FAQ - Recommandation "cookies et autres traceurs"

Résumé de la recommandation

« Cookies et autres traceurs »

L’exigence d’obtenir un consentement pour chaque dépôt de traceurs n’est pas une nouveauté. Cette exigence ne date pas de l’entrée en vigueur de la Réglementation Général sur la Protection des Données (RGPD) en 2018, mais de la directive Eprivacy entrée en vigueur en 2002.

Vous l’aurez compris, ce qui change c’est essentiellement les modalités du consentement. Elle était préalablement définie par la recommandation CNIL de 2013, la poursuite de la navigation valait alors acceptation. A partir du 1er avril 2021, l’approche est renversée. Désormais le silence vaut refus !

Comment vous préparez ?

Vous trouverez sur cette page les points essentiels de la recommandation à respecter dés le 1eravril 2021.

Quelles sont les informations à fournir à l’utilisateur ? 

Finalités des traceurs

·       Présenter de manière intelligible aux utilisateurs les finalités de traitements avant que les utilisateurs ne se voient offrir la possibilité de consentir ou de refuser.

·       Faire figurer, en complément de la liste des finalités présentées sur le 1er écran, une description plus détaillée de ces finalités (ex : permettre aux utilisateurs de cliquer sur un lien hypertexte).

·       Préciser les catégories de données collectées en les associant aux finalités qu’elles permettent d’atteindre.

 

Portée du consentement

·       Pour les traceurs déposés par d’autres entités que l’éditeur au-delà du site ou de l’application mobile où ceux-ci sont initialement déposés, il est recommandé que le consentement soit recueilli sur chacun des sites ou applications concernés.

 

Identité du ou des responsables du traitement :

·       Une liste mise à jour de l’identité de l’ensemble des responsables de traitement doit être disponible avant que les utilisateurs ne consentent ou de refusent (de manière permanente à un endroit aisément accessible).

Quels choix doit-on offrir à l’utilisateur ? 

Expression du consentement :

 

·       Manifestation par un acte positif claire (case à cocher, décochée par défaut, interrupteur « sliders » désactivés par défaut).

·       Le consentement doit être demandé de façon indépendante et spécifique pour chaque finalité distincte. Cela ne fait pas obstacle à la possibilité de consentir de manière globale à un ensemble de finalités, sous réserve de présenter, au préalable, aux utilisateurs l’ensemble des finalités poursuivies : boutons d’acceptation et de refus globaux au stade du premier niveau d’information, via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser ».

·       Il est possible d’inclure « personnaliser mes choix » ou « décider par finalité » afin de permettre d’indiquer clairement cette possibilité.

 

 

Expression et modalités du refus :

 

·       Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité (deux boutons présentés au même niveau et sur le même format).

·       L’expression du refus de consentir peut toutefois découler d’autres types d’actions : Fermeture de la fenêtre de recueil du consentement ou encore par l’absence d’interaction avec celle-ci pendant un certain laps de temps, cette possibilité doit être clairement indiquée aux utilisateurs sur cette fenêtre.

 

Combien de temps ces choix restent-ils valables ? 

·       Lorsque le refus peut être manifesté par la poursuite de la navigation, le message sollicitant le consentement doit disparaitre de manière à ne pas gêner l’utilisation du site ou de l’application et à ne pas, ainsi, conditionner le confort de navigation de l’utilisateur à l’expression de son consentement au traceur.

·       La durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs è une durée de 6 mois constitue une bonne pratique de la part des éditeurs

Comment permettre à l’utilisateur de retirer et gérer son consentement ?

Le retrait et la gestion du consentement peuvent se matérialiser via un lien accessible à tout moment, un « module de gestion des cookies accessible sur tous les pages du site au moyen d’une icône, permettant aux utilisateurs d’accéder au mécanisme de gestion et de retrait de leur consentement.

Comment démontrer le consentement de l’utilisateur ?   

Démonstration de la preuve :

·       Les responsables du ou des traitements doivent être en mesure de démontrer, à tout moment, que les utilisateurs ont donné leur consentement. Cela peut s’opérer via des mécanismes permettant de démontrer cette exigence.

·       Dans le cas où des organismes ne collectent pas eux-mêmes le consentement des utilisateurs (notamment pour les traceurs dits « cookies tiers »), une telle obligation ne peut être remplie par la seule présence d’une clause contractuelle. Une telle clause doit être complétée pour préciser que l’organisme qui recueille le consentement doit également mettre à disposition des autres parties la preuve du consentement, afin que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état.

 

Modalités de preuves :

·       Les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;

·       Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;

·       Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;

·       Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

Qu’en est-il des traceurs exemptés du recueil du consentement ? 

S’agissant, des traceurs de mesure d’audience exemptés du recueil du consentement, il est recommandé que :

·       Les utilisateurs soient informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;

·       La durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;

·       Les informations collectées par l'intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois ;

Les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un examen périodique

Pour aller plus loin :

·   L’utilisation de cookies différents pour chaque finalité distincte permettrait aux utilisateurs de les distinguer et de s’assurer du respect de leur consentement, mais également de rendre plus transparentes les opérations de lecture ou d’écriture.

·    Les traceurs précédemment listés comme étant exemptés du recueil du consentement ne devraient être utilisés que pour une seule et même finalité, afin que l’absence de consentement des utilisateurs soit sans effet sur l’usage de traceurs nécessaires à leur navigation.

 

La recommandation incite à

 

·    Ne pas avoir recourt à des techniques de masquage de l’identité de l’entité utilisant des traceurs, telles que la délégation de sous-domaine

·    Que les noms des traceurs utilisés soient explicites et, dans la mesure du possible, uniformisés quel que soit l’acteur à l’origine de leur émission

·    La recommandation encourage les professionnels à nommer le traceur permettant de stocker le choix des utilisateurs « eu-consent », en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.

 

 

 

HAUT