Quelles sont les nouvelles exigences de la CNIL concernant les CMP ?

« Ce qui compte, ce n'est pas la preuve du consentement mais la preuve qu'il est valide. »

La CNIL, Commission Nationale de l’Informatique et des Libertés, régulateur sur le territoire français du traitement des données personnelles, a communiqué le 17 septembre 2020, des recommandations concernant la protection des données personnelles afin de garantir une protection plus importante des données à caractère personnel des internautes.

Les nouvelles exigences de la CNIL ont apporté des précisions sur certains points du RGPD, Règlement Général sur la Protection des Données, applicable dans toute l’Union Européenne depuis le 25 mai 2018.
Principalement, elles clarifient la notion de consentement des utilisateurs et par conséquent approfondissent les exigences relatives à l’utilisation de CMP (Consent Management Platform).

En ce qui concerne le recueil de consentement, la présence de ces plateformes technologiques sur un site internet, n’est pas suffisante à elle seule comme preuve de la conformité des éditeurs à la réglementation actuelle.
Leur utilisation doit avant tout être conforme à des règles particulières et précises émises par le règlement ePrivacy, par le RGPD et rappelées récemment par la CNIL.

En quoi consistent ces recommandations ?

Nous avons regroupé ces recommandations en quatre grandes exigences distinctes axées sur la volonté de respecter au mieux le choix des internautes :

Le consentement doit être préalable au dépôt de cookies ou tout autre traceur
Le consentement doit être une manifestation de volonté, libre, spécifique, univoque et éclairée
Le consentement doit pouvoir être retiré simplement et à tout moment par l’utilisateur
La preuve du consentement doit pouvoir être établie

La CNIL, par ces recommandations, cherche à protéger les données personnelles des internautes et à mettre en place une meilleure application du RGPD et de la loi ePrivacy par les acteurs du marché.

Il faut le rappeler, ce qu’on appelle cookie s’apparente à un petit fichier déposé sur le disque dur d’un utilisateur via le navigateur, lors de sa consultation de sites web.
Ce dernier a pour but de conserver des informations concernant l’internaute (dont, le cas échéant des données à caractère personnel, de type navigation, pages visitées, préférences...) en vue d’une connexion ultérieure comme un ID ou un identifiant de tracking.

C’est pour cela qu’il semblait essentiel, afin de respecter la vie privée de l’utilisateur, que le consentement soit une priorité et qu’il soit pris en compte antérieurement au dépôt de tout cookies ou autre traceur.

Un consentement conditionné

Avec ses nouvelles recommandations, la Commission insiste à nouveau sur les conditions d’application d’une demande de consentement valide, en rappelant que ce dernier doit être conditionné à la présence de 4 attributs distincts : libre, éclairé, spécifique et univoque.

Libre, signifie que le consentement ne peut être valide que si l’utilisateur est en mesure d'exercer librement son choix et que ce dernier doit toujours avoir la possibilité d’accepter comme de ne pas accepter les opérations de lecture et/ou d’écriture.

Un consentement éclairé indique que les utilisateurs doivent être informés des finalités des traceurs présents sur le site qu’ils visitent afin de pouvoir consentir ou non à leur utilisation.

Spécifique, signifie que l’utilisateur doit pouvoir consentir de façon indépendante et spécifique à chaque finalité distincte et à chaque visite de site le cas échéant.

Enfin, la CNIL insiste sur le fait que le consentement doit être univoque. C’est-à-dire que l’internaute doit avoir la possibilité d’effectuer une action de manière complètement volontaire ce qui insinue par exemple d’appuyer sur le bouton « accepter » consciemment.

Un consentement libre d’être retiré à tout moment

Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment.
La Commission rappelle effectivement qu'il doit être aussi simple de retirer son consentement que de le donner.

Les utilisateurs doivent donc être informés de manière simple et intelligible, avant même de donner leur consentement, des solutions mises à leur disposition pour le retirer.

En pratique, la Commission demande que les solutions permettant aux utilisateurs de retirer leur consentement soient aisément accessibles à tout moment.
On retrouve par exemple deux solutions majoritairement utilisées se référant à la gestion des cookies :

La mise à disposition d’un lien (vie privée) dans les menus accessibles à tout moment
Ou la mise à disposition d’un bouton généralement en bas de page.

La preuve du consentement

Les responsables du ou des traitements de données personnelles doivent être en mesure de démontrer que l’utilisateur a donné son consentement et doivent mettre en œuvre des mécanismes leur permettant de démontrer qu’ils ont valablement recueilli ce dernier.

