La CNIL renforce ses lignes directrices
sur l’usage des cookies…
Mais SFBX avait déjà pensé à tout (ou presque) !
Le 1er octobre 2020, la CNIL a publié ses lignes directrices modificatives ainsi qu’une version finale de ses recommandations concernant l’usage des cookies et autres traceurs.
Dans le cadre de son plan d’action sur le ciblage publicitaire, le 17 septembre 2020, l’autorité française de protection des données a :
– Modifié les lignes directrices du 4 juillet 2019 rappelant le droit applicable avec le RGPD, faisant suite à la décision rendue par le Conseil d’Etat le 19 juin 20201.
– Etabli une recommandation jouant le rôle de guide pratique destiné à éclairer les acteurs utilisant cookies et autres traceurs sur les modalités concrètes de recueil du consentement de l’internaute2.
Ce que ça change pour vous, clients SFBX ?
Absolument rien, nos solutions respectent déjà toutes ces mesures !
En effet, les nouvelles lignes directrices de la CNIL ne sont que l’interprétation stricte du RGPD. Les nouvelles mesures visant à protéger et respecter davantage le consentement des internautes font partie de notre ADN et de nos préoccupations depuis la création de SFBX. Aussi, la majeure partie des principes renforcés par la CNIL sont déjà intégrés à nos produits AppConsent.
Applicables au 31 mars 2021 au plus tard, les lignes directrices et recommandations de la CNIL devront être mises en place sur l’ensemble des supports digitaux (web, applications mobiles, TV connectée, véhicule connecté, IOT, etc.).
1 https://www.cnil.fr/sites/default/files/atoms/files/lignes_directrices_de_la_cnil_sur_les_cookies_et_autres_traceurs.pdf
2 https://www.cnil.fr/sites/default/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf
Mais quelles sont ces nouvelles lignes directrices, quelles recommandations devront être intégrées au 31 mars 2021, et comment les appliquer dans nos produits ?
On vous explique tout !
Toute d’abord, précisons que toutes les technologies ayant pour effet de lire ou écrire des données dans le terminal de l’utilisateur sont concernées, à savoir :
- les cookies,
- les pixels de tracking,
- le “web beacon”,
- les cookies flash,
- les stockage HTML 5,
- le local storage,
- l’IndexedDB,
- l’IDFA,
- le fingerprinting,
- etc.
Les cookies ne sont donc pas les seuls impactés, loin de là. Cela s’applique à tous les traceurs.
Lorsque nous parlons de cookies dans la suite de cet article, nous parlons indifféremment des cookies et des autres traceurs.
L’expression du consentement
1 – Refuser les cookies doit être aussi aisé que les accepter
La CNIL estime que le responsable du traitement doit fournir à l’internaute une possibilité d’accepter ou de refuser l’usage des cookies avec le même degré de simplicité.
Ainsi, le bouton « refuser » doit être présent sur le même écran que le bouton « accepter », au même format et au même niveau :
Source : CNIL
Avec AppConsent, vous avez déjà la possibilité d’ajouter le bouton « refuser » sur votre notice de consentement, avec les mêmes modalités que le bouton « accepter », afin que l’internaute puisse faire son choix en toute connaissance de cause.
Pour créer votre notice avec l’ensemble des boutons recommandés par la CNIL, consultez notre documentation.
Source : AppConsent
2 – Pas de pré-cochage des cases de demandes de consentement par finalité
Lorsque l’internaute choisit de paramétrer plus finement son consentement au moyen des cases de recueil de consentement par finalité présentes dans la notice, ces cases doivent être, par défaut, décochées afin que sa décision ne soit pas influencée.
Avec AppConsent, aucune case n’est pré-cochée sur la notice, elles sont toutes au point neutre afin que le choix de l’internaute soit libre et explicite :
Source : AppConsent
3 – Le consentement est exprimé par un acte positif et clair de l’internaute
La CNIL a noté que l’action consistant à faire défiler une plateforme web (scrolling) ou à continuer son utilisation n’est pas considérée comme un acte clair de l’internaute et ne peut en aucun cas constituer un consentement au traitement de ses données.
Pour fournir un consentement valide et répondant aux conditions fixées par le RGPD, l’internaute doit, par exemple, cliquer sur «Accepter».
Avec AppConsent, vos utilisateurs peuvent déjà avoir accès de manière explicite au bouton « tout accepter » ou « tout refuser ».
Source : AppConsent
Vous pouvez également ajouter un bouton “Continuer sans accepter” en cochant la petite case “utiliser un bouton pour passer”.
