Le 26 novembre, la CNIL a sanctionné 2 filiales d’un acteur majeur de la grande distribution française à des amendes administratives de 2.250.000 € et 800.000 €, pour manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits et notamment le non-respect des dispositions relatives aux cookies (installation de plus de 30 cookies sans en informer les personnes concernées, dont des cookies Google Analytics, et des cookies traceurs de parcours d’achat). Et vous, êtes-vous en conformité ?

Le 17 septembre dernier, la CNIL a publié des lignes directrices et une recommandation, qui fixent le cadre d’utilisation des cookies par les entreprises, et les règles obligatoires de recueil du consentement des internautes.

Ces dispositions sont d’effet immédiat, et la CNIL a annoncé que les entreprises ont six mois pour se mettre en conformité.

Alors que les heures passées sur internet par les internautes français « explosent » littéralement selon les statistiques d’audience de ce second confinement, il est urgent pour les entreprises de mettre à jour leurs sites internet et leur politique de gestion des cookies conformément aux recommandations de la CNIL, sauf à encourir des sanctions certaines.

Concrètement, que faut-il faire ?

Chaque site ou application a l’obligation de donner le choix aux internautes d’accepter ou de refuser librement l’installation de cookies lors de leur connexion.

Chaque internaute doit être libre d’accepter ou de refuser l’installation de cookies ou traceurs sur son appareil (PC, tablette ou smartphone) lors de toute connexion à un site ou une application mobile.

La CNIL préconise dans sa recommandation pratique la mise en place d’un premier niveau de boutons identiques « Tout accepter », « Tout refuser » ou « Faire mes choix » (ou tout autre vocable clair et équivalent) : la règle est simple et la même pour tous : refuser les traceurs doit être désormais aussi facile que de les accepter. Fini donc les renvois à des explications techniques (difficilement compréhensibles et indigestes pour la plupart des internautes) sur le paramétrage par l’utilisateur de son terminal, pour désactiver les cookies.

Faute de choix, un bandeau doit persister visuellement sur le site ou l’application, sauf si la poursuite de l’activité sur le site ou l’application est traitée comme un refus.

Vient ensuite un second niveau d’informations, soumis aux mêmes règles de clarté et de design simple, si l’internaute clique sur le bouton « Faire mes choix ».

Chaque site ou application doit présenter chaque catégorie de cookies par leurs finalités, afin de permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent

Désormais, la CNIL exige ici encore, via l’utilisation d’une information et d’un design (boutons identiques « Accepter » ou « Refuser ») clairs, simples et didactiques, que chaque utilisateur puisse faire ses choix, en comprenant précisément les finalités des traceurs auxquels il consent, ou qu’il refuse.

Si vous utilisez des cookies traceurs, il faut donc expliquer en termes clairs, simples et compréhensibles par tous, les finalités de ces cookies traceurs, pour que l’internaute comprenne ce dont il s’agit, et puisse, en pleine connaissance de cause, donner son consentement à leur installation sur son terminal, ou s’y opposer et refuser leur installation.

Il conviendra donc de lister les catégories de traceurs mis en place, selon leurs finalités, et d’expliquer de façon claire et synthétique les finalités poursuivies.

La CNIL recommande une communication en deux temps :

  1. Chaque finalité doit être présentée dans un intitulé court, accompagné d’un bref descriptif. La CNIL propose des exemples types de formulations dans sa recommandation pratique :

exemple : pour les traceurs installés afin de proposer de la publicité adaptée en fonction de la géolocalisation précise, la CNIL indique que cette finalité peut être décrite de la manière suivante : « Publicité géolocalisée : [nom du site/de l’application] [et des sociétés tierces/nos partenaires] utilise/utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation ».

  1. Faire figurer, en complément de la liste des finalités présentées sur le premier écran, une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement. Cette information peut, par exemple, être affichée sous un bouton de déroulement ou via un lien hypertexte présent au premier niveau d’information.

Cette description plus détaillée ne doit donc s’afficher que si l’utilisateur clique dessus afin d’en savoir plus.

Cet exercice est à faire et à rédiger pour chaque finalité de cookies traceurs, dument identifiées, que l’internaute est amené à refuser ou à accepter.

Exemples de finalités de cookies devant être détaillées, soumis au consentement.

