• ACCUEIL
  • DIGITAL MARKETING
  • CONTACT
  • MEDIA INSTITUTE
  • NEWSLETTER
  • ACCUEIL
  • DIGITAL MARKETING
  • CONTACT
  • MEDIA INSTITUTE
  • NEWSLETTER
  • ACCUEIL
  • DIGITAL MARKETING
  • CONTACT
  • MEDIA INSTITUTE
  • NEWSLETTER
Cookies et consentement : la fête est finie !
Partager

Cookies et consentement : la fête est finie !

31 juillet 2021
-
Posté par Cookie26

Tik tak tik tak tik tak, ça y est, le 31 mars 2021 est passé ! Après la fin du débat sur les « cookie walls » en juin 2020, la fin du délai de mise en conformité selon les nouvelles directives de la CNIL est arrivée ! Terminée la récolte à tout va des données, maintenant c’est au tour des internautes d’être les maîtres du jeu. Accepter, refuser, paramétrer les cookies font désormais partie intégrante de leur quotidien. Depuis de nombreuses semaines déjà, les pop-up de consentement fleurissent sur les sites internet, il est impossible d’y échapper et vous l’aurez compris : les données personnelles sont au cœur des débats actuels et protégées par la CNIL. Mais alors, qu’est ce qu’un consentement ? Quelles sont les solutions pour collecter, stocker et restituer ces consentements tout en étant CNIL compliant ? Et quelles seraient les sanctions en cas de non-respect ?

Les grands principes sur la mesure d’information

Comme nous l’avions vu dans le précèdent article qui expliquait la notion d’E-privacy, ce qui est au cœur même des nouvelles réglementations de la CNIL, outre la fin des Third party cookies, c’est le consentement. Quand nous parlons de consentement nous voulons bien évidement parler du consentement préalable et éclairé au dépôt et à la lecture des cookies et autres traceurs.

Mais avant de partir dans plus de détails, essayons de savoir ce que la CNIL appelle “le consentement”, la CNIL le définit ainsi, « il s’agit de toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

La notion de consentement n’est cependant pas nouvelle car cette notion était déjà présente dans la loi Informatique et Libertés, néanmoins le RGPD vient compléter sa définition et vient éclaircir ses contours qui restaient jusque là assez flous et libres d’ interprétation, cet éclaircissement permet aux personnes concernées d’exercer un réel contrôle sur le traitement de leurs données. En effet la CNIL a prévu une liste à respecter pour le recueil de consentement. Il faut recueillir un consentement préalable à l’écriture ou à la lecture du cookie. A défaut, les cookies ne peuvent être déposés / lus.

Le consentement est une des 6 bases légales prévues par la RGPD pour la mise en œuvre du traitement des données à caractère personnel. Le consentement de la personne est systématiquement nécessaire pour certains traitements, encadrés par des dispositions légales spécifiques. D’après la CNIL pour qu’un consentement recueilli soit viable il doit répondre à 4 critères cumulatifs, il doit être :

– Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

– Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée. Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

– Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

  • L’identité du responsable du traitement
  • Les finalités poursuivies
  • Les catégories de données collectées
  • L’existence d’un droit de retrait du consentement
  • Selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne

– Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clair. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer. Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

  • Les cases pré-cochées ou pré-activées
  • Les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)
  • L’inaction (par exemple, l’absence de réponse à un courrier sollicitant le consentement)

Ainsi et pour rappel, ces obligations relatives aux cookies et autres traceurs concernent toutes les opérations de lecture et écriture de toute information stockée ou consultée dans un équipement terminal, qu’il s’agisse ou non de données à caractère personnel.

Quels sont les champs d’application ?

La recommandation de la CNIL tient tout particulièrement compte des configurations propres aux environnements web et aux applications mobiles, mais également à d’autres contextes où le consentement est requis : télévision connectée, console de jeux vidéo, assistant vocal, objets communicants, véhicule connecté, etc.
Les lignes directrices portent, en particulier, sur l’utilisation des cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que :

  • Les « local shared objects » appelés parfois les « cookies Flash »
  • Le « local storage » mis en oeuvre au sein du standard HTML 5
  • Les identifications par calcul d’empreinte du terminal ou « fingerprinting »
  • Les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.)
  • Les identifiants matériels (adresse MAC)
  • Les numéros de série ou tout autre identifiant d’un appareil), etc.