Source : AppConsent
4 – La conservation du consentement
La commission suggère que les sites internet qui, généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites. Dans ce cas, la durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs. La Commission considère, de manière générale, que conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.
Avec AppConsent, sont conservés aussi bien les consentements positifs que les consentements négatifs que les mixtes. Grâce à, notre first party listener, la CMP se rappelle des choix de l’utilisateur et ne le sollicite qu’à la fin de la période de détention, ou lors de changement de périmètres ou de version.
Vous pouvez choisir de forcer cela en choisissant via le back office de redemander plus fréquemment le consentement, tout en étant conscient de la consent fatigue causée par cette pratique, votre taux de consentement peut se voir revu à la baisse.
En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
5 – Le cookie wall
Un cookie wall est un dispositif par lequel l’éditeur d’un site web ou d’une application mobile conditionne l’accès au contenu de ses pages au fait que le visiteur exprime son consentement à la pose d’un cookie sur son ordinateur et à son utilisation à des fins publicitaires. Cela consiste donc à bloquer l’accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement.
La mise en place d’un « cookie wall » est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement. Ainsi sa licéité se verra appréciée au cas par cas par la CNIL. L’information fournie à l’utilisateur devra clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
Source : AppConsent
Concernant AppConsent, nos équipes UX sont en train de travailler sur le sujet. N’hésitez pas à contacter notre équipe support pour prendre un rendez-vous afin que nous réfléchissions, au cas par cas en fonction de vos besoins, la forme et la rédaction que devra prendre votre cookie wall si vous souhaitez en mettre un en place.
L’information des personnes
1 – Les utilisateurs devront pouvoir retirer leur consentement facilement et à tout moment
La CNIL rappelle que retirer son consentement doit être aussi aisé que de le donner. Les solutions permettant à l’utilisateur de retirer son consentement doivent être facilement accessibles sur la plateforme web, et à tout moment de la navigation.
Si la plateforme choisit d’insérer un lien à sa plateforme, il est recommandé d’utiliser pour celui-ci une dénomination claire telles que par exemples « module de gestion des cookies » ou « gérer mes cookies ».
Il est également possible d’utiliser une icône cookies, en bas à gauche des pages de la plateforme web, redirigeant vers la plateforme de gestion des consentements.
Source : CNIL
Avec AppConsent, lorsque l’utilisateur donne son consentement, la dernière page de la notice lui indique l’endroit où il peut le modifier. Un lien dans le footer du site internet peut être installé via le back office, lorsque l’utilisateur cliquera dessus, la notice avec ses choix préalablement enregistrés s’affichera. Un privacy center avec un logo est également mis à la disposition de l’éditeur pour le mettre dans le footer de son site pour que l’utilisateur puisse rapidement identifier où il peut modifier simplement ses choix. L’utilisateur pourra également y retrouver de façon permanente la liste des partenaires et leurs finalités.
Source : AppConsent
2 – Les utilisateurs doivent être informés des finalités des traceurs, des conséquences d’une acceptation ou d’un refus et de l’identité de tous les partenaires utilisant des cookies avant de consentir
Selon la loi « Informatiques et libertés » de 1978 et le RGPD de 2018, l’utilisateur doit pouvoir accéder à une information claire et détaillée de ce qu’engendre son consentement et des options qui lui sont offertes.
Les finalités des différents traceurs utilisés par les responsables du traitement doivent être présentées aux utilisateurs en amont de la possibilité d’accepter ou refuser. Leur formulation doit être claire, intelligible et dans un langage adapté pour permettre à l’ensemble des utilisateurs de comprendre précisément ce à quoi ils consentent.
Source : CNIL
Avec AppConsent, l’ensemble des finalités (TCF V2 de l’IAB) des traceurs sont explicitement détaillées et expliquées sur notre notice et l’utilisateur peut faire des choix par finalité.
Les utilisateurs doivent également être informés de l’identité et de la politique de traitement des données personnelles de tous les acteurs qui pourront avoir accès à leurs données et utilisant des traceurs soumis au consentement.
Avec AppConsent, la liste des partenaires du responsable du traitement des données est présente sur la notice. Celle-ci permet d’afficher l’ensemble des partenaires ainsi que leurs finalités et le lien vers leur politique de confidentialité.
Dans notre notice, dans chacune des finalités, il est également indiqué l’ensemble des acteurs l’utilisant.
