Reprendrez-vous un « cookie » ? (Part.2)

24,Sep,19

ou les nouvelles lignes directrices de la CNIL du 4 juillet 2019 en matière de consentement vers la généralisation du Privacy by design.

  • Les étapes de l’évolution de la réglementation relative aux cookies :
  • Les changements réalisés par les nouvelles lignes directrices se concentrent donc essentiellement sur le consentement et sa preuve :

  • Définition. Si la notion de consentement existait donc préalablement à l’adoption du RGPD, sa définition a été modifiée pour en renforcer la protection. Le consentement est redéfini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

    Durée de validité du consentement. Les anciennes lignes directrices de la CNIL (2013) sont toujours applicables pour ce qui concerne les dispositions qui ne sont pas mentionnées dans les nouvelles. C’est pourquoi la CNIL rappelait encore récemment que le consentement recueilli dans une telle situation dispose d’une validité de 13 mois maximum. Ce délai n’a pas changé, il est néanmoins précisé que « cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites ».

    Champ d’application élargi des lignes directrices.  il porte dorénavant sur « toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement ». L’obligation de recueil du consentement est imposée dès lors qu’un traitement de données à caractère personnel est mis en place.

    De plus, il semble que la CNIL anticipe ici un projet européen très débattu depuis 2017 : celui du règlement « ePrivacy ». Ce dernier prévoit entre autres la généralisation de l’approche du Privacy by design, c’est-à-dire que dès la conception des sites mettant en place des traitements de données personnelles, ces derniers doivent adopter des mesures organisationnelles et techniques permettant de limiter aux stricts besoins du traitement, la collecte d’information. Le règlement propose de simplifier les conditions de fourniture du consentement des internautes au dépôt des cookies et traceurs, en leur permettant d’accepter ou de refuser ce dépôt via la configuration de leur navigateur sans que cela ne nuise à la qualité de leur navigation.

    En résumé :

    • La volonté de la personne doit être manifestée de manière libre, spécifique, éclairée et univoque, par une déclaration ou un acte positif clair.
    • La poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement au dépôt de cookies.
    • L’utilisation de cases pré-cochées, tout comme l’acceptation globale des conditions générales d’utilisation, ne peuvent non plus constituer un acte positif clair visant à donner le consentement.

    Par conséquent :

    • Les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement. La plupart du temps, l’utilisation de traceurs constitue un traitement de données à caractère personnel. Dans certains cas, ce dernier ne fait intervenir qu’une seule entité qui est donc pleinement responsable de l’obligation de recueillir le consentement. Dans d’autres cas, il peut y avoir plusieurs entités, qu’il faudra qualifier juridiquement : responsables conjoints ou sous-traitants.
    • Les sites doivent mettre en place un mécanisme qui permette l’expression d’un consentement éclairé et univoque.

    En attendant :

    Une période transitoire de 12 mois est accordée par la CNIL, durant laquelle la poursuite de la navigation comme expression du consentement sera considérée comme acceptable.

    Néanmoins, la CNIL continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement. Les obligations n’ayant fait l’objet d’aucune modification dans les lignes directrices (par exemple information, retrait du consentement) ainsi que les autres obligations du RGPD (par exemple les obligations en matière de sécurité) pourront également faire l’objet de contrôles et, le cas échéant, de mesures correctrices, durant cette période transitoire.

    Pour ce qui est de la nouvelle recommandation prévue au plus tard pour le premier semestre 2020, la CNIL procèdera à des vérifications du respect de la recommandation finale 6 mois après son adoption définitive.

1Reprendrez-vous un cookie Part. I publié Juillet 2019

Nos articles récents

Points clés des contrats de partenariat avec Syntec Numérique

Points clés des contrats de partenariat avec Syntec Numérique

Unir les forces pour concevoir, développer, vendre un produit ou un service est indispensable au développement d’une entreprise. Le partenariat n’en est pas moins complexe à établir et à pérenniser puisqu’il repose sur des intérêts complémentaires qui sans s’opposer peuvent être délicats à concilier.

lire plus
RGPD – Le délicat casting de la protection des données

RGPD – Le délicat casting de la protection des données

Ceux qui ont déjà procédé à des mises en conformité savent combien il peut être délicat, dans certaines situations, de qualifier les « acteurs » intervenant dans un traitement de données. A la fois sous-traitant et responsable du traitement, souvent destinataire. Autant de notions et de situations à distinguer.

lire plus
Share This