Cookies : le recueil du consentement

Cookies

L’indulgence de la Commission nationale de l’informatique et des libertés (CNIL) arrive à son terme. Les entreprises ont jusqu’au 31 mars 2021 pour être en conformité avec les lignes directrices modificatives de la CNIL en matière de cookies. 

Qu’est-ce qu’un cookie ? 

Un cookie est un fichier texte installé sur le terminal (smartphone, tablette ou ordinateur etc.) d’un internaute lorsqu’il consulte un site internet. En effet, il permet de recueillir et de stocker des informations relatives à sa navigation. 

Ainsi, le site internet ou des tiers utilisent ces informations collectées  pour des finalités diverses. Cela inclus : la fonctionnalité du site, la prospection commerciale, la mesure d’audience, la localisation, les réseaux sociaux etc. 

Comment recueillir le consentement des cookies ? 

Un consentement n’est valable que s’il est libre, spécifique, éclairé, et univoque. (1)

Par conséquent, réglementation (2) impose l’information et le consentement de l’internaute préalablement à l’installation de cookies, à l’exception des cookies fonctionnels. La durée du consentement est  temporaire et doit être renouvelable. La CNIL recommande de la faire tous les 6 mois. 

Récemment, le 17 décembre 2020 la CNIL a délibéré ses dernières lignes directrices modificatives et  recommendations pratiques pour être en conformité. (3)

L’idée étant de permettre à l’internaute d’accroître son contrôle sur l’utilisation des cookies auxquels il consent. Par exemple, il n’est plus permis qu’un internaute consente tacitement aux cookies après l’affichage d’un simple bandeau simple l’invitant à poursuivre sa navigation.

Désormais, le bandeau ou la fenêtre doivent être plus explicatifs. Ils doivent détailler les différents cookies, leurs finalités et les « responsables de traitement des opérations de lecture ou d’écriture » (point 24 des lignes directrices de la CNIL). 

Les cookies doivent être présentés de manière distincte et être accompagné d’un bouton « accepter » et « refuser » pour chaque finalité, consentie distinctement. En conséquence, c’est un véritable choix pour l’internaute qui doit effectuer un acte positif clair. Les cases ne devant pas être pré-cochées.

De même, la CNIL estime qu’un consentement global des cookies dans des conditions générales d’utilisation ne saurait être valable. 

La CNIL recommande également que les choix puissent être conservés afin d’éviter de devoir demander le consentement de l’utilisateur pour chaque page consultée.

Le responsable de traitement doit être en mesure de prouver le recueil valable du consentement de l’internaute. Il peut utiliser un CMP (« Consent Management Platform »), par exemple.

La CNIL exige également la possibilité pour l’internaute de retirer son consentement à tout moment. Une bonne pratique consiste en la possibilité de « gérer ses cookies » via une fonctionnalité qui doit lui être facile d’accès. 

Comment la CNIL sanctionne le défaut de consentement ?

La CNIL sanctionne administrativement. La sanction pouvant atteindre jusqu’à 10 millions d’euros ou à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent. C’est ainsi qu’elle peut infliger des sanctions non-pécuniaires ou pécuniaires, voire sous astreinte.

Par exemple, en 2020, elle a sanctionnée l’entreprise Google  LLC et Google Ireland limited à 100 millions d’euros d’amende (4). Enfin, Amazon Europe Core, sanctionnée à 35 millions d’euros (5) pour utilisation de cookies publicitaires. 


Sources :

  1. Article 4 du RGPD, 11)
  1. Article 82 de la loi Informatique et libertés du 6 janvier 1978 transposant la directive du 12 juillet 2002 (ePrivacy)
  1. Lignes directrices : Délibération n° 2020-091 du 17 septembre 2020  et  recommandations : Délibération n° 2020-092 du 17 septembre 2020
  1. CNIL, Délibération SAN-2020-012 du 7 décembre 2020
  1. CNIL, Délibération SAN-2020-013 du 7 décembre 2020

Source image : Pixabay

Pour d’autres articles réalisés par la promotion MSI 2021 : cliquez ici