Blog 13h39 20 janvier 2020 | 20 janvier 2020
Mise à jour des dernières consultations de la CNIL sur ses nouvelles lignes directrices en matière de gestion des cookies

Le 15 Janvier dernier, la CNIL (Commission Nationale de l’Informatique et des Libertés) a publié son projet de mise à jour des dernières consultations sur les nouvelles lignes directrices en matière de gestion des cookies. Ces recommandations complètent les dernières modifications apportées aux lignes directrices le 18 Juillet 2019 et sont désormais ouvertes aux consultations publiques.

Ces lignes directrices sont encore au stade de « projet » et sujettes aux commentaires du publique. Elles ne sont ni prescriptives ni exhaustives et ont pour unique objectif de guider les professionnels dans leur démarche de mise en conformité. Il est essentiel de retenir qu’elles couvrent uniquement le consentement et listent les cookies pour lesquels le consentement n’est pas requis. Elles s’adressent aux responsables de la collecte du consentement.

Pour en savoir plus sur les dernières mises à jour lignes directrices de la CNIL relatives à la gestion des cookies, veuillez-vous inscrire à notre prochain webinaire dès aujourd’hui !

Voici les principaux points à retenir de la mise à jour des lignes directrices :

Consentement ÉCLAIRÉ

Les bonnes pratiques recommandent que les catégories de données personnelles collectées pour chaque objectif soient mentionnées clairement, et que ces dernières soient facilement accessibles par les utilisateurs.

De plus, le ou les responsables de traitement peuvent mettre à disposition leurs informations sur la deuxième couche (centre de préférences), ex. : lien sur la bannière redirigeant vers les informations situées sur le centre de préférences. L’identité des responsables de traitement doit être mise à disposition des utilisateurs avant qu’ils ne donnent leur consentement, et ils peuvent être groupés en fonction de leur secteur d’activité.

Consentement LIBRE

Il doit appliquer la règle du « no nudging », ce qui signifie qu’il doit être tout aussi facile de dire oui que non pour l’utilisateur. Dans le cas où un utilisateur refuse de donner son consentement, il ne doit pas être encouragé à changer d’avis lorsqu’il revisite la page.

Le consentement ET le non consentement aux cookies doivent être conservés pour la même durée et les cookies ne peuvent être utilisés qu’aux fins sélectionnées par l’utilisateur. Il n’est pas requis de rendre obligatoire le consentement ou non consentement, cependant les utilisateurs n’ayant donné ni l’un ni l’autre doivent être répertoriés séparément (cela n’équivaut PAS à un rejet des cookies). Dans ce cas-ci :

1/ Aucun cookie basé sur le consentement ne peut être déployé

2/ L’utilisateur peut être invité à réviser sa position lors de sa prochaine visite

Consentement SPECIFIQUE

Il est toujours autorisé de donner l’option « Oui à tous » les cookies à condition que l’utilisateur soit préalablement informé des objectifs de la collecte de ces derniers et autorisé à donner son consentement pour chacune des catégories de cookies. Au même titre, l’utilisateur peut choisir “Non à TOUS” sous les mêmes conditions.

Consentement NON ÉQUIVOQUE

Les cases à cocher pour le consentement (si elles sont utilisées) devraient être désactivées par défaut. Par conséquent, l’utilisateur doit effectuer une action positive lorsqu’il accepte une certaine catégorie de cookies.

Retrait et durée du consentement

L’information sur les options de retrait du consentement doit être accessible à l’utilisateur avant que celui-ci ne donne son consentement. Si elle est définie, l’information sur la durée de conservation des cookies doit également être mise à la disposition de l’utilisateur. Mais encore, la simplicité/facilité d’accès peut être mesurée en temps nécessaire/nombre d’étapes nécessaires à effectuer le retrait du consentement.

Encore une fois, la disposition de l’icône cookies est une solution suggérée. La durée de conservation recommandée par les bonnes pratiques est de 6 mois.

Preuve du consentement

La preuve du consentement comporte 2 éléments :

1/ Le registre de consentement valide

2/ Le processus valide de collecte/gestion du consentement qui permet de saisir correctement le consentement (y compris les éléments requis par le GDPR)

Consentement du navigateur

Par défaut, le consentement du navigateur ne répond pas aux critères du RGPD. La CNIL énonce les exigences qui doivent être respectées pour que le consentement du navigateur soit considéré comme suffisant aux fins de GDPR.

Comment OneTrust peut vous aider ?

La solution OneTrust de consentement aux cookies et d’analyse de site Web permet aux entreprises de mettre en oeuvre des solutions techniques de Privacy by Design dans le cadre d’activités marketing afin de recueillir des consentements valides, de créer des centres de préférences personnalisés et analyser les technologies de suivi sur les sites Web tout en conservant l’historique des registres de consentement de manière centralisée.

Pour en savoir plus sur les lignes directrices de la CNIL relatives aux cookies, veuillez-vous inscrire à notre prochain webinaire dès aujourd’hui !