Suite à l’entrée en vigueur du RGPD le 25 mai 2018, La CNIL a adopté le 4 juillet 2019 des lignes directrices sur les cookies et autres traceurs abrogeant son ancienne recommandation de 2013. Une recommandation sur les modalités pratiques de recueil du consentement de l’internaute viendra les compléter début 2020.
Une période d’adaptation de six mois sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles.
Le principe intangible de la recommandation de la CNIL est que les traceurs ne peuvent être utilisés tant que l’utilisateur n’a pas préalablement manifesté son consentement à cette fin, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.
Il en découle 10 points à respecter absolument pour éviter les sanctions:
- le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement ;
- l’utilisateur doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Le consentement global est acceptable, à condition que la possibilité de consentir spécifiquement à chaque finalité subsiste (l’acceptation globale de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité) ;
- l’information doit être rédigée en des termes simples et compréhensibles pour tous (une terminologie juridique ou technique trop complexe est proscrite) ;
- l’information doit être complète, visible, et mise en évidence au moment du recueil du consentement (un simple renvoi vers les conditions générales d’utilisation n’est pas suffisant) ;
- les informations préalables au recueil du consentement sont à minima l’identité du ou des responsables de traitement, la finalité des opérations de lecture ou écriture des données, l’existence du droit de retirer son consentement;
- l’utilisateur doit être en mesure de connaître l’identité des différentes institutions utilisant des cookies;
- le consentement doit résulter d’une action positive. Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.
- l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement ;
- les entreprises utilisant des traceurs doivent pouvoir démontrer à tout moment avoir recueilli valablement le consentement;
- l’utilisateur doit pouvoir retirer facilement son consentement.