Cet article vous aidera à comprendre les nouvelles recommandations de la CNIL en matière de traceurs.
📅 Le 1er octobre 2020, la CNIL a publié ses nouvelles recommandations, vous pouvez lire l'article consacré à celles-ci sur notre blog.
Le 4 juillet 2019, l'autorité de protection des données française a adopté des lignes directrices concernant les cookies et autres traceurs venant abroger ses précédentes recommandations de 2013 sur le sujet et énoncer les nouvelles modalités de recueil du consentement.
De septembre 2019 à janvier 2020, une période de concertation avec les professionnels du secteur a été menée afin de recueillir les avis des différentes parties et de mieux appréhender les problématiques du marché.
C'est dans ce contexte que le 14 janvier 2020 la CNIL a lancé une consultation publique sur son projet de recommandation « cookies et autres traceurs » qui précise les modalités pratique de recueil du consentement émises dans sa directive de juillet 2019. Cette consultation prendra fin le 25 février et la recommandation définitive sera adoptée. La CNIL laissera toutefois une période de transition durant laquelle les éditeurs devront se mettre en conformité avec les nouvelles exigences qui prendra fin en septembre 2020.
Quelles sont donc les principaux points de cette recommandation et quelles sont les conséquences concernant le paramétrage de votre Consent Management Platform ?
🔎 Didomi prévoit de mettre à disposition des éditeurs toutes les options afin de répondre aux différentes exigences de la CNIL, dès que le projet sera adopté officiellement, directement dans la console Didomi. Il vous suffira de les activer si vous souhaitez les utiliser. Nous recommandons à tous les acteurs français où aux éditeurs ayant du trafic provenant de la France d'activer ces options.
Voici différents points qu'il semble important d'évoquer dans cet article concernant les spécificités à prendre en compte afin de recueillir un consentement valable.
✅ Champ d'application
Les recommandations de la CNIL englobent tous les traceurs sauf ceux qui sont exemptés de consentement. Tous les acteurs déposant de tels traceurs sont concernés et doivent demander le consentement à l'utilisateur. L'éditeur reste l'acteur le mieux placé pour collecter le consentement aux cookies déposés sur son site même lorsqu'ils sont déposés par un tiers qui définit les finalités de son traitement.
✅ Consentement éclairé
Il reste possible de collecter le consentement globalement grâce à un premier niveau d'information. Les finalités doivent être claires, complètes et l'utilisateur pouvant accepter globalement doit aussi pouvoir refuser globalement lors de ce premier niveau d'information. Un lien présentant les finalités détaillées doit être proposé, il peut permettre d'afficher directement l'information en première page ou renvoyer vers un deuxième niveau d'information.
La CNIL recommande dans ses "bonnes pratiques" de rendre accessible l'information concernant les catégories de données traitées. L'utilisateur doit également être informé des responsables de traitement qui traitent ses données dès le premier niveau d'information. Un lien menant vers cette liste aisément accessible par l'utilisateur est recommandé. Par ailleurs, il n'est pas obligatoire de redemander le consentement lors de chaque nouvel ajout de partenaires sauf en cas d'ajout "qualitativement ou quantitativement" substantiel. En revanche, un lien doit être mis à disposition de l'utilisateur afin qu'il puisse se tenir informé sur les mise à jour des partenaires. Ce lien peut être inclus dans le module qui permet de ré-afficher la bannière de collecte des consentements. La CNIL propose de changer la couleur du lien menant aux partenaires pour avertir les utilisateurs d'un changement dans la liste.
Si une collecte de consentement entre sites et applications différents est mise en place, l'utilisateur doit être informé, dès le premier niveau d'information, des autres sites et applications sur lesquels son consentement est recueilli.
✅ Consentement libre
Pour que le consentement soit libre, le bouton "J'accepte tout" présent au premier niveau d'information doit être accompagné d'un bouton "Je refuse tout". Les boutons doivent avoir le même aspect visuel et la même taille pour ne pas influencer le choix de l'utilisateur. La présence d'un simple lien "En savoir plus" à côté du bouton "J'accepte tout" n'est pas suffisant. Il doit être aussi facile d'accepter que de refuser.
L'utilisateur ne doit pas être pénalisé et subir de préjudice en cas de refus. Le refus doit être enregistré pendant la même durée que s'il avait accepté afin de ne pas représenter trop fréquemment la bannière et donc de ne pas influer sur ses choix.
Il reste également possible de laisser à l'internaute la possibilité de ne pas choisir immédiatement, par exemple en ajoutant une croix ou un bouton "Paramétrer mes cookies plus tard". Aucun cookie ne doit être déposé tant que l'utilisateur n'a pas cliqué sur "J'accepte" ou n'a pas configuré ses choix. L'utilisateur peut être sollicité tant qu'il n'a pas fait ses choix.
✅ Consentement spécifique
Des boutons d'acceptation et de refus globaux peuvent être présentés au premier niveau d'information. Le bouton "J'accepte tout" doit impérativement être accompagné d'un bouton "Je refuse tout".
Toutes les finalités utilisées doivent être présentées de manière détaillée (lien ou texte déroulant en dessous).
Bien évidemment, un consentement spécifique par finalité doit être rendu possible et peut être proposé en second niveau d'information. Le texte conduisant à la deuxième vue doit être clair. Nous conseillons donc "En savoir plus sur les cookies" ou encore "Paramétrer mes cookies".
✅ Consentement univoque
Les boutons accepter et refuser doivent être de design similaire voire identique et aucun visuel ne doit influencer le choix du visiteur.
✅ Retrait et durée du consentement
L'utilisateur doit être informé en première page de la possibilité de revenir à tout moment sur ses choix. Le lien qui lui permet de changer ses choix doit être accessible sur toutes les pages à un endroit visible et pendant toute la durée de navigation. Le texte renvoyant vers la bannière de collecte des consentements doit être clair et intuitif comme "Gérer mes cookies" ou "Préférences cookies".
L'utilisateur peut également être informé sur la durée des cookies.
Concernant la durée du consentement, la CNIL part sur une durée de 6 mois après laquelle il serait nécessaire de redemander à nouveau le consentement à l'utilisateur.
✅ Preuve du consentement
Il est nécessaire de pouvoir apporter la preuve du consentement de l'utilisateur. Les données doivent être précises et indiquer la date, l'heure, la version de la bannière utilisée ainsi que les sites/applications sur lesquels le consentement a été donné.
Il ne faut cependant pas collecter plus d'informations que nécessaire.
✅ Bonnes pratiques
Dans ces bonnes pratiques, l'autorité de protection des données propose qu'un cookie soit associé à une finalité propre.
Pour résumer voici ce qu'il faut impérativement afficher en premier niveau d'information :
- La liste des finalités détaillées.
- La liste des responsables de traitement qui traitent les données collectées.
- La liste des sites/applications pour lequel le consentement est collecté.
- La possibilité de revenir sur ses choix à tout moment.
- Si le consentement est demandé globalement, un bouton "J'accepte tout" et un bouton "Je refuse tout".
- La durée de vie des cookies et éventuellement les catégories de données collectées (bonnes pratiques).
- La durée de vie du consentement (6 mois).
🎤 N'hésitez pas à jeter un oeil à nos nombreux webinars CNIL Cookie Countdown sur Youtube sur les principales recommandations de la CNIL sur la gestion du consentement.
10 sessions ont été organisées entre Janvier et Avril 2021, qui avaient pour objectif d'aider les entreprises à se mettre en conformité et anticiper cette transition du 31 mars.