Tout comprendre aux dernières recommandations de la CNIL

La CNIL a publié ce jeudi 1 octobre des lignes directrices modificatives et sa recommandation en matière de cookies et de traceurs. Voici ce qu’il faut retenir.

La CNIL vient confirmer un travail de plusieurs années qui a débuté en 2013 avec des premiers textes sur la gestion des cookies. En juillet 2019, la CNIL a ainsi adopté des lignes directrices rappelant le droit applicable en matière de protection des données.

Début 2020, l’organisation publiait déjà les grandes lignes directrices de son projet avant de laisser la place à un temps de consultation publique. Ce jeudi 1 octobre, la CNIL a publié son projet définitif de recommandations.

La CNIL confirme ses grands principes, dont la symétrie du consentement

• Le consentement des utilisateurs mieux réglementé. L’internaute doit désormais donner un consentement explicite. La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement. Le consentement doit être donné par un « acte positif clair » (par exemple, cliquer sur le bouton « j’accepte ») afin de permettre aux traceurs de se déclencher. Sans cela, seuls les traceurs essentiels pourront être déposés.
• Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
• La symétrie du consentement. Terminé l’époque où il fallait chercher tant bien que mal le bouton « refuser ». Désormais il doit être tout aussi facile de refuser que d’accepter le dépôt de traceurs.
• ​Les personnes doivent être clairement informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui en découlent. L’identité de toutes les sociétés utilisant des traceurs soumis au consentement doit aussi être facilement accessible pour l’internaute.
• Enfin, si un internaute demande à obtenir la preuve de son consentement, les acteurs déposant des traceurs doivent être en mesure de lui fournir une preuve valable du recueil du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Téléchargez notre White Paper sur la CMP et la gestion du consentement.

Certains traceurs sont exemptés de consentement

La CNIL précise que certains traceurs peuvent être exemptés de consentement. Voici quelques exemples :

• Les traceurs destinés à l’authentification auprès d’un service,
• Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand,
• Certains traceurs visant à générer des statistiques de fréquentation,
• Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

La recommandation de la CNIL

En plus de ses lignes directrices, la CNIL ajoute des recommandations.

• Elle suggère que l’interface de recueil du consentement, autrement appelé preference center, comprenne un bouton « tout accepter » mais aussi « tout refuser »
• Si le consentement doit être conservé pendant une certaine durée, le refus devrait l’être également afin de ne pas le redemander à chaque nouvelle visite de l’internaute.
• Enfin, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, la CNIL suggère que le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation. Et ce, afin que l’utilisateur comprenne jusqu’où va son consentement.

Quelles sont les modalités de mise en œuvre de ces nouvelles recommandations ?

La CNIL incite tous les acteurs à se mettre en conformité d’ici six mois, soit au plus tard fin mars 2021. Elle précise qu’elle privilégiera l’accompagnement sur les contrôles en cette période difficile mais n’hésitera pas à sévir si besoin.

Découvrez notre CMP TrustCommander déjà conforme !

Découvrez nos webinars sur le sujet !