Deux ans après l’entrée en vigueur du RGPD, la CNIL a adopté de nouvelles lignes directrices sur l’utilisation des cookies et autres traceurs afin de se conformer aux exigences européennes en matière de consentement. Une période d’adaptation a été laissée aux acteurs du web jusqu’au 1er avril 2021. Désormais, la CNIL peut sanctionner les entreprises qui ne respectent pas la règlementation concernant l’utilisation des cookies. Pour éviter une sanction, il est indispensable de mettre en conformité le bandeau de cookies figurant sur votre site Internet.
Le consentement aux cookies et autres traceurs
Les cookies de suivi sont utilisés pour étudier le comportement de l’utilisateur d’un site Internet et enregistrer des données concernant son activité : préférence de produits, achats, localisation géographique, etc. Le plus souvent utilisées à des fins de marketing ciblé, les informations récoltées servent à proposer une publicité pertinente à l’internaute. Ces cookies posent cependant un problème quant à la protection des données personnelles de l’utilisateur. Le RGPD, règlement général sur la protection des données, impose en effet que le consentement de l’utilisateur soit libre, spécifique, éclairé et qu’il résulte d’une manifestation claire et sans équivoque. Aussi, le simple fait de poursuivre la navigation sur un site malgré l’information de traceurs ne peut plus être considérée comme une expression valide du consentement.
En effet, la CNIL a émis des lignes directrices en matière de cookies afin de permettre aux internautes d’exercer un meilleur contrôle sur la protection de leurs données à caractère personnel. La commission exige que les internautes soient informés sur la finalité des cookies et l’identité des responsables du traitement des données. Par ailleurs, le bandeau informatif figurant sur le site Internet doit permettre à l’internaute de refuser les cookies aussi simplement que de les accepter. Enfin, l’utilisateur doit exprimer son consentement par un acte positif clair et avoir la possibilité de le retirer à tout moment. Ceci est applicable quel que soit le support utilisé dès lors qu’il est connecté à un réseau Internet ouvert au public, qu’il s’agisse d’un ordinateur, un smartphone, une tablette ou une console de jeux vidéo connectée.
Le contrôle et les mises en demeure de la CNIL
La CNIL a premièrement laissé un délai aux acteurs du web pour se mettre en conformité. Cette période de tolérance a pris fin au 1er avril 2021. La CNIL peut désormais sanctionner les entreprises qui ne respectent pas la nouvelle réglementation sur l’utilisation des cookies. Il est donc impératif que les sites Internet modifient le bandeau concernant l’utilisation de cookies dans le respect de ces nouvelles règles.
Ainsi, la CNIL a mis en œuvre un contrôle sévère dès le mois de mai 2021 lors d’une première campagne d’inspection. Plusieurs sites web ont été épinglés et mis en demeure de se mettre en conformité pour garantir un consentement et un respect des données personnelles. Il s’agit souvent d’acteurs majeurs de l’économie numérique et de la vente en ligne. La CNIL reproche notamment à ces derniers de ne pas permettre aux internautes de refuser les cookies aussi facilement qu’ils peuvent les accepter.
Les cookies exemptés de consentement
Tous les traceurs ne nécessitent pas un consentement préalable de l’internaute. Ceux qui servent uniquement à la fourniture d’un service de communication en ligne peuvent être déposés librement. C’est le cas par exemple du cookie qui permet de garder en mémoire le contenu d’un panier d’achat sur un site de e-commerce. De même, les cookies de mesure d’audience peuvent également être exemptés du recueil du consentement. La CNIL a néanmoins indiqué certaines conditions dans ses nouvelles lignes directrices. Ainsi, ces cookies doivent être strictement limités à la seule mesure d’audience sur le site pour le compte exclusif de l’éditeur et servir uniquement à la production de données statistiques anonymes.
À aucun moment, un cookie sans consentement ne peut permettre un suivi global de la personne dans ses diverses navigations sur Internet ou utilisations d’applications Smartphone. Cela exclut également le recoupement des données et leur transmission à des tiers.
Image : LinkedIn Sales Solutions on Unsplash
