« Ce qui compte, ce n'est pas la preuve du consentement mais la preuve qu'il est valide. »

La CNIL, Commission Nationale de l’Informatique et des LibertĂ©s, rĂ©gulateur sur le territoire français du traitement des donnĂ©es personnelles, a communiquĂ© le 17 septembre 2020, des recommandations concernant la protection des donnĂ©es personnelles afin de garantir une protection plus importante des donnĂ©es Ă  caractĂšre personnel des internautes.

Les nouvelles exigences de la CNIL ont apportĂ© des prĂ©cisions sur certains points du RGPD, RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es, applicable dans toute l’Union EuropĂ©enne depuis le 25 mai 2018.
Principalement, elles clarifient la notion de consentement des utilisateurs et par consĂ©quent approfondissent les exigences relatives Ă  l’utilisation de CMP (Consent Management Platform).

En ce qui concerne le recueil de consentement, la prĂ©sence de ces plateformes technologiques sur un site internet, n’est pas suffisante Ă  elle seule comme preuve de la conformitĂ© des Ă©diteurs Ă  la rĂ©glementation actuelle.
Leur utilisation doit avant tout ĂȘtre conforme Ă  des rĂšgles particuliĂšres et prĂ©cises Ă©mises par le rĂšglement ePrivacy, par le RGPD et rappelĂ©es rĂ©cemment par la CNIL.

En quoi consistent ces recommandations ?

Nous avons regroupé ces recommandations en quatre grandes exigences distinctes axées sur la volonté de respecter au mieux le choix des internautes :

  • Le consentement doit ĂȘtre prĂ©alable au dĂ©pĂŽt de cookies ou tout autre traceur
  • Le consentement doit ĂȘtre une manifestation de volontĂ©, libre, spĂ©cifique, univoque et Ă©clairĂ©e
  • Le consentement doit pouvoir ĂȘtre retirĂ© simplement et Ă  tout moment par l’utilisateur
  • La preuve du consentement doit pouvoir ĂȘtre Ă©tablie

La CNIL, par ces recommandations, cherche à protéger les données personnelles des internautes et à mettre en place une meilleure application du RGPD et de la loi ePrivacy par les acteurs du marché.

Il faut le rappeler, ce qu’on appelle cookie s’apparente Ă  un petit fichier dĂ©posĂ© sur le disque dur d’un utilisateur via le navigateur, lors de sa consultation de sites web.
Ce dernier a pour but de conserver des informations concernant l’internaute (dont, le cas Ă©chĂ©ant des donnĂ©es Ă  caractĂšre personnel, de type navigation, pages visitĂ©es, prĂ©fĂ©rences...) en vue d’une connexion ultĂ©rieure comme un ID ou un identifiant de tracking.

C’est pour cela qu’il semblait essentiel, afin de respecter la vie privĂ©e de l’utilisateur, que le consentement soit une prioritĂ© et qu’il soit pris en compte antĂ©rieurement au dĂ©pĂŽt de tout cookies ou autre traceur.

Un consentement conditionné

Avec ses nouvelles recommandations, la Commission insiste Ă  nouveau sur les conditions d’application d’une demande de consentement valide, en rappelant que ce dernier doit ĂȘtre conditionnĂ© Ă  la prĂ©sence de 4 attributs distincts : libre, Ă©clairĂ©, spĂ©cifique et univoque.

Libre, signifie que le consentement ne peut ĂȘtre valide que si l’utilisateur est en mesure d'exercer librement son choix et que ce dernier doit toujours avoir la possibilitĂ© d’accepter comme de ne pas accepter les opĂ©rations de lecture et/ou d’écriture.

Un consentement Ă©clairĂ© indique que les utilisateurs doivent ĂȘtre informĂ©s des finalitĂ©s des traceurs prĂ©sents sur le site qu’ils visitent afin de pouvoir consentir ou non Ă  leur utilisation.

