« Ce qui compte, ce n'est pas la preuve du consentement mais la preuve qu'il est valide. »
La CNIL, Commission Nationale de lâInformatique et des LibertĂ©s, rĂ©gulateur sur le territoire français du traitement des donnĂ©es personnelles, a communiquĂ© le 17 septembre 2020, des recommandations concernant la protection des donnĂ©es personnelles afin de garantir une protection plus importante des donnĂ©es Ă caractĂšre personnel des internautes.
Les nouvelles exigences de la CNIL ont apportĂ© des prĂ©cisions sur certains points du RGPD, RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es, applicable dans toute lâUnion EuropĂ©enne depuis le 25 mai 2018.
Principalement, elles clarifient la notion de consentement des utilisateurs et par consĂ©quent approfondissent les exigences relatives Ă lâutilisation de CMP (Consent Management Platform).
En ce qui concerne le recueil de consentement, la prĂ©sence de ces plateformes technologiques sur un site internet, nâest pas suffisante Ă elle seule comme preuve de la conformitĂ© des Ă©diteurs Ă la rĂ©glementation actuelle.
Leur utilisation doit avant tout ĂȘtre conforme Ă des rĂšgles particuliĂšres et prĂ©cises Ă©mises par le rĂšglement ePrivacy, par le RGPD et rappelĂ©es rĂ©cemment par la CNIL.
En quoi consistent ces recommandations ?
Nous avons regroupé ces recommandations en quatre grandes exigences distinctes axées sur la volonté de respecter au mieux le choix des internautes :
- Le consentement doit ĂȘtre prĂ©alable au dĂ©pĂŽt de cookies ou tout autre traceur
- Le consentement doit ĂȘtre une manifestation de volontĂ©, libre, spĂ©cifique, univoque et Ă©clairĂ©e
- Le consentement doit pouvoir ĂȘtre retirĂ© simplement et Ă tout moment par lâutilisateur
- La preuve du consentement doit pouvoir ĂȘtre Ă©tablie
Un consentement préalable à tout dépÎt de cookie
La CNIL, par ces recommandations, cherche à protéger les données personnelles des internautes et à mettre en place une meilleure application du RGPD et de la loi ePrivacy par les acteurs du marché.
Il faut le rappeler, ce quâon appelle cookie sâapparente Ă un petit fichier dĂ©posĂ© sur le disque dur dâun utilisateur via le navigateur, lors de sa consultation de sites web.
Ce dernier a pour but de conserver des informations concernant lâinternaute (dont, le cas Ă©chĂ©ant des donnĂ©es Ă caractĂšre personnel, de type navigation, pages visitĂ©es, prĂ©fĂ©rences...) en vue dâune connexion ultĂ©rieure comme un ID ou un identifiant de tracking.
Câest pour cela quâil semblait essentiel, afin de respecter la vie privĂ©e de lâutilisateur, que le consentement soit une prioritĂ© et quâil soit pris en compte antĂ©rieurement au dĂ©pĂŽt de tout cookies ou autre traceur.
Un consentement conditionné
Avec ses nouvelles recommandations, la Commission insiste Ă nouveau sur les conditions dâapplication dâune demande de consentement valide, en rappelant que ce dernier doit ĂȘtre conditionnĂ© Ă la prĂ©sence de 4 attributs distincts : libre, Ă©clairĂ©, spĂ©cifique et univoque.
Libre, signifie que le consentement ne peut ĂȘtre valide que si lâutilisateur est en mesure d'exercer librement son choix et que ce dernier doit toujours avoir la possibilitĂ© dâaccepter comme de ne pas accepter les opĂ©rations de lecture et/ou dâĂ©criture.
Un consentement Ă©clairĂ© indique que les utilisateurs doivent ĂȘtre informĂ©s des finalitĂ©s des traceurs prĂ©sents sur le site quâils visitent afin de pouvoir consentir ou non Ă leur utilisation.