Vous nous autorisez à :

  • stocker et/ou accéder à des informations sur votre terminal ;
  • créer un profil personnalisé de publicités ;
  • créer un profil pour afficher du contenu personnalisé ;
  • développer et améliorer nos produits ;
  • mesurer la performance des publicités ;
  • mesurer la performance du contenu ;
  • sélectionner des publicités standard ;
  • sélectionner des publicités personnalisées ;
  • sélectionner du contenu personnalisé ;
  • analyser activement les caractéristiques du terminal pour l’identification ;
  • utiliser des données de géolocalisation précises ;
  • conserver et accéder aux informations de géolocalisation pour réaliser des études marketing par tous nos partenaires ;
  • nous autoriser ainsi que nos partenaires à diffuser techniquement les publicités et le contenu ;
  • mettre en correspondance des sources de données hors ligne par tous nos partenaires ;
  • recevoir et utiliser des caractéristiques d’utilisation d’appareils envoyées automatiquement, et relier différents terminaux par nos partenaires ;

La liste sera aussi longue que les finalités des cookies mis en place sur le(s) site(s) ou l’application(s) de votre entreprise.

Pour chaque finalité de cookie traceur installé, l’internaute doit donc avoir le choix

« Accepter » ou « Refuser » leur installation sur son terminal.

On rappellera ici le caractère univoque du consentement, c’est-à-dire qu’il doit être manifesté par un acte positif clair : aucun bouton « Accepter » ne doit être en conséquence pré-coché ; soit les boutons « Refuser » sont pré-cochés, soit les boutons « Accepter » et « Refuser » sont décochés par défaut, l’internaute cliquant librement sur le bouton de son choix.

Chaque site ou application doit faciliter le retrait et la gestion du consentement donné pour les cookies.

Les utilisateurs doivent être informés de manière simple et intelligible, avant même de donner leur consentement sur les cookies traceurs, des solutions mises à leur disposition pour le retirer.

La Commission rappelle qu’il doit être aussi simple de retirer son consentement que de le donner. En cas de contrôle, la CNIL mesurera la simplicité de l’accès au temps passé et au nombre d’actions nécessaires pour effectivement retirer le consentement.

En pratique, la CNIL recommande pour ce faire la présence d’une icône descriptive et intuitive, de type « Gérer mes cookies », présente sur le site ou l’application, voire sur chaque page.

Les cookies exemptés du recueil du consentement

La mise en place de certains traceurs ne nécessite pas le recueil du consentement préalable de l’utilisateur du site ou de l’application. Il s’agit notamment :

  • des traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ;
  • des traceurs destinés à l’authentification de l’utilisateur auprès d’un service ;
  • des traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ;
  • des traceurs de personnalisation de l'interface utilisateur (ex : pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service ;
  • des traceurs permettant l'équilibrage de la charge des équipements concourant à la communication avec l’utilisateur ;
  • des traceurs permettant aux sites marchands de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée ;
  • certains traceurs de mesure d’audience, mais uniquement s’ils respectent le cadre spécifié par l’article 5 des lignes directrices de la CNIL. A défaut, le consentement est requis pour ces traceurs de mesure d’audience.

Ces traceurs ne doivent pas avoir une durée de vie supérieure à 13 mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites de l’utilisateur.

Les informations collectées par l'intermédiaire de ces traceurs peuvent être conservées pendant une durée de 25 mois maximum.

Bien que leur consentement ne soit pas requis pour leur mise en place, les utilisateurs doivent être informés de l’existence de ces traceurs.

Les modalités de mise en conformité en cas de recours par les entreprises aux cookies et autres traceurs ayant été définies par la CNIL, il appartient à chacun de se mettre en conformité sans délai.

***

Les avocats de Grant Thornton Société d’Avocats en droit des données personnelles, ainsi que les experts Informatiques de Grant Thornton, sont pleinement mobilisés et à votre disposition pour vous accompagner et vous conseiller dans la mise en œuvre de l’ensemble de ces actions.

Notre équipe accompagne ses clients dans la mise en œuvre de leur conformité au RGPD dans de nombreuses missions, qu’il s’agisse de missions de DPO externalisé, de missions d’accompagnement de directions de l’audit interne, de directions juridiques, ou de directions informatiques.

 

Auteurs : Nicolas Rémy-Néris, Avocat Directeur, DPO Externalisé et Pauline Garcia, Avocat