consentement-cookies-rgpd-scaled

RGPD Octobre 2020 – Cookies & traceurs : quelles obligations légales pour votre site web ?

Depuis le 01 octobre 2020, de nouvelles recommandations RGPD ont été partagées par la CNIL. La commission laisse un délai de six mois pour la mise en conformité, soit au plus tard fin mars 2021.

Quels sont les obligations actées par ces nouvelles recommandations CNIL ? Quel impact pour votre site web et son paramétrage RGPD ? Nous vous aidons à y voir plus clair et mettre votre site web en conformité.

Les mesures RGDP confirmées par la déclaration d’octobre 2020

Le 01 octobre, la CNIL a publié un document de lignes directrices modificatives ainsi qu’un document de recommandations qui confirme les points suivants :

  1. Le consentement ne peut plus être induit, il doit être un acte positif clair
  2. Le consentement doit pouvoir être retiré à n’importe quel moment
  3. Accepter ou refuser les cookies doit être du même degré d’aisance pour l’utilisateur
  4. Un recueil du consentement éclairé et univoque des consentements des utilisateurs
  5. Certains traceurs de mesure d’audience peuvent être exemptés d’un consentement
  6. Avoir une information complète des finalités et un consentement finalité par finalité
  7. Possibilité d’avoir un bouton “Tout accepter” et “Tout refuser” mais aussi “Personnaliser”
  8. Conserver le consentement mais aussi le refus des utilisateurs grâce aux traceurs.

Les recommandations pour le recueil du consentement sur son site web

Le consentement de l’utilisateur doit être un acte positif clair de sa part, il ne doit pas être induit.

 Ceci implique par exemple le fait que « continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. » article 2 point 27

Les cases pré-cochées sont désormais à proscrire, l’utilisateur doit mentionner par un acte son consentement.

Dans le cas où aucun consentement ne serait exprimé, l’utilisateur doit être considéré comme ayant refusé. La CNIL précise dans ce cas que le bandeau de consentement doit disparaître « au bout d’un laps de temps court » afin de ne pas perturber l’utilisation du site web.

Utilisation d’un cookie wall sur son site web : non recommandé

Un cookie wall est une pop-up qui a pour action de bloquer la navigation de l’utilisateur et l’oblige à réaliser un choix (souvent uniquement accepter) pour pouvoir poursuivre la navigation sur un site web. 

« Dans ces conditions, la Commission estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. » article 2 point 17

Les cookies walls peuvent être utilisés uniquement après avoir été étudiés par la commission au cas par cas afin de savoir s’il est conforme ou non. Pour cela, il faut qu’il respecte plusieurs conditions.

Chaque finalité doit avoir son propre consentement

Le consentement est défini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

 Selon ces nouvelles recommandations, la CNIL demande aux éditeurs de site web de donner certaines informations aux utilisateurs avant même le consentement : (article 2 point 24)

  • l’identité du ou des responsables de traitement des opérations de lecture ou écriture
  • la finalité des opérations de lecture ou écriture des données
  • la manière d’accepter ou de refuser les traceurs
  • les conséquences qui s’attachent à un refus ou une acceptation des traceurs
  • l’existence du droit de retirer son consentement

Concernant la phase de consentement, la commission a estimé que chaque finalité doit avoir son propre consentement (avec des termes simples et compréhensibles par tous) et interdit donc le couplage de finalités (article 2 point 19) car ceci est susceptible d’affecter la liberté de choix de l’utilisateur.

Cependant, un contenu additionnel d’information peut être ajouté pour préciser que le consentement d’une finalité peut englober différentes opérations techniques, qui mènent toutes à la même finalité. Deux possibilités sont évoquées dans ces recommandations,  un bouton de défilement ou un lien hypertexte :

       

Source : Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

Ainsi, chaque finalité doit avoir des termes précis et une mise en forme spécifique. Elles doivent être composées de :

  • un intitulé court et visible par tous
  • un descriptif concis

Plusieurs exemples sont présentés par la CNIL, retrouvez la mise en forme et les termes spécifiques dans l’article 2.1 Point 13.

La gestion des cookies doit toujours être accessible

Une autre recommandation importante de la déclaration d’octobre 2020 concerne la gestion des cookies.

Selon Article 2.1 point 20 , « l’éditeur d’un site web peut fournir aux utilisateurs un module de paramétrage accessible sur toutes les pages du site au moyen d’une icône statique « cookie » toujours visible ou d’un lien hypertexte situé en bas ou en haut de page. »

L’objectif est que les utilisateurs puissent retirer leur consentement, facilement, à tout moment selon leur convenance.

Comme nous l’avons déjà vu, chaque finalité doit recevoir son propre consentement. Cependant, il est aussi possible d’avoir des boutons intitulés « tout accepter » ou bien « tout refuser » afin de consentir ou refuser en une seule action.

Si ce modèle est retenu, il est nécessaire d’avoir un bouton « Personnaliser mes choix » au même niveau que les deux autres boutons pour que l’utilisateur choisisse son consentement ou refus finalité par finalité.

La commission nous donne aussi de nouvelles informations à propos du temps de conservation du consentement ou du refus dans l’article 2.1 point 39 : « De manière générale, conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs. »

Spécifications des traceurs de mesure d’audience de votre site web

Pour la commission, certains traceurs peuvent être exemptés du recueil du consentement car ils permettent le bon fonctionnement d’un site web. C’est le cas pour les traceurs de mesure d’audience à condition qu’ils soient anonymes.

D’autres conditions doivent être appliquées pour pouvoir récolter ces informations sans consentement. « Ces traceurs ne doivent pas suivre globalement la navigation de l’utilisateur sur différents sites web ou applications. Si des données personnelles sont récoltées, elles ne peuvent pas être recoupées avec d’autres traitements, ni transmises à des tiers. » Article 5 point 50

Toutefois, il est important de noter que des grandes offres de mesure d’audience actuellement sur le marché ne peuvent pas être dans périmètre de l’exemption car ils indiquent réutiliser les données pour leur propre compte.

Même s’il peut être possible de configurer ces outils pour désactiver la réutilisation des données, vérifiez auprès du fournisseur qu’il s’engage contractuellement à ne pas réutiliser les données collectées. Soyez également attentifs aux transferts potentiels de données hors de l’Union Européenne qui pourraient être réalisés par votre fournisseur de solutions en particulier suite à l’annulation du privacy Shield.

Vous l’avez compris, la CNIL n’a pas reculé sur les obligations RGPD et a clarifié à un certains nombre de points afin que les éditeurs de site web puissent répondre pleinement à la protection des données utilisateurs.

Vous pensez que votre site web ne répond pas aux obligations légales imposées par ces nouvelles réglementations ?
N’hésitez pas à nous contacter pour être accompagné pour une mise en conformité RGPD de votre site web.

Notre engagement ?

Vous rendre heureux de communiquer

Contacter l'agence