SpĂ©cifique, signifie que lâutilisateur doit pouvoir consentir de façon indĂ©pendante et spĂ©cifique Ă chaque finalitĂ© distincte et Ă chaque visite de site le cas Ă©chĂ©ant.
Enfin, la CNIL insiste sur le fait que le consentement doit ĂȘtre univoque. Câest-Ă -dire que lâinternaute doit avoir la possibilitĂ© dâeffectuer une action de maniĂšre complĂštement volontaire ce qui insinue par exemple dâappuyer sur le bouton « accepter » consciemment.
Un consentement libre dâĂȘtre retirĂ© Ă tout moment
Les utilisateurs ayant donnĂ© leur consentement Ă lâutilisation de traceurs doivent ĂȘtre en mesure de le retirer Ă tout moment.
La Commission rappelle effectivement qu'il doit ĂȘtre aussi simple de retirer son consentement que de le donner.
Les utilisateurs doivent donc ĂȘtre informĂ©s de maniĂšre simple et intelligible, avant mĂȘme de donner leur consentement, des solutions mises Ă leur disposition pour le retirer.
En pratique, la Commission demande que les solutions permettant aux utilisateurs de retirer leur consentement soient aisément accessibles à tout moment.
On retrouve par exemple deux solutions majoritairement utilisées se référant à la gestion des cookies :
- La mise Ă disposition dâun lien (vie privĂ©e) dans les menus accessibles Ă tout moment
- Ou la mise Ă disposition dâun bouton gĂ©nĂ©ralement en bas de page.
La preuve du consentement
Les responsables du ou des traitements de donnĂ©es personnelles doivent ĂȘtre en mesure de dĂ©montrer que lâutilisateur a donnĂ© son consentement et doivent mettre en Ćuvre des mĂ©canismes leur permettant de dĂ©montrer quâils ont valablement recueilli ce dernier.
Ăgalement, pour assurer une plus forte protection du choix des internautes, la CNIL prĂ©conise que les sites internet conservent le refus des internautes Ă consentir pendant une durĂ©e pouvant aller jusquâĂ 13 mois avant de pouvoir leur proposer Ă nouveau de faire leur choix.
Câest un moyen de ne pas rĂ©interroger lâinternaute Ă chacune de ses visites.
Mais cela nâenlĂšve pas la possibilitĂ© aux utilisateurs, de pouvoir Ă tout moment, modifier leur choix lors dâune visite sur le site.
Quels sont les acteurs auxquels vont sâappliquer principalement ces recommandations ?
Comme lâa Ă©noncĂ© la CNIL, les lignes directrices du 17 septembre 2020 sont principalement applicables Ă tous les organismes qui recourent Ă des traceurs soit :
- Aux éditeurs de sites web et d'applications mobiles ;
- Aux régies publicitaires ;
- A certains réseaux sociaux.
Pourquoi un tel renforcement ?
Cette volontĂ© de la CNIL de renforcer la mise en application de la loi concernant la protection des donnĂ©es personnelles et plus prĂ©cisĂ©ment le consentement ou le recueil du consentement, sâinscrit dans lâobjectif dâinformer davantage chaque internaute de ses droits et libertĂ©s lorsquâil navigue sur internet quel que soit le matĂ©riel utilisĂ©.
La commission a dâailleurs rappelĂ© dans ses recommandations, que conformĂ©ment Ă la jurisprudence du Conseil dâEtat du 16 octobre 2019, la CNIL pourra Ă partir de mars 2021, poursuivre les acteurs de lâĂ©cosystĂšme digital qui ne respectent pas les exigences Ă©noncĂ©es concernant le respect de la vie privĂ©e.
Quelles problématiques pour les acteurs du secteur de la publicité et du marketing digital ?