Ce qui ne rentre pas dans le champs d’application

Dès lors qu’il n’y a pas d’opération de lecture ou d’écriture dans le terminal de l’utilisateur : nous n’entrons pas dans le champ d’application de la réglementation cookies, mais tout traitement de données à caractère personnel reste soumis au RGPD, voici quelques cas :

  • L’ajout de paramètres dans une URL au moment de la redirection ne rentre pas dans le champ d’application des lignes directrices. Une URL n’est pas un traceur donc la lecture de celle-ci ne dépend pas du consentement de l’internaute
  • L’ajout de paramètres dans une URL au moment de la redirection ne rentre pas dans le champ d’application des lignes directrices. Une URL n’est pas un traceur donc la lecture de celle-ci ne dépend pas du consentement de l’internaute
  • De même, n’entrent pas non plus dans le champ d’application des lignes directrices les pixels (par exemple pixel d’ouverture) dans les emails, dès lors que ces pixels ne posent pas eux-mêmes de cookie et ne font pas de fingerprinting

Ainsi, La condition pour pouvoir utiliser des traceurs de mesure d’audience sans consentement est de s’assurer qu’ils soient bien strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés. Mais alors comment mettre en place toutes ces mesures et comment les appliquer correctement pour être à 100% CNIL compliant ?

Le recueil de consentement : Guide d’emploi

Contrairement à ce qui se pratiquait largement avant l’entrée en vigueur du RGPD, le propriétaire d’un site web ne peut plus se contenter de l’acceptation générale de sa politique de confidentialité. Depuis le 1er avril 2021, la donne a changé : il faut que l’internaute donne un accord spécifique pour la finalité de chaque méthode de récolte des données.
Le petit bandeau cookies qui apparaît en bas de la page d’un site ne date pas d’hier ! Le consentement a juste été renforcé par le RGPD. Cette mise à jour a donné plus de pouvoir et de contrôle aux internautes qui peuvent désormais exercer un contrôle réel et effectif sur le traitement de leurs données et voici ce qui change par rapport à avant :

Au niveau du consentement des utilisateurs :

  • la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute
  • les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil
  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment
  • Refuser les traceurs doit être aussi aisé que de les accepter

Au niveau de l’information des personnes :

  • Elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs
  • Elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement
  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur

A noter également que La CNIL insiste sur l’importance de donner ces informations dans un langage clair, concis et non trop technique ou trop juridique et de s’assurer que l’information est visible et mise en évidence.

A quoi doit ressembler une fenêtre de recueil de consentement ?

Dans sa recommandation, la CNIL souligne qu’il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information, via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser ».
La CNIL recommande de s’assurer que les interfaces de recueil des choix n’intègrent pas des pratiques de design trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Par ailleurs, dans la mesure où le consentement doit résulter d’un acte univoque, toute autre action (par exemple, la fermeture du bandeau de recueil de consentement) que celle permettant explicitement d’accepter doit être considérée comme un refus.

La CNIL propose ci-dessous un exemple de bandeau permettant d’assurer le recueil d’un consentement valide de l’utilisateur. Cet exemple s’appuie sur les lignes directrices afin d’être en conformité. D’autres méthodes de recueil du consentement peuvent bien évidemment être utilisées, dès lors qu’elles permettent d’obtenir un consentement conforme aux textes en vigueur :

Un premier niveau qui présente la liste des finalités des cookies et traceurs un second niveau qui fait une description plus détaillée de ces finalités. Elle l’illustre d’exemples, sans force obligatoire, d’interfaces pour permettre de recueillir un consentement éclairé. Pour répondre à l’exigence de transparence, la CNIL rappelle que les informations relatives aux cookies ne peuvent figurer dans les conditions générales de l’éditeur du site ou de l’application mobile.

Pour permettre aux personnes de choisir finalité par finalité, il est possible d’inclure un bouton, sur le même niveau d’information que les liens ou boutons permettant de tout accepter et de tout refuser, permettant d’accéder au choix finalité par finalité. A titre d’exemple, un bouton « personnaliser mes choix » ou « décider par
finalité » permettrait d’indiquer clairement cette possibilité. Les utilisateurs pourraient se voir également proposer d’accepter ou de refuser finalité par finalité directement sur le premier niveau d’information. Ils pourraient aussi être invités à cliquer sur chaque finalité afin qu’un menu déroulant leur propose des boutons
« accepter » ou « refuser ».

Il peut être pertinent de :

  • Proposer un consentement par finalités sur un second niveau. Étant précisé que cela ne dispense pas de présenter les finalités en premier niveau.
  • Mettre un lien pour « continuer sans accepter » à la place de bouton Refuser Utiliser l’expression « Accepter et Fermer » à la place de juste « Accepter »
  • Granularité : ne pas prévoir un consentement acteur par acteur ou cookie par cookie, ce n’est pas nécessaire, un consentement finalité par finalité est suffisant

source : https://www.cnil.fr/sites/default/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf

Les cas où il y a exemption de consentement

Pour rappel, l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. En l’état des pratiques portées à sa connaissance, la Commission estime que les traceurs suivants peuvent, notamment, être regardés comme exemptés (cette liste n’est pas exhaustive) :

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs
  • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service
  • certains traceurs de mesure d’audience

Afin de faciliter la mise en conformité des responsables de traitement, la CNIL recommande aux fournisseurs de solution de mesure d’audience de permettre une configuration simple permettant à ceux-ci de collecter les données précédemment listées.

