Cookies : la CNIL donne ses recommandations sur les traceurs en ligne

La CNIL publie ses recommandations sur les traceurs en ligne et les cookies. L'organisme veut aider les sociétés spécialisées dans le marketing à mieux comprendre et respecter les modalités du consentement à la publicité ciblée sur Internet. En effet, le RGPD en vigueur depuis le 25 mai 2018 prévoit un cadre très strict à ce sujet.

La CNIL a lancé mardi 14 janvier une consultation publique ouverte jusqu'au 25 février 2020 portée sur ses recommandations concernant les modalités de pratique de recueil du consentement. En clair, la Commission nationale de l'informatique et des libertés veut aider les professionnels à mieux comprendre et à faire respecter les exigences du RGPD, le Règlement générale sur la protection des données.

À l'inverse des lignes directrices publiées en juillet 2019, cette concertation n'a pour vocation que de fixer un cadre de bonnes pratiques à destination des professionnels, pour qu'ils puissent se mettre en conformité le plus rapidement possible. Ces conseils et recommandations portent principalement sur les finalités des traceurs, la portée du consentement et l'identité du ou des responsables de traitement de l'information.

À lire également : Selon la CNIL, la vidéosurveillance continue des salariés est illégale

Le refus doit être exprimé clairement

Tout d'abord, la CNIL affirme que le but des traceurs doit être présenté en premier lieu aux visiteurs d'un site internet, formulé “de manière intelligible, dans un langage adapté et suffisamment clair pour permettre à l'utilisateurs de comprendre précisément ce à quoi il consent”. S'il y a plusieurs finalités, elles doivent être présentées en détails dans un “intitulé court et mis en évidence”. En outre, les données collectées doivent être rangées par catégorie, et ces catégories doivent être clairement définies aux yeux de l'utilisateur.

Ensuite, les sites internet doivent fournir une liste du ou des responsables du traitement des informations recueillies aux visiteurs. Cette information doit être accessible en tout temps. Par ailleurs, un utilisateur doit être en mesure de savoir si son consentement à être suivi est valable uniquement pour le présent site, ou bien pour d'autres qui appartiendraient également au même propriétaire.

Enfin, n'importe quel internaute doit pouvoir exprimer clairement son consentement à être suivi, et ce qu'il l'autorise ou non. En cas de refus, aucun préjudice ne doit lui être porté, comme par exemple du contenu masqué ou une navigation ralentie. Le visiteur devrait également avoir la possibilité de ne pas faire de choix et prendre sa décision ultérieurement.

À lire également : Radars tronçons – la CNIL est très inquiète, l'Etat gère mal les données personnelles

Le consentement ne peut pas être définitif

Autre indication de la CNIL, les internautes qui ont donné leur consentement à être tracés doivent pouvoir revenir sur leur décision quand ils le souhaitent. Selon la Commission, une durée de validité de six mois pour un consentement paraît juste et équitable. Il est également précisé que le consentement doit se manifester via “un acte positif clair de l'utilisateur”. Concrètement, cela veut dire que que l'utilisateur doit donner ou non son aval via une commande comme une case à cocher, un interrupteur, etc.

Les sites internet doivent également faire preuve de transparence et et ne doivent pas utiliser de design “potentiellement trompeur” qui pourrait laisser penser à l'internaute que son consentement à l'utilisation de cookies est obligatoire pour accéder au site. Dans la même idée, la commande pour accepter doit visuellement être identique à celle pour refuser, dans un souci d'équité.

À lire également : Jouets connectés – un danger pour les enfants, prévient la CNIL

Il reste encore du travail à la CNIL

Des chercheurs de l'Université de Cambridge aux Etats-Unis, de Aarhus au Danemark, et de la Faculty of Laws (la fac de droit) de Londres en Angleterre viennent de publier une étude sur la mise en conformité des sites aux exigences émises par le RGPD. Le constat est alarmant puisque seulement 11,8% des CMP (Consent Management Plateforms) sont conformes. Cette analyse était portée sur les 5 types de CMP les plus utilisés par 10 000 sites web britanniques. Voici d'autres chiffres les concernant :

• 32,5 % des sites utilisent le consentement implicite. En d'autres termes, ils ne demandent pas aux visiteurs leurs avis sur la question
• 50,1% des sites n'ont pas de commande dédiée pour refuser le consentement
• 12,6% des sites affichent une option claire pour “tout refuser” ou “tout accepter”
• À l'inverse 74,6% des sites affichent le bouton “Refuser” en arrière plan, et nécessite plusieurs clics pour y accéder

En France, un sondage IFOP commandée par la CNIL pour l'occasion affirme que 65% des sondés disent avoir déjà accepté d'être tracé sans être tout à fait d'accord sur les finalités, ou parce qu'il n'y avait aucun moyen de refuser l'utilisation de cookies.

Source : CNIL