4 points clés à retenir des nouvelles recommandations de la CNIL
Les recommandations de la CNIL sont officiellement tombées le 1er Octobre et le compte à rebours a commencé : les entreprises ont 6 mois pour se mettre en conformité. Afin de vous préparer au mieux, nous vous donnons les quatre points clés à retenir et être compliant fin mars.
1. Qui est concerné par ces changements ?
Tous les acteurs qui ont recours à des traceurs sur leur site et application mobile sont concernés par ces recommandations, que l’environnement soit loggué ou non. Le fait que l’utilisateur soit connecté ne dispense pas le recueil de son consentement, celui-ci ne pouvant être donné via des conditions générales d’utilisation.
2. Les changements clés sur les 4 conditions du consentement (libre, spécifique, éclairé et univoque)
Le consentement libre
- Il est nécessaire que le même degré de simplicité soit appliqué à l’accord ou au refus du consentement. Ainsi, si le choix est proposé à l’utilisateur d’accepter l’ensemble des traceurs, il doit également lui être proposé de tout refuser (les boutons “Tout accepter / En savoir plus” ne sont plus valides.).
- À tout moment, l’utilisateur doit pouvoir retirer son consentement de manière “simple” : la CNIL recommande la présence d’un bouton visible “Gérer mes cookies” présent sur toutes les pages du site.
Le consentement spécifique
- L’utilisateur doit pouvoir accéder à un module pour accepter ou refuser de manière indépendante chaque finalité de traitement à tout moment de sa navigation.
Le consentement éclairé
- Dès le 1er niveau de lecture (sur le bandeau de consentement par exemple) doivent apparaître les informations suivantes :
- L’identité du ou des responsables de traitement des opérations de lecture ou écriture
- La finalité des opérations de lecture ou écriture des données
- La manière d’accepter ou de refuser les traceurs
- Les conséquences qui s’attachent à un refus ou une acceptation des traceurs
- L’existence du droit de retirer son consentement
Le consentement univoque
- Le consentement est considéré comme univoque à condition qu’il soit donné par une action positive de l’utilisateur : la poursuite de la navigation ou l’existence de cases pré-cochées ne sont pas des conditions suffisantes au consentement de l’utilisateur, celui-ci doit réaliser une action concrète (un clic sur un bouton “Accepter” par exemple).
- L’absence de choix par l’utilisateur ne doit donc pas être considérée comme consentement.
3. La preuve de consentement
En plus de collecter le consentement de l’utilisateur, l’organisme doit également prouver que son mécanisme de recueil de consentement est valide. Les différentes options proposées sont les suivantes :
- La mise sous séquestre du code informatique du module, ou la publication d’une version hashée sur une plateforme publique
- Une capture d’écran horodatée du rendu visuel pour chaque version du site ou de l’application
- L’audit régulier des mécanismes de recueil du consentement
- Le stockage des informations relatives aux outils mis en place (tels que les CMP) pour la gestion du recueil du consentement
4. Les traceurs exemptés de consentement
Malgré toutes ces règles, certains traceurs sont exemptés de consentement :
- Ceux nécessaires au bon fonctionnement du site ou du recueil du consentement
- Ceux enregistrant les choix exprimés par l’utilisateur sur leur dépôt
- Ceux en charge de l’authentification, la mise en mémoire d’un panier d’achat, de choix de langue ou encore ceux gérant l’accès restreint à des contenus payants.
Les cookies dont la finalité est uniquement la mesure d’audience sont également exemptés de consentement, dans la mesure où leur finalité est de mesurer des performances et d’améliorer la navigation sur le site ou l’application.
Cette exemption ouvre alors la voie à la mise en place de deux configurations Analytics parallèles, l’une basique ne nécessitant pas le consentement de l’utilisateur, et l’autre plus complète, active seulement pour ceux acceptant le dépôt des cookies.
Comment mettre en place ces changements ?
Afin d’être prêt à fin mars, une première solution est de développer entièrement un module custom pour son site ou son application et l’intégrer. Une autre manière consiste à intégrer une CMP (“Consent Management Platform”), solution qui gère entièrement le consentement utilisateur et qui présente le grand avantage d’évoluer avec la réglementation (consulter notre livre blanc Les outils de la conformité RGPD). Pour aller plus loin sur le sujet, nous vous conseillons la lecture des articles détaillés sur les blogs de Didomi et Axeptio.
Auteur : Julien Tcherkezian, Consultant Data x Business Consulting