Paramétrer sa CMP pour être conforme au RGPD et aux dernières recommandations de la CNIL et de l'EDPB

📕 Une CMP (Consent Management Platform) est une plateforme permettant de collecter le consentement de l’utilisateur en matière de données personnelles. La CMP a également pour rôle d’enregistrer le consentement, de le stocker et de le restituer mais aussi de le transmettre aux différents partenaires lorsqu’il y a lieu. Elle rend l’expérience utilisateur plus fluide et le processus de collecte de consentement plus facile. 

Cependant, comme l’a rappelé récemment Armand Heslot (Privacy et Security Expert à la CNIL) lors d’une interview pour mind Media, avoir une CMP ne signifie pas que vous êtes en conformité avec le RGPD, ni que vous obtenez valablement le consentement de l’utilisateur. 

Quelles sont donc les différentes conditions à respecter pour être en conformité lorsque vous collectez des consentements utilisateurs par le biais d’une CMP ?


Pour commencer, l’autorité de protection des données indique que le langage utilisé doit être clair, compréhensible, rédigé en termes simples et permettre aux utilisateurs de comprendre précisément à quoi ils consentent. 

Les finalités du traitement doivent être claires et communiquées dès la première page de la bannière. Des boutons « J’accepte », « Je refuse » et « J’affine mes préférences » pour permettre à l’utilisateur de consentir ou refuser globalement peuvent être proposés en première page mais ils doivent être positionnés après la liste des différentes finalités détaillées. Sur la seconde page vous pouvez demander le consentement par finalité mais attention, les cases pré-acceptées ne sont pas tolérées par la CNIL ni par le . L’autorité de protection des données française est très claire sur la question dans la mise en demeure Vectaury : « Le fait que l’ensemble des finalités de collecte soient pré-acceptées par défaut ne saurait aboutir à l’expression d’un consentement de la part de l’utilisateur. En effet, son action n’est requise que pour s’opposer au traitement par le fait de décocher les cases correspondant aux différentes finalités ».

En outre, les responsables de traitement doivent également apparaître dès la première page de la bannière. Cela permet à l’utilisateur de donner son consentement en connaissant l’identité des sociétés qui collectent ses données. 

De plus, le texte ne doit pas laisser penser à l’utilisateur que le refus de donner son consentement l’empêchera d’accéder au site ou entraînera le paiement d’un prix pour y avoir accès.

La question particulière des traitements sur les données de géolocalisation

Lorsque vous collectez des données de géolocalisation il faut demander un consentement spécifique à l’utilisateur. La CNIL le rappelle encore dans sa mise en demeure « Une acceptation globale, sans même que l’utilisateur ne soit clairement informé de l’existence de plusieurs traitements ou de plusieurs finalités, ne saurait répondre au critère de spécificité du consentement exigé par le European Data Protection Board (EPDB). Les utilisateurs des applications mobiles partenaires ne consentent donc pas spécifiquement au traitement de leurs données de géolocalisation à des fins de profilage et de ciblage publicitaire ».

Le consentement au scroll ou au clic est-il valable ?

Concernant le consentement au scroll ou par clic, n'est plus toléré par la CNIL car considéré il n'est pas considéré comme une action positive de la part de l’utilisateur. 
L'EDPB affirme clairement que le scroll ou la poursuite de la navigation ne sont pas considérés comme une action positive et ne vaut donc pas consentement. 

Est-ce que les cookies analytics peuvent-être considérés comme essentiels ?

Enfin, faites attention, les cookies de mesure d’audience comme Google Analytics ne sont pas considérés comme des cookies essentiels sauf s’ils respectent un certain nombre de conditions énumérées par la CNIL (https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience). Aujourd’hui, seules deux solutions sont reconnues par la CNIL comme respectant ces différentes conditions. Il s’agit de AT internet (Xiti) et Matomo. Vous devez donc demander le consentement de l’utilisateur lorsque vous souhaitez déposer un tel cookie sur son terminal.

Il ne faut pas oublier non plus de laisser la possibilité à l’utilisateur de revenir sur son consentement ou de changer ses paramètres en cliquant sur un lien présent sur votre site en bas de page, ou encore dans votre politique de confidentialité.

Les boutons « j’accepte » et je « refuse » doivent être de même taille et de couleur neutre. 

La durée de vie des cookies Google Analytics est parfois configurée par défaut à 24 mois. Pour réduire la durée de vie de ces cookies, voici la documentation :        📰 https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#cookie_expiration.

Récapitulatif des points de vigilance dans le paramétrage de la CMP

  • L'utilisateur doit connaître la finalité du traitement des données, l'identité des responsables de traitement, mais aussi les données collectées pour que le consentement soit valide.
  • Le langage utilisé pour informer l’utilisateur doit être clair, compréhensible, rédigé en termes simples et permettre aux utilisateurs de comprendre précisément à quoi ils consentent.
  • Des boutons « J’accepte », « Je refuse » et « J’affine mes préférences » pour permettre à l’utilisateur de consentir ou refuser globalement peuvent être proposés en première page mais ils doivent être positionnés après la liste des différentes finalités (et non avant). 

⚠️ Cela peut varier selon le pays, n'hésitez pas à jeter un œil à notre article sur les Spécificités légales sur le consentement dans quelques pays.

  • Les cases pré-acceptées ne sont pas tolérées par la CNIL ni par l'EDPB. 
    Cela peut varier selon le pays, n'hésitez pas à jeter un œil à notre article sur les Spécificités légales sur le consentement dans quelques pays.
  • Le texte ne doit pas laisser penser à l’utilisateur que le refus de donner son consentement l’empêchera d’accéder au site ou entraînera un paiement.
  • Lorsqu’il y a collecte de données de géolocalisation il faut demander un consentement spécifique à l’utilisateur.
  • Concernant le consentement au scroll ou par clic, il n'est plus toléré par la CNIL car il n'est pas considéré comme une action positive de la part de l’utilisateur. 

⚠️ Cela peut varier selon le pays, n'hésitez pas à jeter un œil à notre article sur les Spécificités légales sur le consentement dans quelques pays.

  • Il ne faut pas oublier de laisser la possibilité à l’utilisateur de revenir sur son consentement ou de changer ses paramètres en cliquant sur un lien présent en footer de votre site ou dans la politique de confidentialité.
  • La durée du consentement de l’utilisateur pour les cookies est de 6 mois en France. Les cookies d'analyse ne peuvent pas durer plus de 13 mois. Il faut donc automatiquement lui redemander d’opérer ses choix passé ce délai.

⚠️ Ces données peuvent varier selon le pays, n'hésitez pas à jeter un œil à notre article sur les Spécificités légales sur le consentement dans quelques pays.