SpĂ©cifique, signifie que l’utilisateur doit pouvoir consentir de façon indĂ©pendante et spĂ©cifique Ă  chaque finalitĂ© distincte et Ă  chaque visite de site le cas Ă©chĂ©ant.

Enfin, la CNIL insiste sur le fait que le consentement doit ĂȘtre univoque. C’est-Ă -dire que l’internaute doit avoir la possibilitĂ© d’effectuer une action de maniĂšre complĂštement volontaire ce qui insinue par exemple d’appuyer sur le bouton « accepter » consciemment.

Un consentement libre d’ĂȘtre retirĂ© Ă  tout moment

Les utilisateurs ayant donnĂ© leur consentement Ă  l’utilisation de traceurs doivent ĂȘtre en mesure de le retirer Ă  tout moment.
La Commission rappelle effectivement qu'il doit ĂȘtre aussi simple de retirer son consentement que de le donner.

Les utilisateurs doivent donc ĂȘtre informĂ©s de maniĂšre simple et intelligible, avant mĂȘme de donner leur consentement, des solutions mises Ă  leur disposition pour le retirer.

En pratique, la Commission demande que les solutions permettant aux utilisateurs de retirer leur consentement soient aisément accessibles à tout moment.
On retrouve par exemple deux solutions majoritairement utilisées se référant à la gestion des cookies :

  • La mise Ă  disposition d’un lien (vie privĂ©e) dans les menus accessibles Ă  tout moment
  • Ou la mise Ă  disposition d’un bouton gĂ©nĂ©ralement en bas de page.

La preuve du consentement

Les responsables du ou des traitements de donnĂ©es personnelles doivent ĂȘtre en mesure de dĂ©montrer que l’utilisateur a donnĂ© son consentement et doivent mettre en Ɠuvre des mĂ©canismes leur permettant de dĂ©montrer qu’ils ont valablement recueilli ce dernier.

Également, pour assurer une plus forte protection du choix des internautes, la CNIL prĂ©conise que les sites internet conservent le refus des internautes Ă  consentir pendant une durĂ©e pouvant aller jusqu’à 13 mois avant de pouvoir leur proposer Ă  nouveau de faire leur choix.
C’est un moyen de ne pas rĂ©interroger l’internaute Ă  chacune de ses visites.
Mais cela n’enlĂšve pas la possibilitĂ© aux utilisateurs, de pouvoir Ă  tout moment, modifier leur choix lors d’une visite sur le site.

Quels sont les acteurs auxquels vont s’appliquer principalement ces recommandations ?

Comme l’a Ă©noncĂ© la CNIL, les lignes directrices du 17 septembre 2020 sont principalement applicables Ă  tous les organismes qui recourent Ă  des traceurs soit :

- Aux éditeurs de sites web et d'applications mobiles ;

- Aux régies publicitaires ;

- A certains réseaux sociaux.

Pourquoi un tel renforcement ?

Cette volontĂ© de la CNIL de renforcer la mise en application de la loi concernant la protection des donnĂ©es personnelles et plus prĂ©cisĂ©ment le consentement ou le recueil du consentement, s’inscrit dans l’objectif d’informer davantage chaque internaute de ses droits et libertĂ©s lorsqu’il navigue sur internet quel que soit le matĂ©riel utilisĂ©.

La commission a d’ailleurs rappelĂ© dans ses recommandations, que conformĂ©ment Ă  la jurisprudence du Conseil d’Etat du 16 octobre 2019, la CNIL pourra Ă  partir de mars 2021, poursuivre les acteurs de l’écosystĂšme digital qui ne respectent pas les exigences Ă©noncĂ©es concernant le respect de la vie privĂ©e.

Quelles problématiques pour les acteurs du secteur de la publicité et du marketing digital ?

La commission a recommandĂ© que l’interface de recueil du consentement ne comprenne plus seulement un bouton « tout accepter » mais que soit Ă©galement laissĂ© la possibilitĂ© de ne pas donner son consentement et ce, dans les mĂȘmes conditions.

