Vous êtes éditeurs de sites web et/ou d’applications mobiles, ou régie publicitaire ou concepteur de site internet ? Alors vous êtes concernés par ces recommandations de la Commission Nationale Informatique et libertés (CNIL). La CNIL a adopté en septembre 2020 (et publié au JO en Octobre 2020), de nouvelles recommandations (n° 2020-092), sur les modalités pratiques de conformité des « cookies » et autres « traceurs ». La CNIL a déjà annoncé qu’elle pourrait poursuivre les manquements, à ces recommandations notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée.
Opérations concernées par les nouvelles règles de conformité CNIL :
« Toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci »
Inclus dans les recommandations
| cookies qui surveillent les actions des utilisateurs finaux: |
| « cookies html », mais aussi les autres traceurs couramment utilisés: « cookie Flash », « local storage », « fingerprinting », |
| identifiants matériels ou générés par les systèmes d’exploitation…, |
| les cookies liés aux opérations relatives à la publicité personnalisée, |
| les cookies des réseaux sociaux, |
| etc. |
Ces cookies nécessitent que l’utilisateur donne un consentement libre, spécifique, éclairé, univoque.
Exemptés du recueil du consentement
| Cookies conservant les choix de personnalisation de l’interface (préférences de langue ou de présentation du service), |
| Cookies destinés à l’authentification de l’utilisateur et la sécurité de cette authentification, |
| Cookies visant à conserver en mémoire le panier d’achat, mais également ceux visant à facturer les services ou produits achetés, |
Les traitements portant sur les données à caractère personnel collectées ou produites via un traceur, constituant des traitements de données à caractère personnel, relèvent des dispositions du RGPD.
Le Consentement aux cookies doit être…
| Préalable | • Aucun cookie ne peut être déposé ou lu sur le terminal de l’utilisateur, tant que ce dernier n’a pas donné son consentement. |
| Univoque | • L’utilisateur doit consentir au dépôt de traceurs par une action positive claire (cliquer sur « j’accepte » dans une bannière cookie, ou activation d’interrupteurs). S’il ne le fait pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur son appareil. |
| Libre | • Aucune obligation d’acceptation, d’enregistrement, ou de lecture de cookies sur son terminal ne peut être imposée à l’utilisateur (dans le but d’avoir accès au service ou au site web) • 1 consentement = 1 finalité ; |
| Éclairé | • Une information claire (en termes simples et clairs, et avec un design compréhensible par tous), des buts et conséquences des de l’acceptation des cookies doit être donnée à l’utilisateur |
Le refus des cookies doit être…
| Possible | • Il doit être aussi simple de refuser les cookies que de les accepter dès la connexion par l’internaute. • Le refus ne peut être soumis à conditions. |
Le retrait du consentement doit être…
| Simple | • Il doit être aussi simple de retirer son consentement que de le donner, Les options de retrait du consentement doivent figurer dans un endroit aisément accessible et à tout moment. • Une information simple et claire, doit être donnée à l’utilisateur concernant les solutions mises à sa disposition pour retirer son consentement (ex: via un lien accessible « gérer mes cookies » ou bien « cookies ») |
| Sanctions | • En mai 2021, après vérification, la CNIL a mis en demeure une trentaine de sociétés du numérique ayant des pratiques non conformes sur les cookies. Conséquence : 1 mois pour se mettre en conformité ; à défaut elles encourent une sanction = 2% de leur chiffre d’affaires • Décembre 2020 : 2 sanctions importantes pour des pratiques non conformes en matière de cookies contre : Google : 100 millions d’euros d’amende Amazon : 35 millions d’euros d’amende |