
Frédérique Beharry, chez Aravati
Évolution des règles d’utilisation des cookies publiée par la CNIL le 1 Octobre 2020
La CNIL fait évoluer les règles autour de la prise de consentement et nous avons jusqu’à Mars 2021 pour mettre à jour nos plateformes connectées.
Pour faire simple, nous devons mettre à disposition des usagers une demande de consentement de pose de traceurs plus clairs, plus modulables et conserver les preuves de l’enregistrement.
La CNIL a publié deux textes concernant la ligne directrice, c’est-à-dire les nouvelles règles et les recommandations. Pour la première fois, ces textes sont explicites, quant à l’application des nouvelles règles.
Quelles sont ces nouvelles règles ?
Nous avons tous nos bandeaux de cookies sur nos plateformes web; cette demande de consentement concerne également tout objet connecté, application, interface “loguée” ou non.
Et cette demande de consentement doit contenir plusieurs éléments :
- La possibilité d’accepter
- La possibilité de refuser
- La possibilité de gérer, type de cookie par type de cookie
- La visibilité de ce que les traceurs sont voués à réaliser et leur utilité
- Et enfin qui est responsable
Plusieurs manières de procéder à cette prise de consentement nous sont proposées, et tout ne doit pas forcément être au même niveau: le cas contraire, nous aurions trop de boutons dans ce bandeau cookie et le message serait donc trop compliqué pour être conforme à cette nouvelle réforme.
L’utilisateur doit être en capacité de retirer ou donner son consentement à tout moment. Et éventuellement contacter les entités exploitant les cookies pour en demander les données et poser ses questions. Il doit en tout cas pouvoir les identifier très simplement.
La recommandation est donc d’avoir un accès à une page ou modale de gestion des cookies, accessible sur chacune des pages de l’application – footer, header, ou bouton d’accès direct.
Ils requièrent que le bouton de refus soit aussi grand, ou aussi mis en valeur que celui d’acceptation.
Toutes les demandes de consentement doivent être explicitées clairement à l’utilisateur, afin qu’il comprenne correctement à quoi cela sert et qui exploite ces mêmes demandes de consentement.
Bonne nouvelle tout de même, certains cookies restent exemptés du consentement. Il s’agit de ceux qui permettent à la plateforme de fonctionner normalement.
Exemple: les cookies analytics n’ont pas besoin d’être consentis, car ils sont permettent d’analyser votre plateforme, en vue de l’améliorer / l’optimiser.
Autre cas pratique : les cookies permettant de tracer un panier tout au long de la navigation de l’utilisateur et dans le tunnel d’achat sont exemptés de consentement. Rentrent également dans cette case les cookies qui servent à gérer les consentements justement. Leur utilité doit toutefois être expliquée ainsi que leur durée de vie, dans une page dédiée aux cookies.
Par contre les cookies dits tiers, permettant par exemple à votre agence média de diffuser une campagne de retargeting, sur la base de la navigation de vos usagers, doivent être consentis par l’utilisateur, et sont directement concernés par la réforme.
En tant qu’entité, nous devons également être dans la capacité de fournir la preuve de la bonne gestion des consentements, et les traceurs doivent être si possible nommés « eu-consent », avec des valeurs en booléen. Enfin, ils recommandent de conserver les consentements ou refus pendant 6 mois.
Pour aller plus loin dans les détails de cette évolution, rendez-vous sur les textes officiels : la ligne directrice et les recommandations,