naviguer sur un site ne constitue pas des actions positives claires assimilables à un consentement valable ;

– Le 23 juin on reprenait la plume pour vous décrypter la décision du Conseil d’Etat qui invalidait les lignes directrices de la CNIL sur le sujet des cookies wall.

Vous pensez qu’on en resterait là ? C’est parti pour une petite présentation des lignes directrices modificatives de la CNIL et sa recommandation concernant les Cookies et autres traceurs !

Consentement aux Cookies

Dans sa délibération, la CNIL fait tout d’abord un point sur le consentement en matière de cookies et autant vous le dire maintenant, rien de nouveau sous le soleil !

L’autorité de contrôle rappelle, tout d’abord, que « toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus de consentir ». En d’autres termes, le consentement est UNIQUEMENT matérialisé lorsque l’utilisateur a CLAIREMENT CLIQUE SUR LE BOUTON POUR ACCEPTER LES COOKIES.

A contrario, la CNIL refait également un point sur les traceurs nécessaires qui bénéficient à ce titre d’une exception au recueil du consentement.

En lien direct avec le consentement, les conditions du refus sont aussi précisées par la CNIL qui redit l’importance d’offrir un moyen de refuser les cookies aussi aisé que celui pour les accepter (fini les 154 cases à décocher). La CNIL en profite pour se prononcer sur la durée de conservation du refus en préconisant de le conserver un moment « afin de ne pas réinterroger l’internaute à chacune de ses visites ». Cependant, aucune durée n’est clairement indiquée.

Enfin, la CNIL souligne que « les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur ».

Information des Personnes

Concernant l’information éclairée des personnes, sans surprise, ces dernières « doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ».

A cette fin, la CNIL a rédigé, dans ses délibérations, des exemples de présentation des finalités selon chaque type de traceurs : publicité personnalisée, publicité non personnalisée, personnalisation de contenue, etc….

Précision : les personnes concernées « doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement ».

Design du Bandeau Cookie

Là encore, il ne s’agit pas d’une innovation mais la CNIL recommande à nouveau un bandeau cookie qui comprendrait un bouton « tout refuser ».

Pour ces boutons généraux d’acceptation ou de refus l’autorité de contrôle présente quelques possibilités de formulation : « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et «je n’accepte rien».

Enfin, la Commission recommande de mettre en place une liste des finalités des cookies sur le premier écran du bandeau et « une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement » (interface accessible en cliquant sur le bouton « paramétrer »).

Elle en profite pour souligner l’importance du design dans le caractère intelligible ou non de l’information tout en validant l’usage de boutons types « slider » (glissant).

Pour conclure, il est fortement recommandé de se pencher dès à présent sur la gestion de vos cookies, et de s’assurer de la conformité de votre site internet. Vous avez désormais un peu moins de 6 mois, puisque la CNIL a donné sa deadline pour être en conformité « au plus tard fin mars 2021 ».

La position du Conseil d’État concernant les lignes directrices de la CNIL en matière de cookies et autres traceurs

La position du Conseil d’État concernant les lignes directrices de la CNIL en matière de cookies et autres traceurs 960 640 Optimex Data

Lors de notre dernière newsletter, nous vous avions fait part des nouvelles recommandations de la CNIL en matière de cookies et autres traceurs.  En effet, la CNIL avait publié ses lignes directrices début juillet pour encadrer le dépôt et la lecture des cookies et autres traceurs lorsque l’internaute se rend sur un site internet.

Le 19 juin 2020, le Conseil d’Etat a validé pour l’essentiel les lignes directrices relatives aux cookies et traceurs adoptées par la CNIL le 4 juillet 2019. L’objectif de ces lignes directrices était d’encadrer juridiquement l’utilisation des cookies et traceurs afin de garantir aux utilisateurs la maitrise de leurs données personnelles.

Toutefois, une pratique a été formellement annulée par le Conseil d’Etat, à savoir le « Cookies Walls ». Les cookie walls sont utilisés par les sites web pour refuser l’accès aux utilisateurs s’ils ne consentent pas à tous les cookies et traceurs présents sur ce site.

