ORIEL souhaite vous partager aujourd’hui quelques informations sur la réglementation cookies émise par la CNIL, dans le cadre de son plan d’action sur le ciblage publicitaire en ligne. Toutes les entreprises réalisant leur communication via un site Internet sont concernées, alors n’hésitez pas à prendre quelques minutes pour consulter ces notes !
La CNIL a émis un ensemble de recommandations pour que les entreprises se mettent en conformité avec la réglementation relative à l’usage des cookies. Si elle semble être pédagogue, elle ne compte cependant pas faire preuve de laxisme. La CNIL assure qu’elle compte « désormais réaliser des contrôles pour évaluer l’application des règles relatives aux traceurs, en application de l’article 82 de la loi Informatique et Libertés et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthétisées dans ses lignes directrices ».
ORIEL vous aide à démystifier la réglementation sur les cookies.
Le cadre légal résulte de la directive e-Privacy sur la vie privée et les communications électroniques de 2002, modifiée en 2009. Ce texte a été transposé à l’article 82 de la loi Informatique et Libertés et pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci.
Les dispositions de cet article s’appliquent à tout type de terminal utilisé : ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéo connectées à Internet ainsi qu’à tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public.
Si vous disposez d’un site Internet pour votre entreprise, vous êtes de facto concernés par l’obligation de mise en conformité. Il s’agit d’un réel enjeu non négligeable puisque le non-respect de cette réglementation entraîne des amendes très significatives. A titre d’exemple, l’on peut évoquer les géants du numérique comme Google ou Amazon qui ont pu respectivement écoper d’amendes de 100 et de 35 millions d’euros.
Mais de telles sanctions ne concernent plus seulement les grandes entreprises. Le 14 juin 2021, la société BRICO PRIVE, spécialisée dans le domaine de bricolage et de jardinage, a été sanctionnée par la formation restreinte de la CNIL d’une amende de 500 000 euros. De fait, toute entreprise ayant un site Internet ou encore des applications mobiles recueillant des cookies peut désormais faire l’objet d’un contrôle de la CNIL et éventuellement d’une amende, pouvant représenter 2% du chiffre d’affaires. Il est alors vraiment urgent de se mettre en conformité, d’autant plus que la période d’adaptation initialement accordée par la CNIL est échue depuis le 31 mars 2021. L’on peut déjà constater qu’un ensemble de sites Internet ont procédé à la mise à jour de leurs bannières cookies !
Vous n’en faites pas encore partie ? Voici quelques informations et lignes directrices !
Tout d’abord, lorsqu’un utilisateur se rend sur votre site Internet ou application mobile, il doit être informé de l’utilisation des cookies et doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité, préalablement au dépôt ou la lecture des cookies (Article 82 de la Loi Informatique et Libertés).
Par conséquent, la bannière des cookies doit permettre à l’utilisateur de consentir au dépôt des cookies par un acte positif clair. Pour ce faire, la CNIL recommande l’intégration d’un bouton «Tout refuser» sur le même format que le bouton «Tout accepter» ou encore l’existence d’une fonctionnalité permettant à l’utilisateur de refuser les cookies en fermant le bandeau cookies. A l’inverse, l’agencement consistant à faire apparaître un bouton «Tout refuser» transparent ou de plus petite taille que le bouton «Tout accepter» est considéré comme ne permettant pas à l’utilisateur naviguant sur votre site web de bénéficier du même degré de simplicité pour accepter les cookies ou les refuser. A noter que l’option «Paramétrer», fréquemment rencontrée sur divers sites Internet, a pour conséquence de dissuader l’utilisateur de refuser les cookies. Enfin, le fait de permettre à l’utilisateur de continuer la navigation sur le site Web ou l’application ne constitue pas, selon la CNIL, un acte positif de consentement au dépôt des cookies.
S’agissant des «cookie walls», ou «murs de traceurs», qui consistent en subordonner l’accès à l’internaute au site à son acceptation du dépôt de certains cookies, le Conseil d’Etat considère que cette pratique ne peut pas être interdite de manière générale, et que l’appréciation du consentement libre doit se faire au cas par cas (décision du 19 juin 2020). Comme cela interroge sur le « consentement libre » des utilisateurs, la CNIL a publié des recommandations. Il faut prévoir une « alternative réelle et équitable » qui permette à l’utilisateur d’accéder au site sans avoir à consentir aux cookies. L’alternative consistant à verser une somme d’argent n’est pas interdite, mais il faut que le tarif soit raisonnable.
Le Comité européen de protection des données a publié des lignes directrices concernant les «Dark patterns» (ou interfaces truquées) sur les réseaux sociaux en mars 2022. Certains éléments s’appliquent à tout site internet, notamment en ce qui concerne les cookies. A ce propos, le Comité considère que des traits d’humour dans la bannière des cookies peuvent conduire à une mésinformation en éclipsant le contenu lié aux données personnelles. L’exemple cité concernait un jeu de mots avec les cookies en pâtisserie.
L’information doit être claire, visible, et distincte d’autres types de contenu et il est probable que la CNIL reprenne à son compte cette analyse.
De manière concomitante au recueil du consentement, l’utilisateur doit être en mesure de connaître les finalités d’usage des cookies (Article 13 du RGPD). Nous vous conseillons de mettre en place un bandeau cookies apparaissant sur la page d’accueil de votre site Web dont le contenu détaille les finalités pour lesquelles les cookies sont déposés sur les appareils des utilisateurs. Lorsqu’il y a plusieurs opérations de traitement répondant à des finalités distinctes, l’internaute doit pouvoir consentir à chacune des finalités. Nous vous déconseillons vivement de vous contenter des mentions « ce site utilise des cookies » ou encore « des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés », considérées comme étant insuffisantes par la CNIL.
De plus, dans l’hypothèse où les données que vous collectez par le biais des cookies sont destinées à un tiers, tel qu’un responsable de traitement des données, veillez à bien porter cette information à la connaissance de l’utilisateur.
Par la suite, pensez bien à l’informer de son droit de retirer son consentement facilement et à tout moment !
Enfin, pensez à l’utilisation de termes clairs et simples qui permettent une bonne compréhension pour un utilisateur ne disposant pas de connaissances techniques ou juridiques.
BONS RÉFLEXES
MAUVAIS RÉFLEXES
L’exigence de consentement ne s’applique pas à tous les cookies. Certains types de cookies sont exemptés de ces obligations et notamment à ceux qui :
Il est recommandé d’informer sur l’utilisation de ces cookies. Parmi ceux-ci, la CNIL cite :
Attention : le traitement de ces données personnelles reste soumis au RGPD. Nous vous conseillons ainsi de vérifier auprès du développeur de votre outil qu’il s’engage contractuellement à ne pas réutiliser les données collectées.
Soyez également attentifs aux éventuels transferts de données hors de l’Union Européenne qui pourraient être réalisés par votre sous-traitant de solution. En effet, tous les états tiers à l’Union européenne ne disposent pas nécessairement de décision d’adéquation démontrant une protection équivalente à celle fournie par le RGPD. Un transfert de données personnelles doit donc être bien encadré pour garantir leur protection.
Enfin, veillez bien à vous assurer que les cookies servent uniquement à produire des données statistiques anonymes et que les données à caractère personnel collectées ne puissent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas nécessaires au fonctionnement du service.
Photos :