Source : AppConsent
3 – Les responsables du traitement doivent pouvoir fournir une preuve de recueil du consentement de l’utilisateur
À tout moment, l’utilisateur peut demander au responsable du traitement de ses données personnelles, une preuve du recueil valide de son consentement positif, mais aussi négatif ainsi que les modifications.
Sur AppConsent, avec notre blockchain, nous pouvons fournir la preuve du consentement avec son contexte, c’est-à-dire l’heure et le jour, la version de la notice qui a été utilisée pour recueillir le consentement, ainsi que tous les éléments liés à la modification du consentement (contexte).
L’extraction de la preuve est présente via une API et sur notre back-office.
Source : AppConsent
Les cookies et autres traceurs exemptés du recueil de consentement
Il existe plusieurs types de cookies, ceux nécessaires au bon fonctionnement de la plateforme web et ceux permettant de recueillir les informations personnelles des internautes pour un usage marketing.
Aussi, selon la CNIL, certains cookies sont dits “fonctionnels” et ne nécessitent pas le recueil de consentement pour être utilisés puisqu’ils sont obligatoires pour que la plateforme web soit utilisable.
Parmi ces traceurs, on retrouve :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
- les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions. Google Analytics ne fait pas partie de ces traceurs car à un but marketing.
A la règle de l’obligation d’un consentement préalable à toute opération de lecture ou écriture dans le terminal d’un utilisateur, il existe 2 exemptions :
- l’opération est strictement nécessaire à la fourniture d’un service explicitement demandé par l’utilisateur
- l’opération permet ou facilite la transmission d’une communication électronique.
Cette exemption s’applique notamment aux traceurs suivants :
- ceux destinés à l’authentification auprès d’un service,
- ceux destinés à garder en mémoire le contenu d’un panier d’achat d’un site marchand,
- certains visant à générer des statistiques de fréquentations,
- ceux permettant aux sites payant de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.
L’A/B testing n’est pas exempté de consentement.
Faisons un petit focus sur les traceurs de mesure d’audience, le webanalytics, car ce dernier a vu son périmètre d’exemption se réduire. En effet, pour être exempté, un traitement de webanalytics doit servir seulement à fournir des statistiques anonymes à l’éditeur. Les données ne doivent pas être utilisées pour d’autres finalités ou transmises à des tiers3.
Lors de différents Webinar, Mr Armand Heslot, chef du service de l’expertise technologique de la CNIL a apporté des précisions sur le webanalytics :
- s’il ne sert qu’à fournir un service strictement nécessaire au bon fonctionnement du service demandé par l’utilisateur, comme la mesure de la performance du site qui permet notamment de surveiller la qualité des vidéos, le temps de téléchargement, les problèmes de navigation, la surveillance des bugs, la mesure d’audience pour prévoir la charge de l’infra pour fournir le service, alors il est exempté de consentement.
- s’il permet de répondre ou aider à d’autres finalités, alors dans ce cas l’obtention du consentement est obligatoire.
Dans le cas où le webanalytics est exempté de consentement, il reste tout de même soumis au RGPD, donc il faut donner à l’utilisateur la possibilité d’exercer son droit d’opposition.
Alors Google Analytics est-il exemptable ? La CNIL ayant bien conscience de l’inquiétude du marché face à la gestion du RGPD pour cet outil majoritairement utilisé par les acteurs digitaux, Mr Heslot a tenu à faire un point précis sur ce sujet : Google Analytics n’est pas exempté de consentement car les données de mesure d’audience sont utilisées pour d’autres finalités comme indiqué dans le contrat et les TOU du service.
Afin de dissiper le doute sur l’exemption ou non d’une solution de mesure d’audience, la CNIL a lancé un programme d’évaluation afin de déterminer si les fournisseurs d’outils de mesure d’audience peuvent proposer à leurs clients une solution exemptée de recueil du consentement4.
En conclusion, chez SFBX le recueil du consentement de l’utilisateur a toujours été au centre de nos préoccupations. Avec ces nouvelles mesures applicables au 31 mars 2021, l’accent est mis sur la transparence dans la relation entre responsables du traitement et internautes, et ça n’est pas pour nous déplaire, bien au contraire !
N’hésitez pas à prendre contact avec nous si vous avez des questions sur ces nouvelles lignes directrices et recommandations, car une chose est sûre, ces nouvelles pratiques doivent devenir une habitude non négligeable car les sanctions seront lourdes et la CNIL, ayant laissé au marché une longue période pour se mettre en conformité, sera de moins en moins tolérante quant au non-respect du RGPD !