Lecture 6 minutes
La CNIL, régulateur des données personnelles en France, a publié ce 1er octobre 2020 une nouvelle directive concernant les cookies et autres traceurs numériques. Depuis un an, le sujet est soumis à de nombreuses évolutions. Il est temps de faire le point et de définir les questions à se poser et les points d’attention dont il faut tenir compte afin d’être fin prêt pour mars 2021 !
Petite histoire des traceurs numériques
On appelle cookies et autres traceurs ces éléments techniques utilisés par les sites internet et les applications pour lire ou écrire des données sur le poste d’une personne utilisant ce support. Cela concerne donc toutes les techniques possibles pour y parvenir. On retrouve parmi elles le local storage, les cookies flash, les local shared objects et autres.
Au vu de l’évolution permanente des technologies et plus particulièrement de celles liées à Internet, la CNIL a décidé de revoir sa réglementation autour des cookies et des traceurs en juin 2019, notamment en matière de consentement. Cela va aussi dans le sens de la réflexion autour de la gestion des données personnelles avec l'avènement du RGPD en 2018 ou encore la fin du Privacy Shield à l’été 2020.
Dans ce contexte, elle a rédigé un ensemble de recommandations puis lancé une consultation publique autour de celles-ci. Il en résulte la publication au 1er octobre 2020 d’une mise à jour de la ligne directive ainsi que des recommandations sur le sujet. Et la CNIL demande évidemment aux entreprises d’être en conformité avec ces nouvelles mesures avant mars 2021.
Vous utilisez des traceurs : vous êtes concerné !
Vous vous demandez si votre entreprise est concernée ? La réponse est simple : oui, si vous utilisez des traceurs ! Dans ce cas, pour savoir si vous devez agir, la première action à mener est de lister l'ensemble des traceurs que vous utilisez.
Ensuite, pour respecter la dimension consentement des utilisateurs prônée par la CNIL, vous devez vérifier si vos traceurs nécessitent un recueil de consentement. C’est le cas de la majeure partie des traceurs mais quelques uns en sont exemptés comme :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification. Par exemple, en limitant les tentatives d’accès robotisées ou inattendues ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat(s) sur un site marchand ou à facturer à l’utilisateur le(s) produit(s) et/ou service(s) acheté(s) ;
- les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d’audience, sous certaines réserves.
La mesure d’audience, le traceur particulier
Parmi les éléments de la directive de la CNIL, il est un sujet particulièrement chaud : la mesure d’audience ! La question se pose alors : est-ce que votre système de mesure d’audience en place nécessite le recueil de consentement ou bien, est-il compatible avec l’exemption de consentement ? Voici une liste, non exhaustive, des points à respecter pour pouvoir vous passer du consentement :
- Le traceur a pour seul et unique but la mesure de l’audience du site ou de l’application.
- Les données récoltées doivent servir uniquement à produire des statistiques anonyme.
- Les données sont à la destination exclusive de l’éditeur du site. Si l’éditeur effectue sa mesure d’audience par un service tiers alors ce service ne doit, par exemple, pas utiliser les données à son propre compte pour améliorer son service ou bien fournir des statistiques globales basées sur l’ensemble des données de ses clients, etc.
- Les données de mesures d’audience étant considérées comme des données à caractère personnel, elles sont soumises au RGPD. Il faut donc porter une attention particulière sur le lieu de stockage des données. L'objectif ? Evaluer le cas d’un transfert vers un pays tiers et les conséquences associées.
Vos traceurs nécessitent un recueil de consentement, comment faire ?
Le recueil de consentement doit se faire de manière claire, par un acte positif et explicite. En effet, tant que la personne qui navigue sur votre site ne fournit pas un consentement, cela est considéré comme un refus. Dans ce cas, aucun traceur ne peut être déposé.
A ne plus faire
Parmi les pratiques qui existaient jusqu’à maintenant mais qui ne sont plus valides suite à l’actualisation des recommandations, il y a :
- proposer de poursuivre la navigation ou d’accepter les conditions générales d’utilisation en guise de consentement. Cela n’est plus considéré comme un recueil de consentement valide.
- demander à la personne de “vider les cookies” de son terminal pour exprimer un refus de consentement. Ce n’est également plus valide.
A faire
Concernant le gestionnaire de consentement, celui-ci doit être accessible à tout moment sur le site. Son interface doit être simple d’usage et permettre à tout moment de revenir sur sa décision. À ce titre, des recommandations sont disponibles pour distinguer les bonnes et les mauvaises pratiques en matière de design.
Enfin, chaque traceur doit faire l’objet d’un consentement. Cependant, un premier niveau de recueil peut contenir un bouton “tout accepter” si, et seulement si, un bouton “tout refuser” est disponible avec la même facilité d’accès. Ce consentement, ou ce refus, doit être stocké de manière réduite dans le temps à 6 mois afin de limiter la fréquence des demandes aux personnes utilisant le service.
À vous de jouer !
Vous avez désormais toutes les clés pour analyser votre conformité et évaluer les actions à mettre en place. Vous devez pouvoir fournir la preuve du recueil de consentement en cas de contrôle de la CNIL. Il faut donc utiliser à bon escient le temps qui reste d’ici fin mars 2021 qui est le délai donné pour mettre en œuvre les mesures. La CNIL met à disposition sur son site la directive votée, des recommandations très fournies ainsi qu’un ensemble de ressources didactiques. Synolia est également à votre disposition pour vous accompagner si vous le souhaitez.