Depuis le 1er avril 2021, les internautes ont désormais le choix entre accepter ou refuser des cookies lorsqu’ils visitent un site web. En effet, le 31 mars dernier était la date limite fixée par la Commission nationale de l’informatique et des libertés (CNIL) pour se mettre en conformité avec ses nouvelles lignes directrices.
Et pour ceux qui peinent encore à se mettre en règle, elle a publié une FAQ (Foire aux questions) pour clarifier toutes ces informations. On vous fait le point de ce qu’il faut retenir sur les nouvelles lignes directrices, sans oublier les recommandations de la CNIL sur l’usage des cookies et autres traceurs.
Usages des cookies et autres traceurs : les sujets abordés par la FAQ de la CNIL
Comme indiqué en début d’article, depuis le 18 mars 2021, la CNIL a mis en place sur son site web officiel une page FAQ sur les lignes directrices modificatives et la recommandation « cookies et autres traceurs ». L’objectif de cette page est d’apporter à tous les réponses aux questions sur lesdites lignes directrices ainsi que la recommandation de l’organisme sur l’usage de cookies et autres traceurs.
Les sujets abordés par cette FAQ concernent donc :
- les généralités à savoir les lignes directrices modificatives, la recommandation, le projet ePrivacy
- le champ d’application des nouvelles lignes directrices de la CNIL
- les traceurs de mesure d’audience ainsi que les traceurs hors mesure d’audience, autrement dit qui sont exemptés de consentement
- le recueil du consentement des internautes ainsi que les modalités de refus.
Sur la page, vous trouverez également tous les documents relatifs à ces lignes directrices modificatives. Vous pourrez les télécharger au format PDF afin de les consulter plus tard.
Lignes directrices modificatives : qu’est-ce qui change réellement ?
Vous ne le savez peut-être pas, mais depuis octobre dernier, la CNIL a adopté de nouvelles lignes directrices dans l’objectif de mieux contrôler le ciblage publicitaire et protéger les données personnelles des internautes. Mais avant cela, il faut souligner que l’actualité autour des cookies (les petits fichiers déposés par les navigateurs lorsqu’on surfe sur Internet) a été un peu riche au cours de ces dernières années.
Ainsi, en 2018, le RGPD est entré en vigueur en définissant les conditions relatives à la collecte du consentement ; ce qui a marqué la fin du soft opt-in. Ensuite, le 19 juin 2020, le Conseil d’État a pris un arrêté qui remettait en cause partiellement la position de la CNIL. Toutefois, les nouvelles lignes directrices prennent maintenant en compte ces normes et portent aussi bien sur l’information des internautes que sur leur consentement. La CNIL a depuis demandé aux différents éditeurs concernés de s’assurer de la conformité de leurs pratiques ; ceci avant la fin du mois de mars 2021.
Principalement, il est désormais question de fournir aux internautes des informations concernant l’usage des cookies et autres traceurs sur les sites qu’ils visitent ainsi que les conséquences liées à leur acceptation ou refus. Pour ce qui est du consentement, des utilisateurs, il est demandé à ce que seul à un acte précis comme un clic sur un bouton « J’accepte » peut être considéré comme l’acceptation.
Les recommandations de la CNIL
En dehors des lignes directrices modificatives, la CNIL a également publié sur sa page FAQ une liste de recommandations bien précises. D’une part, il y a la manière dont l’acceptation ou le refus de l’utilisateur peut être collecté. À ce propos, il est recommandé que le consentement se donne par finalité, mais peut aussi porter sur chaque société qui dépose des cookies.
Une autre recommandation concerne l’information à apporter sur le ou les responsables des traitements de données collectées via les cookies. Ici, il est question de lister concrètement ces différentes entités avec un lien vers leurs politiques de confidentialité. Il faudra aussi indiquer aux utilisateurs les finalités des différents cookies déposés.
Enfin, les recommandations de la CNIL viennent proposer des modalités pratiques à partir desquelles la preuve du consentement peut être apportée par les responsables du ou des traitements qui déposent des traceurs.
Dans quels cas demander le consentement des internautes et comment les informer ?
Depuis le 1er avril, les éditeurs de site web doivent obtenir l’accord des internautes pour les cookies non nécessaires au fonctionnement du site. Cela concerne notamment les cas où les cookies sont déposés à des fins publicitaires (facturation des opérations d’affiliation et affichage de publicités contextuelles). Vous devez également demander le consentement des internautes dans les cas où le navigateur aura à déposer des cookies liés aux fonctionnalités de partage sur les réseaux sociaux.
Cependant, certains cookies, comme ceux qui servent à sécuriser un mécanisme d’authentification par exemple, peuvent être considérés comme indispensables au fonctionnement du site.
En ce qui concerne la manière dont les utilisateurs doivent être informés, la CNIL demande à ce que l’information soit complète, visible et bien mise en évidence. Ainsi, l’écran d’interpellation (bannière, pop-up, cookie wall) doit être composé d’un premier niveau d’information avec :
- une liste des principales finalités des cookies qui seront déposés sur l’ordinateur de chaque internaute
- le responsable ou la liste des responsables de traitement
- la possibilité pour l’internaute de revenir sur son consentement quand il le souhaite
- les conséquences liées au refus d’un cookie par l’internaute.
Après ce premier niveau, il faudra, de manière éparse, fournir une information plus complète au sein du module de gestion de cookies ; et ceci dans une rubrique dédiée.
Enfin, cette foire aux questions permet à la CNIL de continuer à fournir des informations pertinentes sur l’usage des cookies et autres traceurs. Vous y trouverez donc tout ce dont vous avez besoin pour bien implémenter ces lignes directrices modificatives.
