Comme elle l'avait annoncé il y a six mois de cela, la CNIL va démarrer, à compter de ce jeudi, les contrôles pour veiller au respect des nouvelles règles applicables en matière de consentement et de traceurs publicitaires.
Le 1er avril souffle le vent du changement pour la Commission nationale de l'informatique et des libertés (CNIL) et les cookies. Après avoir lancé en janvier 2020 une consultation publique sur son projet de recommandation « cookies et autres traceurs », le gendarme des données avait définitivement adopté son plan d'action sur le ciblage publicitaire le 17 septembre de la même année, ouvrant ainsi une période de six mois pour laisser aux acteurs concernés le temps de se mettre en conformité avec les nouvelles règles, inspirées du RGPD et de la vieillissante directive ePrivacy. Voyons, en plusieurs points et questions, ce qui change à compter de ce jour, qui va marquer un vrai tournant dans le secteur de la publicité en ligne et pour les utilisateurs.
Le consentement devra découler d'un « acte positif clair », pour déposer des cookies
Le principal pan des nouvelles règles concerne le consentement des utilisateurs. L'information majeure à retenir, c'est que la simple poursuite de la navigation sur un site Internet ne suffira plus à être considérée comme une expression du consentement ni comme une acception des traceurs. Si l'utilisateur n'exprime pas matériellement son consentement, aucun cookie ne pourra être déposé sur l'appareil de ce dernier.
Alors quelle forme doit prendre le consentement pour être considéré comme « valide » et permettre l'installation de traceurs ? La CNIL est ferme sur ce point. Seul « un acte positif clair » pourra être assimilé à du consentement. Cet acte peut prendre par exemple la forme d'un clic sur un bouton « Tout accepter ». Et refuser les cookies devra être aussi facile que de les accepter, d'un point de vue « navigation ». On notera également qu'il est obligatoire qu'un site web puisse permettre à l'internaute de refuser le dépôt de cookies.
En cas de refus, peut-on revenir à la charge, ou peut-on retirer son consentement ?
La CNIL a dû répondre à la question d'annonceurs et éditeurs qui se demandent si malgré le refus de l'utilisateur, on peut lui redemander son consentement. Ici, l'autorité française répond « oui », mais à certaines conditions.
Si le choix de l'utilisateur est censé être respecté de page en page, la CNIL tolère une nouvelle demande, mais à condition de respecter un certain laps de temps entre la première et la seconde demande. Si le cas par cas est évoqué (en fonction de la nature du site ou de l'application utilisée), l'autorité recommande d'attendre six mois et de conserver donc ce choix sur cette période.
A contrario, un utilisateur peut tout à fait retirer son consentement au dépôt de traceurs après l'avoir donné. La CNIL offre toute la liberté aux internautes et mobinautes, qui doivent être en mesure de revenir sur leur position initiale à tout moment. « Le principe général est qu'il doit être aussi simple de retirer son consentement que de le donner », nous dit l'autorité administrative indépendante.
La CNIL préconise aux sites et applications de mettre à disposition des utilisateurs un lien leur permettant de gérer le consentement, qui porterait le nom de « Gérer mes cookies », forcément plus facilement identifiable. L'idée d'un module de paramétrage accessible sur toutes les pages pourra aussi être proposée au public. Elle pourrait prendre la forme d'une petite icône « cookie » qui serait située dans un coin de l'écran.
L'information des personnes et la preuve du consentement : des indispensables
L'information des personnes constitue un élément très important dans cette transition entre les règles déjà en vigueur et la nouvelle doctrine de la CNIL. Le gendarme français des données explique que les utilisateurs doivent être informés des finalités des traceurs avant de donner leur consentement, mais aussi des conséquences qui peuvent découler de l'accord ou du refus de cookies.
Les internautes et mobinautes doivent aussi avoir pris connaissance de l'identité de tous les responsables du traitement et des acteurs qui utilisent les fameux traceurs soumis au consentement. L'une des recommandations de la CNIL est par exemple d'intégrer un lien, visible pour les utilisateurs, qui redirige vers la politique de confidentialité et l'identité détaillée de l'acteur concerné.
Désormais prévenus, les organismes qui utilisent et exploitent des cookies doivent pouvoir fournir à tout moment, en cas de contrôle notamment, la preuve du consentement fourni par l'internaute, consentement qui doit avoir recueilli de façon « libre, éclairée, spécifique et univoque ».
Attention, certains traceurs restent exemptés de tout recueil de consentement
Comme toute règle mérite ses exceptions, celle du consentement pour le dépôt de cookies n'y échappe pas. Les traceurs utilisés pour la mesure d'audience sont par exemple exemptés, dans le cas où ils servent uniquement à livrer des données statistiques anonymes et qu'ils se limitent justement à la mesure d'audience sur le site, pour le compte de l'éditeur exclusivement.
Les traceurs utilisés pour l'authentification à un site ou service sont exemptés également, tout comme ceux permettant de garder en mémoire le contenu d'un panier sur un site de e-commerce.
Google, de son côté, planche sur la fin des cookies tiers et l'arrivée d'une alternative, censée se focaliser sur les intérêts des utilisateurs uniquement. Nous allons avoir l'occasion de vite en reparler sur Clubic.
Source : CNIL
