Actualités mars 2021 : plus que deux semaines pour mettre en conformité sa politique « Cookies » !!
Rappel :
L’utilisation des Cookies et traceurs par les éditeurs de sites Internet était initialement réglementée par la directive européenne n°2002/58/CE, dite « ePrivacy ». Le Règlement Général sur la Protection des Données (« RGPD ») entré en vigueur le 25 mai 2018, a – sans expressément modifier cette directive – renforcé les exigences quant au recueil du consentement des personnes dont les données sont susceptibles d’être collectées et/ou traitées via des Cookies.
Aux termes de l’article 4.11 du RGPD, pour être valide, le consentement se définit comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données. Le recueil d’un consentement passif est désormais insuffisant et toute mention, dans la politique de confidentialité, selon laquelle la poursuite de la navigation sur un site web emporte acceptation des Cookies est invalide.
Dans le cadre de ses premières lignes directrices sur l’usage des Cookies et autres traceurs publiées le 4 juillet 2019, la CNIL exigeait notamment l’interdiction de la pratique du « Cookie wall », pratique consistant à refuser la poursuite de la navigation sur son site web aux personnes n’ayant pas consenti à être « suivies » au moyen de Cookies. Dans une décision rendue le 19 juin 2020, le Conseil d'État, a considéré qu'il ne relevait pas des pouvoirs de la CNIL d'édicter une telle interdiction générale et absolue.
Suite à cette décision, la CNIL a publié de nouvelles lignes directrices le 1er octobre 2020 en enjoignant à tous les responsables de traitement de s’y conformer dans un délai de 6 mois, soit au plus tard le 31 mars 2021.
A défaut, la CNIL se réservera la faculté de poursuivre tout manquement portant une atteinte particulièrement grave au droit au respect de la vie privée.
Pour mémoire, la non-conformité au RGPD constatée par la CNIL est passible d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise.
Ce qu’il faut retenir en pratique :
Les éditeurs de site web et responsables de traitement ont jusqu’au 31 mars 2021 pour mettre en conformité leurs sites web et applications mobiles aux nouvelles règles en matière de Cookies.
La CNIL a d’ores et déjà averti qu’elle entamerait des actions et missions de contrôle sur l’application de ses lignes directrices après le 31 mars 2021.
Dans la perspective de cette date limite, la mise en conformité de son site web et de ses applications mobiles implique principalement les obligations juridiques et mesures techniques suivantes :
- le consentement – devant être recueilli par les professionnels concernés – doit être matérialisé par une déclaration ou par un acte positif des internautes précédant la lecture ou l’écriture de traceurs et de Cookies ; la preuve de cette collecte est essentielle et doit pouvoir être documentée le cas échéant
- avant le recueil du consentement, le responsable de traitement doit fournir, sur son site, une information complète sur la présence, les finalités et les conséquences des Cookies . Une information générale telle que « ce site utilise des cookies » ou « des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés » ne satisferont donc pas aux exigences de la CNIL
- Le responsable de traitement doit mettre cumulativement à la disposition de l’internaute les moyens d’accepter, de refuser ou de retirer son consentement. La personne devra pouvoir accepter ou refuser les Cookies selon les mêmes facilités ; ainsi il est requis que soit intégré un bouton « Tout refuser » sur les mêmes niveau et format que le bouton « Tout accepter ». Le bouton « Paramétrer » en complément du bouton « Tout accepter » devra disparaître au profit du bouton « Tout refuser ».
- Dans le cas où l’internaute n’a pas donné son consentement ou a fermé le bandeau Cookies sans rien cocher, aucun Cookie ou traceur ne pourra être déposé ou lu sur son terminal.
- Le choix de l’internaute relatif au consentement (ou non) aux Cookies et autres traceurs doit être conservé et respecté par le responsable de traitement durant 6 mois. Passé ce délai, il sera nécessaire de solliciter de nouveau le consentement de l’internaute. En tout état de cause, les Cookies déposés sur le terminal de l’internaute ayant consenti ne pourront être conservés plus de 13 mois.
Pour accompagner les responsables de traitement dans leurs démarches de mise en conformité, la CNIL propose, entre autres, un exemple de bandeau cookies permettant d’assurer un recueil de consentement valide https://www.cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformite
Sarah Temple-Boyer Eva-Luna Gomes
Avocat Stagiaire