Focus sur les finalités

L’utilisation de cookies différents pour chaque finalité distincte permettrait aux utilisateurs de les distinguer et de s’assurer du respect de leur consentement, mais également de rendre plus transparentes les opérations de lecture ou d’écriture. Plus particulièrement, la Commission recommande que les traceurs précédemment listés comme étant exemptés du recueil du consentement ne soient utilisés que pour une seule et même finalité, afin que l’absence de consentement des utilisateurs soit sans effet sur l’usage de traceurs nécessaires à leur navigation.

Les outils de recueil de consentement

Depuis 2018, une nouvelle solution technologique fait son apparition : Les Consent management Platefoms ou CMP pour les intimes.
Une CMP est une plateforme de gestion du consentement des utilisateurs, elle sert à :

  • collecter le consentement ou le refus à l’utilisation des cookies
  • permettre à l’utilisateur de revenir sur son choix quand il le souhaite
  • stocker des informations de consentement pour pouvoir les distribuer vers les traceurs
  • l’analyse, si l’on souhaite faire de l’A/B testing pour optimiser la fenêtre de consentement

Voici un exemple de CMP :

Concrètement, la CMP est une pop-up qui apparaît à la première connexion sur un site Internet pour collecter le consentement de l’internaute en matière de dépôt des cookies et autres identifiants et remplacera, à terme, les bandeaux cookies. C’est un outil qui permet également d’assurer la conformité des acteurs du marché de la publicité en ligne car l’objectif de la CMP est aussi, et surtout, d’assurer la restitution et l’attestation des consentements à tous les partenaires de publicité utilisateurs des données collectées.

Voici une liste de quelques acteurs significatifs du marché concernant les solutions de CMP :

Vous l’aurez compris, pour être conforme aux nouvelles recommandations de la CNIL il est donc indispensable de mettre en place une CMP sur son site. Mais que se passe-t-il en cas de non conformité ? Et qu’en est-il du temps de conservation des consentement des internautes ?

Durée, conservation et sanctions : Faites attention !

Et oui, toute bonne chose à une fin, il en va de même concernant la durée du consentement ! Pour ne pas rendre la navigation trop pénible pour l’utilisateur, il est nécessaire de conserver les choix exprimés par les utilisateurs pendant la durée de leur navigation sur un site pour éviter qu’une fenêtre de consentement apparaisse à chaque page visité.
Pour se faire, la CNIL recommande que le consentement soit conservé pendant un certains temps à adapter en fonction du type de site et son audience et que la demande soit renouvelée régulièrement.

La CNIL recommande aux responsables de traitement de renouveler le recueil du consentement à « des intervalles appropriés », lesquels doivent être déterminé au regard :

  • du contexte
  • de la portée du consentement initial
  • et des attentes des utilisateurs

Mais au bout de combien de temps peut-on redemander son consentement à une personne qui a dans un premier temps refusé de le donner ?
Selon la Cnil, il ne faut pas solliciter trop souvent l’internaute, car cela reviendrait à le harceler sur ce sujet, et pourrait provoquer, ce que l’on appelle, du « Consentement lassitude ». Il est donc de la responsabilité de chaque responsable de traitement de déterminer le délai entre un refus et une re-sollicitation. Cela doit se faire via un document écrit que l’on peut présenter à la CNIL en cas de contrôle.

Voici un exemple de fréquence de re-sollicitation du consentement :

Les intervalles de re-sollicitation du consentement de l’utilisateur après avoir refusé une première fois dépend des facteurs suivants :

  • Fréquence de visites : plus les visites de l’utilisateur sont fréquentes, plus on peut re-solliciter son consentement
  • Intérêt pour l’internaute : plus l’intérêt de l’utilisateur pour le site est important, plus on peut le solliciter
  • Niveau d’intrusivité : plus on est intrusif, moins on pourra solliciter fréquemment l’internaute.

Le responsable de traitement doit lui-même déterminer la durée de conservation des données à caractère personnel au regard des finalités pour lesquelles elles sont traitées et cette durée de conservation ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Aussi, le responsable de traitement doit permettre à la personne concernée de retirer son consentement à tout moment de manière aussi simple qu’il l’a accordé.

Preuves du recueil de consentement

Pour ne pas avoir d’ennuis avec la CNIL en cas de contrôle, le responsable du traitement doit impérativement pouvoir fournir, à tout moment, la preuve du consentement aux cookies. En pratique, cela suppose de prouver que le processus de recueil du consentement répond aux exigences de la CNIL.