La commission a recommandĂ© que lâinterface de recueil du consentement ne comprenne plus seulement un bouton « tout accepter » mais que soit Ă©galement laissĂ© la possibilitĂ© de ne pas donner son consentement et ce, dans les mĂȘmes conditions.
Cette exigence peut ĂȘtre perçue pour le secteur de la publicitĂ© et du marketing comme un frein Ă son activitĂ© dans la mesure oĂč cela va limiter lâaccĂšs aux donnĂ©es personnelles des internautes.
Le risque est en effet, que la majorité des personnes visitant un site ne donne désormais, pas leur consentement au dépÎt de cookies par peur ou méconnaissance des finalités de ces différents traceurs.
Câest dans cette optique que la question de la licĂ©itĂ© du cookie wall sâest amplifiĂ©e.
Cette pratique qui a pour but de bloquer lâaccĂšs Ă un site ou Ă une application mobile pour tout utilisateur qui ne donnerait pas son consentement, pose certains questionnements, notamment, sur son respect de la protection des donnĂ©es personnelles.
Effectivement, en 2019, la CNIL avait interdit lâutilisation des cookies walls insistant sur le fait que câĂ©tait justement contraire au consentement libre et Ă©clairĂ© des utilisateurs. Mais cette interdiction a Ă©tĂ© considĂ©rĂ©e comme un excĂšs de pouvoir de la commission, par le Conseil dâEtat, dans une dĂ©cision rendue le 19 juin 2020.
Aujourdâhui les demandes de pratique de cookie walls doivent ĂȘtre examinĂ©es spĂ©cifiquement par la CNIL avant toute application..
Il y a donc de vĂ©ritables enjeux qui sâoffrent aux acteurs du web, dâautant que dâautres durcissements sont Ă prĂ©voir, la fin des cookies third party notamment.
Ces cookies, non pas dĂ©posĂ©s par lâopĂ©rateur du site web mais par un tiers, risquent effectivement de disparaĂźtre en 2022, Ă la suite de dĂ©cisions prises notamment par le gĂ©ant du web, Chrome.
Chose qui va imposer Ă lâindustrie publicitaire et du marketing de modifier ses habitudes et dâapprendre Ă travailler diffĂ©remment.
Toutes ces problĂ©matiques actuelles autour de la protection des donnĂ©es personnelles impliquent donc nĂ©cessairement un renouveau gĂ©nĂ©ral pour tout lâĂ©cosystĂšme digital, qui va devoir trouver les solutions adĂ©quates aux nouvelles rĂšgles afin de se rĂ©inventer efficacement et rapidement.
Une solution peut dĂ©jĂ rĂ©pondre Ă une partie de ces problĂ©matiques, le ciblage contextuel. Cette technique, utilisĂ©e chez Sirdata, permet dâanalyser en temps rĂ©el le contenu dâune page et de tout ce quâelle contient afin de comprendre le contexte de celle-ci et dâen dĂ©duire lâintention dâun internaute sans utiliser de cookies.
D'autres solutions ont également été pensées pour parer à ces difficultés et ont notamment été abordées lors de plusieurs webinars auxquels notre équipe a participé.
Effectivement, nous retrouvons la mention de ces différentes solutions dans le webinar du 30 avril 2020 organisé par Yanis Sif, Consultant chez Digilityx, avec Thibault Montanier, Data Manager chez Sirdata, et que vous pouvez retrouver dans sa retranscription ici.

Mais Ă©galement dans le webinar organisĂ© par Equancy, le 9 dĂ©cembre 2020, avec BenoĂźt OberlĂ©, CEO & Founder chez Sirdata, pour aider les acteurs de lâĂ©cosystĂšme digital Ă repenser leurs stratĂ©gies digitales et data !
Ainsi que dans le plus rĂ©cent en date, rĂ©alisĂ© le 10 dĂ©cembre 2020 par lâIab France, auquel ont participĂ© Thibault Montanier et Arnaud Sirjacq, Sirdata Sales Director.