Les lignes directrices validées par le Conseil d’Etat

Lors de sa décision, le Conseil d’Etat a validé l’essentiel des interprétations ou recommandations contenues dans les lignes directrices à savoir :

  • Toute personne doit pouvoir refuser de donner son consentement aussi facilement que de l’accorder;
  • Toute personne doit pouvoir retirer son consentement aussi facilement qu’elle ne l’a donné ;
  • Tout consentement doit être donné pour une finalité déterminée ce qui implique une information spécifique pour chaque finalité envisagée ;
  • Toute personne doit être informée de l’identité du/des responsable(s) de traitement qui effectue(nt) le dépôt des cookies
  • Tout responsable de traitement doit être en mesure de démontrer que le consentement recueillis est valide

La censure du Conseil d’Etat

Le Conseil d’Etat a pris la décision de censurer un alinéa par lequel la CNIL estimait qu’un internaute ne devait pas subir d’inconvénients majeurs en cas d’absence ou de retrait du consentement. La CNIL avait précisé dans ses recommandations que l’accès au site internet ne pouvait jamais être interdit si l’utilisateur n’accepte pas les cookies.

Pour prendre une telle décision, la CNIL s’était basée sur la position du CEPD (Comité Européen de Protection des Données personnelles).

Le Conseil d’Etat estime qu’en déduisant cette interdiction générale du RGPD, la CNIL a été au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices.

Et maintenant ?

Pour conclure, et suite à la décision du Conseil d’Etat, les lignes directrices seront ajustées afin de prendre en considération les différents points apportés par le Conseil d’Etat et ainsi être conforme.

Pour rappel, les modalités de recueil du consentement aux cookies seront précisées dans une future recommandation de la CNIL, qui a fait l’objet d’une consultation publique.

L’ajustement des lignes directrices et l’adoption de cette recommandation doit intervenir après la rentrée de septembre 2020.

cookies et site internet

Avez-vous des cookies sur vos sites internet ?

Avez-vous des cookies sur vos sites internet ? 960 639 Optimex Data
RECOMMANDATIONS DE LA CNIL POUR L’UTILISATION DES COOKIES :

Le 4 juillet 2019, la CNIL publie des lignes directrices sur l’application de l’article 82 de la loi du 6 janvier 1978 qui encadre les actions visant à accéder ou à inscrire des informations dans le terminal d’un utilisateur telles que le dépôt ou la lecture de cookies ou d’autres traceurs lorsque l’internaute se rend sur un site internet.

L’objectif de ces traceurs peut-être par exemple : mesurer l’audience du site, adresser de la publicité ou interagir avec des réseaux sociaux. Le consentement de l’utilisateur sera obligatoire dès lors que le cookie n’est pas nécessaire au fonctionnement du site en question.

Dans un communiqué en date du 28 juin 2019, la CNIL annonce son projet de recommandation proposant des modalités opérationnelles de recueil du consentement. Ce projet sera soumis à consultation publique jusqu’au 25 février 2020, en vue de la préparation de la version définitive de la recommandation.

Selon une étude réalisée par l’IFOP, il en ressort que 65% des personnes indiquent avoir déjà accepté des cookies alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus. 65% des personnes interrogées estiment que les demandes d’autorisation actuelles ne sont pas efficaces.

Par conséquent, la CNIL exige désormais un consentement libre, spécifique, éclairé et univoque.

La CNIL a estimé que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». La commission ordonne désormais un acte positif.

Le consentement ne peut être valide que si l’utilisateur est en mesure d’exercer librement son choix. Tout d’abord, le responsable du ou des traitements devrait offrir à l’utilisateur tant la possibilité d’accepter que celle de ne pas accepter (en d’autres termes, de refuser) les opérations de lecture et/ou écriture.

L’utilisateur ne devrait pas subir de préjudice s’il choisit de refuser. Ainsi, le choix exprimé par l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, devrait être enregistré de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur. La commission rappelle que « la pratique qui consiste à bloquer l’accès à un site ou à une application mobile pour qui ne consent pas à être suivi n’est pas conforme au RGPD ».

Enfin, ces interfaces ne devront pas utiliser de pratiques de design potentiellement trompeuses, telles que l’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser.

L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Ainsi, le simple fait d’accepter les conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique. L’utilisateur devra être informé, de manière claire et précise, des finalités. Celles-ci devront être accessibles pour l’utilisateur et non pas noyées dans des conditions générales.

Pour connaitre en détail le projet de recommandation, cliquez sur ce lien

Pour consulter l’étude réalisée par l’IFOP, cliquez ici.