La CNIL, poursuivant son plan d’action sur le ciblage publicitaire, publie un projet de recommandation concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des cookies et autres traceurs. Ce projet est ouvert à consultation par toute partie intéressée jusqu’au 25 février 2020 et permet de voir apparaître la ligne de démarcation entre les pratiques licites et celles illicites.
Rappels sur le concept de consentement au sens du RGPD
Le Règlement général sur la protection des données n° 2016/679/UE du 27 avril 2016 (RGPD), pose en règle de principe que tout traitement de données personnelles doit être licite et justifié. Le texte précise que cela suppose un consentement « libre, spécifique, éclairé et univoque » des personnes concernées.
Le caractère univoque du consentement implique que celui-ci soit donné au moyen d’une déclaration ou de tout autre acte positif excluant ainsi l’utilisation de certaines stratégies s’appuyant sur un consentement implicite. Le RGPD a ainsi mis fin au consentement valable par la seule poursuite de la navigation ou au moyen de cases pré-cochées.
Cette solution résulte des dispositions des articles 4 et 11 du RGPD mais également des lignes directrices sur le consentement, élaborées par le groupe de travail « de l’article 29 » sur la protection des données, ces travaux ayant été endossés par le Comité européen de la protection des données (CEPD) le 25 mai 2018 qui lui succède.
Le projet de recommandation de la CNIL
Aux fins d’une consultation publique, la CNIL a mis en ligne le 14 janvier 2020 un projet de recommandations concernant les « cookies et autres traceurs ». Ce projet a vocation à préciser les modalités pratiques de recueil du consentement prévues par l’article 82 de la loi du 6 janvier 1978 modifiée en 2018, concernant les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur.
En effet, le 4 juillet 2019, la CNIL avait rendu une délibération destinée à instituer un cadre juridique général (Délibération n°2019-093 du 4 juillet 2019), dont l’application devait être déterminée dans une recommandation future. C’est dans cette perspective que l’actuel projet de la CNIL vient d’être rendu public. Les parties prenantes ont jusqu’au 25 février 2020 pour participer à la consultation.
A la suite de celle-ci, la CNIL présentera un projet de recommandation définitif.
Le projet de recommandation s’attache à présenter et à détailler chaque obligation liée au consentement, en accompagnant la présentation des modalités pratiques de mise en œuvre par des visuels permettant de comprendre concrètement comment se conformer aux règles applicables.
Ainsi, pour illustration, le projet valide comme conforme à l’exigence d’un consentement spécifique, le fait de proposer des boutons d’acceptation et de refus globaux via, par exemple, la présentation de boutons intitulés « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et « je n’accepte rien » ou encore « je donne mon accord pour toutes les finalités » et « je ne donne pas mon accord », permettant de consentir ou de refuser, en une seule action, à plusieurs finalités.
Dans le prolongement, la CNIL indique que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment. La CNIL rappelle qu’il doit être aussi simple de retirer que de donner son consentement.
La CNIL recommande aussi que le consentement soit renouvelé à des intervalles appropriés sans attendre que l’utilisateur ait retiré son consentement. La durée de validité du consentement dépendra du contexte, de la portée du consentement initial et des attentes de l’utilisateur.
De manière générale, la CNIL estime qu’une durée de validité de six mois à compter de l’expression du choix de l’utilisateur est adaptée.
Reste pour les professionnels concernés, qu’ils soient éditeurs de site Web ou d’applications mobiles, ou qu’ils agissent en qualité de responsables du traitement ou, selon le cas, de sous-traitants, à se plier à ces nouvelles règles. En pratique, il est urgent d’engager des actions prioritaires de mise en conformité sur ce point dès maintenant car si les recommandations peuvent évoluer, il existe désormais, de manière claire, une ligne rouge des pratiques licites et illicites. L’anticipation est ici un gain !
Vous avez encore jusqu’au 25 février 2020 pour participer à la consultation publique de la CNIL.