Cela peut prendre les formes suivantes :
  • Stocker les choix des utilisateurs dans un cookie « eu-consent »
  • Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme pour recueillir le consentement ou publication du hash (condensat) de ce code de façon horodatée
  • Une capture d’écran horodatée des informations mises à disposition pour chaque version du site ou de l’application
  • Conserver de façon horodatée les informations relatives aux outils mis en œuvre et leurs configurations
  • Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin
  • Historique et consent string : si l’éditeur recueille pour des tiers un consentement, archiver chaque version de la liste des tiers mise en ligne pour informer les utilisateurs, conserver les informations sur les modalités mises en œuvre pour permettre de transmettre le choix exprimé par l’utilisateur à ces tiers

Mais que se passera-t-il si l’on est pas CNIL compliant ?

Sanctions : Le cas du Figaro

Un manquement aux recommandations de la CNIL peut coûter très cher. La société du Figaro en a payé les frais cette année ! En effet, malgré l’installation d’une CMP sur son site et autres outils, la CNIL a découvert lors d’un contrôle, que les cookies étaient déposés sur le navigateurs des internautes et ce avant même qu’ils ne donnent leur consentement. Mais ce n’est tout. Les cookies étaient quand même lus même s’ils refusaient les cookies. Une erreur, qui leur a coûté 50 000€ d’amende…

Les sanctions de la CNIL sont proportionnelles à la gravité du manquement :
1. Rappel à l’ordre
2. Limitation ou interdiction du traitement / Effacement de données collectées illégalement / Suspension des flux de données vers un destinataire hors UE
3. Amende : jusqu’à 20 millions d’euros ou 4% du CA mondial (montant le plus élevé retenu

De quoi inciter les entreprises à bien être conformes avec les modalités de recueil du consentement des utilisateurs.

La mise en place des pop-up de consentement marque un véritable tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais avoir un meilleur contrôle sur les traceurs en ligne. Cependant, il reste à étudier la face cachée de l’iceberg : en quoi cela impacte les internautes ?

Sources :

https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes

https://www.meet-your-data.fr/cnil-publie-nouvelles-recommandations-cookies

https://www.cnil.fr/fr/cookies-sanction-de-50-000-euros-lencontre-de-la-societe-du-figaro

https://www.legalplace.fr/guides/rgpd-consentement-explicite-positif/

https://www.cookiebot.com/fr/cnil-cookies/

https://www.degaullefleurance.com/deux-minutes-pour-comprendre-la-nouvelle-recommandation-de-la-cnil-sur-les-cookies/

___

Avez-vous apprécié cet article ?

0/5 - 0 votes au total

Aucune note n'a encore été attribuée 🙁

31 juillet 2021
Email
Aucun commentaire
← ARTICLE PRÉCÉDENT
LA STRATEGIE SOCIAL MEDIA DES GRANDES MARQUES DE LUXE.
ARTICLE SUIVANT →
Comment bien marketer son app de langue ?

Laisser un commentaire

On adore les commentaires !
Cancel Reply

Veuillez patienter...
Envoyer

NEWSLETTER
retina-image

Recevez un récap hebdomadaire ou mensuel, c’est vous qui choisissez !

S'ABONNER 👍
Articles populaires
4 (47)

L’impact des réseaux sociaux sur le discours politique

4.3 (30)

LVMH : LA STRATEGIE GAGNANTE DANS LE DIGITAL

Vinted : la stratégie du succès
4.2 (30)

Vinted : la stratégie du succès

Articles récents
  • Réalité virtuelle dans l'automobile
    L’immersion par la réalité augmentée et virtuelle : une nouvelle façon d’acheter sa voiture
    18 novembre 2024

    Oubliez tout ce que vous savez sur l’achat d’une voiture. À l’ère du …

  • Éthique et Transparence dans l’Automatisation de Google Ads : Problèmes et Solutions pour une Publicité Responsable
    10 novembre 2024

    L’automatisation via Google Ads, soutenue par les avancées de l’intelligence artificielle (IA) et …

  • Assistants vocaux et SEO : Préparer votre contenu pour Siri, Alexa et Google Assistant
    11 septembre 2024

    Les assistants vocaux sont maintenant utilisés par plus de 50 % des foyers …

Pubosphere, blog édité par Media Institute et animé par ses étudiants en stratégie marketing & digitale © Tous droits réservés 2017-2023
Mentions Légales - Politique de cookies - Connexion
Cookies et consentement : la fête est finie ! - Pubosphere
Gérer le consentement aux cookies
Nous utilisons des cookies pour optimiser notre site web et notre service.
Fonctionnel Toujours activé
Le stockage ou l’accès technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’utilisateur.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques. Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
Le stockage ou l’accès technique est nécessaire pour créer des profils d’utilisateurs afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
Gérer les options Gérer les services Gérer {vendor_count} fournisseurs En savoir plus sur ces finalités
Préférences
{title} {title} {title}