Également, pour assurer une plus forte protection du choix des internautes, la CNIL préconise que les sites internet conservent le refus des internautes à consentir pendant une durée pouvant aller jusqu’à 13 mois avant de pouvoir leur proposer à nouveau de faire leur choix.
C’est un moyen de ne pas réinterroger l’internaute à chacune de ses visites.
Mais cela n’enlève pas la possibilité aux utilisateurs, de pouvoir à tout moment, modifier leur choix lors d’une visite sur le site.

Quels sont les acteurs auxquels vont s’appliquer principalement ces recommandations ?

Comme l’a énoncé la CNIL, les lignes directrices du 17 septembre 2020 sont principalement applicables à tous les organismes qui recourent à des traceurs soit :

- Aux éditeurs de sites web et d'applications mobiles ;

- Aux régies publicitaires ;

- A certains réseaux sociaux.

Pourquoi un tel renforcement ?

Cette volonté de la CNIL de renforcer la mise en application de la loi concernant la protection des données personnelles et plus précisément le consentement ou le recueil du consentement, s’inscrit dans l’objectif d’informer davantage chaque internaute de ses droits et libertés lorsqu’il navigue sur internet quel que soit le matériel utilisé.

La commission a d’ailleurs rappelé dans ses recommandations, que conformément à la jurisprudence du Conseil d’Etat du 16 octobre 2019, la CNIL pourra à partir de mars 2021, poursuivre les acteurs de l’écosystème digital qui ne respectent pas les exigences énoncées concernant le respect de la vie privée.

Quelles problématiques pour les acteurs du secteur de la publicité et du marketing digital ?

La commission a recommandé que l’interface de recueil du consentement ne comprenne plus seulement un bouton « tout accepter » mais que soit également laissé la possibilité de ne pas donner son consentement et ce, dans les mêmes conditions.

Cette exigence peut être perçue pour le secteur de la publicité et du marketing comme un frein à son activité dans la mesure où cela va limiter l’accès aux données personnelles des internautes.
Le risque est en effet, que la majorité des personnes visitant un site ne donne désormais, pas leur consentement au dépôt de cookies par peur ou méconnaissance des finalités de ces différents traceurs.

C’est dans cette optique que la question de la licéité du cookie wall s’est amplifiée.
Cette pratique qui a pour but de bloquer l’accès à un site ou à une application mobile pour tout utilisateur qui ne donnerait pas son consentement, pose certains questionnements, notamment, sur son respect de la protection des données personnelles.
Effectivement, en 2019, la CNIL avait interdit l’utilisation des cookies walls insistant sur le fait que c’était justement contraire au consentement libre et éclairé des utilisateurs. Mais cette interdiction a été considérée comme un excès de pouvoir de la commission, par le Conseil d’Etat, dans une décision rendue le 19 juin 2020.
Aujourd’hui les demandes de pratique de cookie walls doivent être examinées spécifiquement par la CNIL avant toute application..

Il y a donc de véritables enjeux qui s’offrent aux acteurs du web, d’autant que d’autres durcissements sont à prévoir, la fin des cookies third party notamment.
Ces cookies, non pas déposés par l’opérateur du site web mais par un tiers, risquent effectivement de disparaître en 2022, à la suite de décisions prises notamment par le géant du web, Chrome.
Chose qui va imposer à l’industrie publicitaire et du marketing de modifier ses habitudes et d’apprendre à travailler différemment.

Toutes ces problématiques actuelles autour de la protection des données personnelles impliquent donc nécessairement un renouveau général pour tout l’écosystème digital, qui va devoir trouver les solutions adéquates aux nouvelles règles afin de se réinventer efficacement et rapidement.

Une solution peut déjà répondre à une partie de ces problématiques, le ciblage contextuel. Cette technique, utilisée chez Sirdata, permet d’analyser en temps réel le contenu d’une page et de tout ce qu’elle contient afin de comprendre le contexte de celle-ci et d’en déduire l’intention d’un internaute sans utiliser de cookies.

D'autres solutions ont également été pensées pour parer à ces difficultés et ont notamment été abordées lors de plusieurs webinars auxquels notre équipe a participé.
Effectivement, nous retrouvons la mention de ces différentes solutions dans le webinar du 30 avril 2020 organisé par Yanis Sif, Consultant chez Digilityx, avec Thibault Montanier, Data Manager chez Sirdata, et que vous pouvez retrouver dans sa retranscription ici.

Mais également dans le webinar organisé par Equancy, le 9 décembre 2020, avec Benoît Oberlé, CEO & Founder chez Sirdata, pour aider les acteurs de l’écosystème digital à repenser leurs stratégies digitales et data !
Ainsi que dans le plus récent en date, réalisé le 10 décembre 2020 par l’Iab France, auquel ont participé Thibault Montanier et Arnaud Sirjacq, Sirdata Sales Director.