Alors que le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis quelques années maintenant, la question des cookies et du consentement de l’utilisateur est encore sujette à débats. Pour accorder les violons et guider les professionnels, la CNIL publiera prochainement une nouvelle recommandation. Voici tout ce que vous devez savoir sur l’état actuel de la réglementation, et comment vous conformer aux dispositions à venir !
Que dit la loi ?
L’article 82 de la loi Informatique et Libertés transpose en droit français la directive européenne Vie privée et communications électroniques ou “ePrivcacy”. Cette loi prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture des cookies et traceurs. En 2013, la CNIL avait adopté une recommandation pour guider les utilisateurs dans l’application de cette législation.
Puis en mai 2018, est entré en vigueur
le RGPD, venu renforcer les exigences en matière de validité du consentement.
Aussi, sans attendre le futur règlement Vie privée et communications électroniques, actuellement en discussion au niveau européen et qui n’entrera pas en vigueur à court terme, la CNIL a entrepris d’actualiser ses cadres de référence. La recommandation de 2013, devenue incompatible a été abrogée. Des lignes directrices ont été adoptées le 4 juillet dernier pour synthétiser le droit désormais applicable.
Ces lignes directrices préfigurent une nouvelle recommandation, établie en concertation avec la société civile et les professionnels, qui sera publiée dans les mois à venir. Son objectif est de guider les professionnels concernés dans leur démarche de mise en conformité.
Une période d’adaptation de 6 mois est prévue à partir de la publication de la future recommandation. Si cette perspective pose de nombreuses questions, n’hésitez pas à interroger nos experts, ils se tiennent à votre disposition !
Qu’est-ce qui change ?
D’une part, la simple poursuite de la navigation sur un site web ne pourra plus être regardée comme une expression valide du consentement au dépôt de cookies (juridiquement, le consentement doit résulter d’une action positive, il ne peut être accordé par défaut). Aujourd’hui, le modèle de bandeau destiné à recueillir ce consentement s’apparente à celui-ci :
Et voici, dès la mise en application de la nouvelle recommandation (probablement d’ici la fin de l’année), à quoi il devra ressembler :
D’autre part, les opérateurs qui exploitent des traceurs devront désormais être en mesure de prouver qu’ils ont bien recueilli le consentement de l’utilisateur. Seuls seront exemptés de cette obligation les cookies de navigation, nécessaires à l’activité du site et qui permettent à l’internaute d’en utiliser les principales fonctionnalités, et certains cookies d’analyse de base, qui permettent de connaitre la nature des trafics et les volumes de fréquentation du site web.
Quels risques en cas de non-conformité ?
A la fin de la période d’adaptation prévue, la CNIL exercera ses missions de contrôle de l’application du nouveau cadre réglementaire. Comme elle le faisait jusqu’ici au regard du règlement de 2013, elle sanctionnera toute méconnaissance des dispositions du RGPD portées à sa connaissance (suite à un contrôle ou à une plainte). Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 M€ ou, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaire annuel (mondial).
Graduellement, la CNIL est en mesure de :
Qu’en pensent les professionnels du web ?
La recommandation de la CNIL n’a pas valeur réglementaire, elle n’est pas contraignante au sens juridique du terme. En revanche, elle propose une interprétation du RGPD qui sera celle de la CNIL en cas de contentieux. Pour écarter tout risque juridique, mieux vaut donc s’y conformer.
Mais cette interprétation, assez stricte notamment à l’égard des cookies, ne fait pas du tout l’unanimité parmi les professionnels du web et de la publicité.
Il y a quelques semaines auprès du PetitWeb, Hélène Chartier, directrice Générale du Syndicat des Régies Internet, dénonçait la rigueur de la recommandation à venir : « On savait que la CNIL n’aimait pas la publicité, mais là, elle s’apprête à tuer le secteur et par là-même, un modèle économique qui permet un accès libre et gratuit à des contenus de qualité (financés par la publicité). Nous avons travaillé pendant 6 mois en dialogue avec les services de la CNIL qui nous disait avoir besoin de nous pour établir les modalités d’application de ses lignes directrices publiées en juillet 2019. Mais l’organisme n’a rien écouté et nous avons perdu notre temps. Ce n’est pas le sujet du consentement que nous remettons en cause, car la transparence et la confiance sont indispensables, mais la CNIL va bien au-delà du texte européen, et c’est bien cela qui a motivé notre action au Conseil d’Etat ».
Autre réaction, celle du CPA – Collectif Pour les Acteurs du Marketing Digital qui lance un appel à la mobilisation CONTRE le projet de recommandation de la CNIL sur les traceurs et la nécessité d’un recueil du consentement endurci. Toutes les infos en ligne sur “cnil-mobilisons-nous“
Le 18 septembre dernier en effet, plusieurs syndicats et associations, dont le SRI, ont déposé un recours devant le Conseil d’Etat pour contester l’interprétation du RGPD par la CNIL. “Je ne nie pas qu’il pourrait y avoir un impact économique” répondait Marie-Laure Denis, présidente de la CNIL auprès des Echos. Mais l’organisme juge impossible d’estimer cet impact. “Cela dépendra des effets de vases communicants entre publicités ciblées et non ciblées, la publicité non intrusive pourrait prendre de la valeur“.
Une incertitude économique importante pour les publicitaires, les marketeurs et les professionnels du web. L’usage nous en apprendra davantage, mais nous sommes là pour vous guider ! Si vous souhaitez être accompagné dans vos démarches, n’hésitez pas à contacter nos experts !