La CNIL prévient qu'elle sanctionnera les sites non conforme d'ici 6 mois !

En mai 2018, le Règlement Général de la Protection des Données (RGPD) entrait en vigueur et chamboulait le monde de la publicité en ligne en modifiant le cadre juridique de la collecte des données personnelles par les sites internet avec des traceurs tels que les cookies. En juin dernier, le Conseil d’État invalidait une partie des recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL). En septembre, la CNIL a revu ses recommandations et lignes directrices en conséquence.

Les éditeurs de site internet ont désormais six mois pour être conformes à ces dernières, faute de quoi, ils seront sanctionnés [source : lesechos.fr]

Il est précisé que cette vigilance s'adresse aussi aux "petits sites" internet, qui souvent se croient non concernés.

Dès lors, comment bien gérer cookies et autres traceurs pour être conformes ?

Cookies et traceurs : c’est quoi ?

Un cookie est un dossier de données déposées sur votre ordinateur, tablette ou mobile, auxquelles peuvent accéder certains sites. Certains cookies, dits techniques ou fonctionnels, sont nécessaires au bon fonctionnement de votre navigation sur un site puisqu’ils permettent de mémoriser par exemple la langue dans laquelle vous le parcourez, les articles que vous avez mis dans un panier d’achat ou encore si vous êtes abonnés à un site et pouvez donc accéder à plus de contenu. D’autres cookies permettent aux éditeurs de sites de mesurer leurs audiences.
Certains cookies ne sont en revanche pas indispensables, tels que ceux récoltés par des sites tiers afin de proposer des publicités ciblées. En cas de refus de ces derniers, les sites que vous consultez vous proposent toujours des publicités mais qui ne tiennent pas compte de vos centres d’intérêt. Ces cookies, tels que ceux déposés sur votre équipement terminal lorsque vous cliquez sur un bouton de partage vers un réseau social, sont les traceurs concernés par la législation. D’autres traceurs sont concernés tels que les balises web, de petites images numériques qui permettent de suivre la navigation d’un internaute.

Comment être conforme ?

En informant clairement : il faut expliquer avec précision à vos visiteurs la finalité des cookies que vous récoltez sur votre site et quelles sont les parties prenantes impliquées dans le traitement de leurs données personnelles. Vous pouvez le faire avec un bandeau explicatif ou pop-up, ou en redirigeant les internautes vers une page dédiée à votre politique de confidentialité. La CNIL précise bien que la validité du consentement est liée à la qualité de l’information transmise.

En laissant le choix : si les cookies walls, ces pop-ups empêchant l’accès à un site en cas de refus de cookies, ne sont pas totalement interdits, il convient de laisser le choix aux internautes sans leur proposer uniquement un bouton « accepter tout » ou en leur imposant une acceptation par défaut. Tant que l’usager n’a pas expressément donné son consentement, le cookie ne peut être lu ou déposé sur son terminal. En outre, le consentement est requis à chaque fois qu’une finalité est ajoutée. Par ailleurs, les internautes doivent pouvoir modifier leur réponse à tout moment (ce n'est pas parce que l'utilisateur a accepté hier qu'il est forcément d'accord aujourd'hui)

Si vous manquez de temps ou de compétence en la matière, n’hésitez pas à faire appel à des professionnels du digital. Synexta accompagne ses clients dans la mise en conformité au RGPD et s’assure que leurs politiques de confidentialité respecteront les lignes directrices et la recommandation de la CNIL avant mars 2021.

Enfin, un consentement unique pour plusieurs usages n’est pas valide. Ainsi, l’on doit proposer le choix entre « accepter tout », « tout refuser » et la possibilité de personnaliser ses choix.

L'action de refuser doit être aussi facile que celle d'accepter (en clair si vous avez un bouton "tout accepter" il doit y avoir un bouton pour accepter tout ou partie ; indiquer, comme le font beaucoup de sites, de régler le navigateur internet est dès lors contraire à l'esprit de cette réglementation)

Le Titulaire du site internet est totalement responsable de la collecte par des tiers : si vous incorporez Google Analytics, une vidéo YouTube ou alors des publications Instagram, alors vous partagez des données utilisateurs avec Google, Facebook ou d'autres; le titulaire du site doit alors avoir l'accord explicite du visiteur pour cette collecte.

Il faut aussi qu'à tout moment le titulaire d'un site internet puisse prouver l'acceptation explicite (via un journal des acceptations par exemple)

La pratique des cases pré-cochées doit être abandonnée : les options doivent être désactivées par défaut. Quant à la poursuite de la navigation sans réponse, elle doit être considérée par défaut comme un refus.

 

Exemple d'un site conforme aux normes RGPD

L'internaute peut accepter, refuser ou personnaliser les cookies. Un journal des acceptations est tenu à la disposition du webmaster. Un refus désactive les services de google sur ce site (youtube, instagram et analytics)

S'il le souhaite, l'internaute peut personnaliser les cookies acceptés ou refuser. Par ailleurs (non visible sur l'illustration) une page dédiée explique clairement la finalité de chaque cookie.