La CNIL demande aux acteurs du digital d’appliquer ses recommandations avant fin mars 2021
La CNIL, a publié ce jeudi (1er octobre 2020) sa «recommandation» sur le consentement face à la publicité ciblée et l’utilisation des cookies.
6 mois pour s’adapter avant les premières sanctions
Dans son communiqué, la CNIL a insisté sur 2 règles! Tout d’abord, un devoir d’informer clairement et simplement la nature du ciblage publicitaire! «publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux». Et ensuite, d’après le jugement du Conseil d’Etat du 19 juin 2020, il doit être simple de refuser les traceurs publicitaire ou de les accepter. « La Cnil estime donc que lorsqu’un seul clic est requis pour « accepter les cookies » tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé», poursuit le communiqué.
C’est simple, l’internaute peut-il, en quelques mots simples, comprendre à quoi servent les traceurs publicitaires avant de cliquer sur « accepter » ou « refuser » ? Et peut-il refuser facilement sans passer par un paramétrage complexe et donc dissuasif ?
«Cela va avoir un impact visible dans le quotidien numérique des Français. (…) On attend une évolution des interfaces» de recueil du consentement, a déclaré à l’AFP Gwendal Le Grand, secrétaire général adjoint de l’autorité. Ce n’est pas une contrainte imposée par la CNIL, c’est juste de la transparence avec l’Internaute.
Adoptées en 2019 pour se conformer au Règlement Général sur la Protection des Données (RGPD), ces règles déterminent comment un site peut obtenir un consentement valide à partir des «bandeaux cookies».
Ces bandeaux sont souvent formulés de façon à inciter l’internaute à accepter le ciblage publicitaire
Ce ciblage passe par le dépôt sur votre navigateur d’un certain nombre de traceurs, dont des cookies publicitaires, mouchards numériques permettant d’identifier vos centres d’intérêt.
En plus de devoir informer l’internaute sur l’utilisation de ces traceurs, le site Internet devra proposer de refuser leur dépôt aussi facilement que de les accepter. La CNIL demande d’utiliser un bouton « Refuser Tout » avec le même habillage graphique que « Tout Accepter », ce qui n’est pratiquement jamais le cas actuellement. La simple poursuite de navigation sur le site Internet devra être considérée comme un Refus et non un Consentement (comme c’est majoritairement le cas aussi). Et ce refus devra être conservé pendant une durée recommandée de 6 mois.
Caractère licite des dispositifs
«La CNIL ne remet pas en cause que certains sites puissent se rémunérer avec la publicité sur internet. (…) L’objectif avant tout, c’est d’accroître la transparence (sur l’utilisation des données personnelles) et la liberté de choix des internautes», a expliqué Gwendal Le Grand. «Les mêmes règles s’appliquent aux géants de l’Internet dès lors qu’ils ont recours à des traceurs», a-t-il ajouté.
Que dit la loi?
Selon la directive ePrivacy, vous, internautes devez être informés et vous devez donner votre consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement.
Mais qu’est-ce qu’un « cookie » ou un « traceur »?
Alors, les « cookie » ou « traceur » intègrent :
- les cookies HTTP,
- les cookies « flash »,
- le résultat du calcul d’une empreinte unique du terminal dans le cas du » fingerprinting » (calcul d’un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage),
- les pixels invisibles ou » web bugs « ,
- tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).
Ils peuvent être déposés et/ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel et ce, quel que soit le type de terminal utilisé : ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet.
Et le cadre juridique dans tout ça?
Alors, l’article 5(3) de la directive 2002/58/CE modifiée en 2009 demande :
- un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci,
- sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou, ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.
C’est bon, vous avez compris?! Allez, on continue :
L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.
La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé. C’est là que le bas blesse pour une majorité des sites Internet.
Alors comment récupérer de manière valable un consentement?
Là, c’est la CNIL qui nous parle, le consentement doit se manifester par une action positive de la personne préalablement informée. Notamment, en disposant d’un moyen d’accepter, de refuser et de retirer son consentement. Il faut un système simple d’usage pour l’Internaute pour recueillir son consentement.
NB : L’acceptation de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement.
Le consentement est une démonstration de volonté, libre, spécifique, univoque et éclairée.
De ce fait, la validité, du dit consentement, est donc liée à la qualité de l’information que l’Internaute reçoit :
- Elle doit être visible, mise en évidence et complète,
- Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur,
- Elle doit permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements,
- Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.
En tant qu’utilisateur, nous devons avoir le pouvoir de retirer simplement et à tout moment notre consentement
- Il doit être aussi simple de retirer son consentement que de le donner,
- Il faut mettre en place des solutions qui nous permettent de retirer notre consentement. Elles doivent être accessibles à tout moment.
Alors maintenant que les solutions sont en place, comment prouver que notre consentement a bien été recueilli?
Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes :
- Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
- Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
- Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
- Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP « Consent Management Platform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.
