Nouvelles recommandations de la CNIL sur les cookies et traceurs (juillet 2019)

📆 Le 1er octobre 2020, la CNIL a annoncé ses nouvelles recommandations, nous y avons consacré un article sur notre blog.

📆 Le 28 juin 2019 la Commission nationale de l’informatique et des libertés (CNIL) a annoncé son plan d’action pour l’année 2019/2020 et a décidé de venir mieux encadrer le ciblage publicitaire en ligne.

📕 C’est dans ce contexte que, le 4 juillet 2019, la CNIL a adopté de nouvelles directrices sur les cookies et autres traceurs et a abrogé sa recommandation de 2013 qui n’était plus conforme au RGPD. En effet, les lignes directives du Comité européen de protection des données (CEPD) sur le consentement sont venues renforcer les conditions tenant au consentement valide et ont, par conséquent, rendu obsolètes les anciennes recommandations de la CNIL sur le sujet.

La CNIL a décidé de laisser une période transitoire de douze mois aux opérateurs après la publication de ses nouvelles lignes directives pour se mettre en conformité mais uniquement sur les points divergent des précédentes directives de 2013. Dans le même temps, des concertations avec les professionnels sont prévues de septembre 2019 à janvier 2020 afin de publier début 2020 une recommandation finale proposant les modalités opérationnelles concernant le recueil du consentement. Les opérateurs auront donc 6 mois pour se mettre en conformité après cette publication.

Quelles sont donc les différents points contenus dans les nouvelles lignes directrices de la CNIL ?

La délibération du 4 juillet 2019 comprend au total 7 articles.

• Article 1 : Cet article commence par clarifier le champ d’application des lignes directrices. Ces dernières s’appliquent à « toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l'abonné ou de l'utilisateur ou à inscrire des informations dans cet équipement ». 

Cela inclut tous les traceurs qu’ils soient déposés sur mobile, sur tablette, sur ordinateur, sur télévision ou encore console de jeux vidéo et plus globalement à tout appareil connecté à un réseau de télécommunication ouvert au public. 

De plus, la CNIL rappelle que cette règlementation s’applique à toutes les données y compris les données n’étant pas des données à caractère personnel. Il faut donc obtenir le consentement pour le dépôt de traceur y compris si les informations collectées ne sont pas des données à caractère personnel ! En outre, tous les traitements de données à caractère personnel portant sur ces traceurs sont soumis au RGPD.

🔎 Solutions apportées par Didomi : Les solutions proposées par Didomi sont en total conformité avec cette nouvelle ligne directrice que ce soit sur desktop ou sur mobile. Grâce à des SDK (sur IOS ou sur Android) parfaitement à jour, Didomi est l’une des rares entreprises sur le marché à offrir une solution couvrant la plupart des équipements ouvert à un réseau public permettant ainsi de recueillir le consentement
de l’utilisateur en totale adéquation avec la législation en vigueur. 

• Article 2 : La CNIL s’attèle ici à énoncer dans quels cas le recueil du consentement est considéré comme valide. 

Dans un premier temps, elle affirme que le consentement n’est valable que si l’utilisateur ne subit pas d’inconvénients majeurs en cas de refus ou de retrait de consentement. Elle rappelle donc qu’il n’est pas conforme au RGPD de bloquer l’accès au site si l’utilisateur refuse de donner son consentement.

Le consentement doit bien sûr être spécifique pour chaque finalité différente et ces dernières doivent être simples et compréhensibles. Il reste tout de même acceptable de laisser la possibilité à l’utilisateur d’accepter globalement l’ensemble des finalités tout en lui laissant la possibilité de faire un choix spécifique (un bouton accepter tout doit être accompagné d’un lien permettant à l’utilisateur de faire un choix granulaire). A ce titre, l’acceptation des conditions générales d’utilisation n’est pas considérée comme un recueil de consentement valable.

Préalablement au recueil du consentement, l’identité du responsable de traitement, les finalités (textes regroupant l’ensemble des finalités), les partenaires collectant des données à l’aide des traceurs sur le site (lien en première page vers les partenaires), et l’existence du droit de retirer son consentement doivent être clairement visibles. 

La CNIL considère que le fait de continuer à naviguer sur le site web/application ou de faire défiler la page d’un site ou d’une application ne sont pas des actions positives claires et ne constituent donc pas un consentement valable. Il est donc clair que le fait de scroller ou le clic de navigation ne sont plus tolérés par l’autorité de protection des données !

Il faut également que les éditeurs soient capables d’apporter la preuve à tout moment l’existence du consentement valable. Lorsque les éditeurs font appel à un sous-traitant pour cette tâche, une simple clause ne suffit pas à remplir cette obligation !

🔎 Solutions apportées par Didomi : Les solutions Didomi permettent de collecter le consentement conformément à ces nouvelles directives. De plus, Didomi permet d’effectuer de l’AB Testing afin d’optimiser toutes les collectes de consentement. 

• Article 3 : La CNIL précise que les acteurs déposant des traceurs/cookies sur le site d’un éditeur et traitant les données pour leur compte peuvent être considérés comme responsables de traitement conjoints voire de responsable de traitement.

🔎 Solutions apportées par Didomi : Grâce aux bannières Didomi, l’ensemble des informations énoncées précédemment sont explicitement données. Ainsi, l’utilisateur à une vue complète des partenaires de l’éditeur et peut donc bloquer tous les vendors ou faire un choix plus granulaire. 

• Article 4 : Le paramétrage du navigateur ne suffit pas et ne permet pas à l’utilisateur de donner un consentement valide. 

🔎 Solutions apportées par Didomi : Les solutions Didomi permettent à l’utilisateur de faire un choix directement sur le site internet et de donner un consentement valide. Il n’a donc pas à rentrer dans les paramètres du navigateur. 

• Article 5 : Certains traceurs de mesure d’audience ou d’optimisation peuvent être considérés comme des cookies essentiels et donc être exemptés de consentement uniquement dans certaines conditions strictes seulement. 

🔎 Solutions apportées par Didomi : Didomi permet de déposer les cookies de mesure d’audience. L’utilisateur a la possibilité de s’opposer à ce traitement. Si certains de ces cookies sont considérés comme « essentiels », l’information est donnée de manière explicite à l’utilisateur. 

• Article 6 : Les traceurs strictement nécessaires à la fourniture du service à la demande de l’utilisateur et ceux permettant de fournir ou faciliter la communication par voie électronique sont exemptés de consentement.

🔎 Solutions apportées par Didomi : Les solutions Didomi permettent de déposer les cookies strictement nécessaires tout en informant l’utilisateur.

• Article 7 : Cet article abroge l’ancienne directive de la CNIL de 2013.

L’important à retenir de cette nouvelle recommandation est qu’il n’est désormais plus acceptable de collecter le consentement grâce à la poursuite de la navigation et que chaque éditeur doit être capable de prouver à tout moment qu’il a recueilli le consentement en respectant les exigences légales. 

De plus même si la CNIL laisse une période transitoire aux éditeurs afin qu’ils se mettent en conformité avec ces nouvelles exigences, elle va contrôler que ces derniers bloquent bien les cookies tant que l’utilisateur n’a pas formellement consenti. 

🔎 Solutions apportées par Didomi : Didomi assure une veille juridique permanente et adapte ses produits en fonction des différentes recommandations émanant des différentes autorités de contrôle. Didomi stocke les consentements recueillis chez Amazon Web Services à Francfort. Cela permet ainsi de retrouver et d’horodater le consentement de l’utilisateur.