Nouvelles recommandations de la CNIL sur les cookies et traceurs (juillet 2019)

📆 Le 1er octobre 2020, la CNIL a annoncé ses nouvelles recommandations, nous y avons consacré un article sur notre blog.

📆 Le 28 juin 2019 la Commission nationale de l’informatique et des libertés (CNIL) a annoncé son plan d’action pour l’année 2019/2020 et a décidé de venir mieux encadrer le ciblage publicitaire en ligne.

📕 C’est dans ce contexte que, le 4 juillet 2019, la CNIL a adopté de nouvelles directrices sur les cookies et autres traceurs et a abrogé sa recommandation de 2013 qui n’était plus conforme au RGPD. En effet, les lignes directives du Comité européen de protection des données (CEPD) sur le consentement sont venues renforcer les conditions tenant au consentement valide et ont, par conséquent, rendu obsolètes les anciennes recommandations de la CNIL sur le sujet.

La CNIL a décidé de laisser une période transitoire de douze mois aux opérateurs après la publication de ses nouvelles lignes directives pour se mettre en conformité mais uniquement sur les points divergent des précédentes directives de 2013. Dans le même temps, des concertations avec les professionnels sont prévues de septembre 2019 à janvier 2020 afin de publier début 2020 une recommandation finale proposant les modalités opérationnelles concernant le recueil du consentement. Les opérateurs auront donc 6 mois pour se mettre en conformité après cette publication.

Quelles sont donc les différents points contenus dans les nouvelles lignes directrices de la CNIL ?

La délibération du 4 juillet 2019 comprend au total 7 articles.

  • Article 1 : Cet article commence par clarifier le champ d’application des lignes directrices. Ces dernières s’appliquent Ă  « toutes les opĂ©rations visant Ă  accĂ©der, par voie de transmission Ă©lectronique, Ă  des informations dĂ©jĂ  stockĂ©es dans le terminal de l'abonnĂ© ou de l'utilisateur ou Ă  inscrire des informations dans cet Ă©quipement ». 

Cela inclut tous les traceurs qu’ils soient dĂ©posĂ©s sur mobile, sur tablette, sur ordinateur, sur tĂ©lĂ©vision ou encore console de jeux vidĂ©o et plus globalement Ă  tout appareil connectĂ© Ă  un rĂ©seau de tĂ©lĂ©communication ouvert au public. 

De plus, la CNIL rappelle que cette règlementation s’applique à toutes les données y compris les données n’étant pas des données à caractère personnel. Il faut donc obtenir le consentement pour le dépôt de traceur y compris si les informations collectées ne sont pas des données à caractère personnel ! En outre, tous les traitements de données à caractère personnel portant sur ces traceurs sont soumis au RGPD.

🔎 Solutions apportées par Didomi : Les solutions proposées par Didomi sont en total conformité avec cette nouvelle ligne directrice que ce soit sur desktop ou sur mobile. Grâce à des SDK (sur IOS ou sur Android) parfaitement à jour, Didomi est l’une des rares entreprises sur le marché à offrir une solution couvrant la plupart des équipements ouvert à un réseau public permettant ainsi de recueillir le consentement
de l’utilisateur en totale adĂ©quation avec la lĂ©gislation en vigueur. 

  • Article 2 : La CNIL s’attèle ici Ă  Ă©noncer dans quels cas le recueil du consentement est considĂ©rĂ© comme valide. 

Dans un premier temps, elle affirme que le consentement n’est valable que si l’utilisateur ne subit pas d’inconvénients majeurs en cas de refus ou de retrait de consentement. Elle rappelle donc qu’il n’est pas conforme au RGPD de bloquer l’accès au site si l’utilisateur refuse de donner son consentement.

⚠️ Quid des cookies walls ?

A ce jour, on observe un flou juridique à propos de la légalité des cookie walls, qui s'apprécie au cas-par-cas. En cas de plainte, la CNIL peut alors mener l'enquête et les invalider si nécessaire.

 

Le consentement doit bien sûr être spécifique pour chaque finalité différente et ces dernières doivent être simples et compréhensibles. Il reste tout de même acceptable de laisser la possibilité à l’utilisateur d’accepter globalement l’ensemble des finalités tout en lui laissant la possibilité de faire un choix spécifique (un bouton accepter tout doit être accompagné d’un lien permettant à l’utilisateur de faire un choix granulaire). A ce titre, l’acceptation des conditions générales d’utilisation n’est pas considérée comme un recueil de consentement valable.