Cette exigence peut ĂȘtre perçue pour le secteur de la publicitĂ© et du marketing comme un frein Ă  son activitĂ© dans la mesure oĂč cela va limiter l’accĂšs aux donnĂ©es personnelles des internautes.
Le risque est en effet, que la majorité des personnes visitant un site ne donne désormais, pas leur consentement au dépÎt de cookies par peur ou méconnaissance des finalités de ces différents traceurs.

C’est dans cette optique que la question de la licĂ©itĂ© du cookie wall s’est amplifiĂ©e.
Cette pratique qui a pour but de bloquer l’accĂšs Ă  un site ou Ă  une application mobile pour tout utilisateur qui ne donnerait pas son consentement, pose certains questionnements, notamment, sur son respect de la protection des donnĂ©es personnelles.
Effectivement, en 2019, la CNIL avait interdit l’utilisation des cookies walls insistant sur le fait que c’était justement contraire au consentement libre et Ă©clairĂ© des utilisateurs. Mais cette interdiction a Ă©tĂ© considĂ©rĂ©e comme un excĂšs de pouvoir de la commission, par le Conseil d’Etat, dans une dĂ©cision rendue le 19 juin 2020.
Aujourd’hui les demandes de pratique de cookie walls doivent ĂȘtre examinĂ©es spĂ©cifiquement par la CNIL avant toute application..

Il y a donc de vĂ©ritables enjeux qui s’offrent aux acteurs du web, d’autant que d’autres durcissements sont Ă  prĂ©voir, la fin des cookies third party notamment.
Ces cookies, non pas dĂ©posĂ©s par l’opĂ©rateur du site web mais par un tiers, risquent effectivement de disparaĂźtre en 2022, Ă  la suite de dĂ©cisions prises notamment par le gĂ©ant du web, Chrome.
Chose qui va imposer Ă  l’industrie publicitaire et du marketing de modifier ses habitudes et d’apprendre Ă  travailler diffĂ©remment.

Toutes ces problĂ©matiques actuelles autour de la protection des donnĂ©es personnelles impliquent donc nĂ©cessairement un renouveau gĂ©nĂ©ral pour tout l’écosystĂšme digital, qui va devoir trouver les solutions adĂ©quates aux nouvelles rĂšgles afin de se rĂ©inventer efficacement et rapidement.

Une solution peut dĂ©jĂ  rĂ©pondre Ă  une partie de ces problĂ©matiques, le ciblage contextuel. Cette technique, utilisĂ©e chez Sirdata, permet d’analyser en temps rĂ©el le contenu d’une page et de tout ce qu’elle contient afin de comprendre le contexte de celle-ci et d’en dĂ©duire l’intention d’un internaute sans utiliser de cookies.

D'autres solutions ont également été pensées pour parer à ces difficultés et ont notamment été abordées lors de plusieurs webinars auxquels notre équipe a participé.
Effectivement, nous retrouvons la mention de ces différentes solutions dans le webinar du 30 avril 2020 organisé par Yanis Sif, Consultant chez Digilityx, avec Thibault Montanier, Data Manager chez Sirdata, et que vous pouvez retrouver dans sa retranscription ici.

Quel visage pour un monde post-cookies?
Quel visage pour un monde post-cookies?

Mais Ă©galement dans le webinar organisĂ© par Equancy, le 9 dĂ©cembre 2020, avec BenoĂźt OberlĂ©, CEO & Founder chez Sirdata, pour aider les acteurs de l’écosystĂšme digital Ă  repenser leurs stratĂ©gies digitales et data !
Ainsi que dans le plus rĂ©cent en date, rĂ©alisĂ© le 10 dĂ©cembre 2020 par l’Iab France, auquel ont participĂ© Thibault Montanier et Arnaud Sirjacq, Sirdata Sales Director.

Quel futur pour le ciblage sans cookies-tiers ?
Quel futur pour le ciblage sans cookies?