Fin février 2020, la CNIL a clôturé sa consultation publique relative à son projet de recommandations concernant les cookies et autres traceurs, et a déclaré inclure ce thème dans sa stratégie de contrôle 2020. Que vous soyez DPO, responsable de traitement, concerné par le RGPD ou simple curieux, vous rêveriez de pouvoir expliquer à votre boss les nouvelles attentes de la CNIL sur les cookies, mais vous n’avez pas une vision synthétique du sujet ? Cet article, sous la forme d’elevator pitch, est fait pour vous !
Qu’est-ce que les cookies ?
Les cookies sont des petits fichiers qui permettent de stocker des informations sur un internaute visitant un site web, par exemple son historique de navigation, le paramétrage du site, etc.
La définition plus complète d'un cookie donnée par la CNIL est la suivante " Le cookie est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez."
Quels sont les enjeux ?
Dans des lignes directrices publiées en Juillet 2019, la CNIL a exprimé sa volonté de redonner aux utilisateurs du contrôle sur l’utilisation de leurs données en renforçant les exigences de recueil du consentement de l’utilisateur. Plus récemment, le respect des dispositions applicables aux cookies et autres traceurs a été annoncé comme l'une des trois thématiques prioritaires de la CNIL pour sa stratégie de contrôle 2020. Or, d’après une étude récente menée conjointement par des chercheurs d’Europe et des Etats-Unis, 90% des sites ne respectent pas l’application du RGPD, même ceux ayant déjà mis en place un bandeau de cookies. En effet, le Règlement demande à ce que l’internaute puisse choisir d’accorder ou de rejeter l’écriture ou la lecture de ses informations personnelles dans les cookies selon des conditions particulièrement précises, répondant notamment aux exigences de consentement « éclairé, libre, spécifique et univoque ».
En janvier 2020, un projet de nouvelle recommandation précisant les modalités pratiques de recueil du consentement a été publié par la CNIL, détaillant ces nouvelles conditions.
C’est ce projet qui a fait lieu d’une consultation publique, et la recommandation finale de la CNIL est attendue pour fin mars 2020.
Qu’est-ce qui change ?
Les principales nouveautés sont de deux ordres. D’une part, la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. D’autre part, les opérateurs qui exploitent des traceurs doivent désormais être en mesure de prouver qu’ils ont bien recueilli le consentement.
Comment les entreprises peuvent-elles être se mettre en conformité ?
Concrètement, toutes les entreprises éditant des sites internet doivent adapter leur gestion des cookies et autres traceurs web pour s’aligner aux nouvelles règles sur le recueil du consentement. Dans son projet de recommandation, la CNIL précise 9 modalités pratiques :
- Recenser et catégoriser les cookies sur son site internet, selon qu’ils nécessitent un consentement ou non. En effet, seules certaines catégories de cookies bien définies sont exemptées de l’obligation du recueil de consentement. Pour un éditeur, cela suppose être en mesure de recenser et catégoriser les cookies déposés sur son site internet, afin d’identifier lesquels nécessitent un consentement, et lesquels n’en ont pas besoin.
- Décrire chacun des cookies et présenter leur finalités. Le consentement doit être éclairé, c’est-à-dire formulé de manière intelligible et clair ; cela signifie que la finalité de chacun des cookies doit être présenté dans un intitulé à l’internaute, et accompagné d’un court descriptif. De plus, un bouton « afficher plus d’informations » ainsi qu’une icône statique « cookie » peut être présent, afin de permettre à l’internaute de comprendre plus précisément ce à quoi il consent.
- Mettre en place des cases à cocher exprimant le consentement ou non, sans forcer l’utilisateur à choisir. Le consentement doit être libre, c’est-à-dire que l’utilisateur doit avoir la possibilité d’accepter ou de refuser la lecture ou l’écriture de cookies sur le site visité, ou de ne pas choisir. Pour cela, des cases à cocher ou ne pas cocher peuvent suffire pour exprimer le consentement, de même qu’une croix de fermeture sur l’interface si l’utilisateur souhaite ne pas choisir.
- Permettre l’expression du consentement pour chacune des finalités des cookies. Le consentement doit être spécifique, c’est-à-dire que l’utilisateur doit avoir la possibilité de consentir finalité par finalité, et non uniquement l’ensemble des conditions générales d’utilisation ou de vente. Des boutons « tout accepter » ou « tout refuser » peuvent être présents, mais il doit y avoir désormais également un bouton « personnaliser mes choix » (ou « décider par finalité ») accompagné par exemple d’un menu déroulant.
- Paramétrer le refus du consentement par défaut. Le consentement doit être univoque, c’est-à-dire que des pratiques de design potentiellement trompeuses ou tout ce qui empêche le consentement d’être un acte positif, sont interdites. Concrètement, les options proposées par défaut doivent être plutôt « refuser » que « accepter », afin que l’éventuel refus ne nécessite pas d’efforts de la part de l’utilisateur.
- Redemander le consentement de l’internaute tous les six mois, au maximum. Le consentement donné par l’utilisateur a une durée de vie et peut être retiré à n’importe quel moment. En pratique, l’éditeur ne doit pas conserver un consentement donné plus de six mois, et un lien peut être rendu disponible constamment à l’utilisateur par l’éditeur lors de sa navigation pour qu’il puisse retirer son consentement à tout moment.
- Enregistrer et stocker les preuves de consentement individuels. La preuve du consentement doit être recueilli et disponible à tout moment, incluant un horodatage, le contexte dans lequel le consentement a été recueilli, le type de mécanisme de recueil de consentement utilisé et les finalités auxquelles l’utilisateur a consenti, par exemple sous forme de capture d’écran ou de piste d’audit.
- Rendre explicite les noms des cookies et des traceurs utilisés. Afin d’assurer la plus grande transparence lors de l’usage de cookies, l’utilisation de cookies différents pour chaque finalité distincte permettrait à l’utilisateur de les distinguer et de s’assurer du respect de son consentement.
- Paramétrer les dispositifs de connexion de l’utilisateur pour inclure une demande de consentement. Les navigateurs et les systèmes d’exploitation pourraient à terme intégrer des mécanismes de recueil du consentement qui faciliteraient tant la mise en place de mécanismes de recueil du consentement pour les éditeurs de sites et d’application mobiles.
Comment Dastra peut aider ?
Dastra peut aider les entreprises à mettre en place l’ensemble des obligations demandées, aujourd’hui très complexes, à travers sa fonctionnalité widget de consentement aux cookies.
Dastra a mis en place un système simple et pédagogique pour vous permettre de répondre à toutes ces exigences même sans être expert, et avoir un site internet conforme. Contactez-nous pour en savoir plus !
L’équipe DASTRA.