PrĂ©alablement au recueil du consentement, l’identitĂ© du responsable de traitement, les finalitĂ©s (textes regroupant l’ensemble des finalitĂ©s), les partenaires collectant des donnĂ©es Ă  l’aide des traceurs sur le site (lien en première page vers les partenaires), et l’existence du droit de retirer son consentement doivent ĂŞtre clairement visibles. 

La CNIL considère que le fait de continuer à naviguer sur le site web/application ou de faire défiler la page d’un site ou d’une application ne sont pas des actions positives claires et ne constituent donc pas un consentement valable. Il est donc clair que le fait de scroller ou le clic de navigation ne sont plus tolérés par l’autorité de protection des données !

Il faut également que les éditeurs soient capables d’apporter la preuve à tout moment l’existence du consentement valable. Lorsque les éditeurs font appel à un sous-traitant pour cette tâche, une simple clause ne suffit pas à remplir cette obligation !

🔎 Solutions apportĂ©es par Didomi : Les solutions Didomi permettent de collecter le consentement conformĂ©ment Ă  ces nouvelles directives. De plus, Didomi permet d’effectuer de l’AB Testing afin d’optimiser toutes les collectes de consentement. 

  • Article 3 : La CNIL prĂ©cise que les acteurs dĂ©posant des traceurs/cookies sur le site d’un Ă©diteur et traitant les donnĂ©es pour leur compte peuvent ĂŞtre considĂ©rĂ©s comme responsables de traitement conjoints voire de responsable de traitement.

🔎 Solutions apportĂ©es par Didomi : Grâce aux bannières Didomi, l’ensemble des informations Ă©noncĂ©es prĂ©cĂ©demment sont explicitement donnĂ©es. Ainsi, l’utilisateur Ă  une vue complète des partenaires de l’éditeur et peut donc bloquer tous les vendors ou faire un choix plus granulaire. 

  • Article 4 : Le paramĂ©trage du navigateur ne suffit pas et ne permet pas Ă  l’utilisateur de donner un consentement valide. 

🔎 Solutions apportĂ©es par Didomi : Les solutions Didomi permettent Ă  l’utilisateur de faire un choix directement sur le site internet et de donner un consentement valide. Il n’a donc pas Ă  rentrer dans les paramètres du navigateur. 

 

  • Article 5 : Certains traceurs de mesure d’audience ou d’optimisation peuvent ĂŞtre considĂ©rĂ©s comme des cookies essentiels et donc ĂŞtre exemptĂ©s de consentement uniquement dans certaines conditions strictes seulement. 

🔎 Solutions apportĂ©es par Didomi : Didomi permet de dĂ©poser les cookies de mesure d’audience. L’utilisateur a la possibilitĂ© de s’opposer Ă  ce traitement. Si certains de ces cookies sont considĂ©rĂ©s comme « essentiels », l’information est donnĂ©e de manière explicite Ă  l’utilisateur. 

  • Article 6 : Les traceurs strictement nĂ©cessaires Ă  la fourniture du service Ă  la demande de l’utilisateur et ceux permettant de fournir ou faciliter la communication par voie Ă©lectronique sont exemptĂ©s de consentement.

🔎 Solutions apportées par Didomi : Les solutions Didomi permettent de déposer les cookies strictement nécessaires tout en informant l’utilisateur.

  • Article 7 : Cet article abroge l’ancienne directive de la CNIL de 2013.

L’important Ă  retenir de cette nouvelle recommandation est qu’il n’est dĂ©sormais plus acceptable de collecter le consentement grâce Ă  la poursuite de la navigation et que chaque Ă©diteur doit ĂŞtre capable de prouver Ă  tout moment qu’il a recueilli le consentement en respectant les exigences lĂ©gales. 

De plus mĂŞme si la CNIL laisse une pĂ©riode transitoire aux Ă©diteurs afin qu’ils se mettent en conformitĂ© avec ces nouvelles exigences, elle va contrĂ´ler que ces derniers bloquent bien les cookies tant que l’utilisateur n’a pas formellement consenti. 

🔎 Solutions apportées par Didomi : Didomi assure une veille juridique permanente et adapte ses produits en fonction des différentes recommandations émanant des différentes autorités de contrôle. Didomi stocke les consentements recueillis chez Amazon Web Services à Francfort. Cela permet ainsi de retrouver et d’horodater le consentement de l’utilisateur.