Ce 1er octobre, la CNIL a publié sa recommandation relative aux conditions d’acceptation des cookies par l’internaute. Une recommandation toute en douceur. Décryptage.
La recommandation, qui vient d’être publiée, était prévue pour le printemps dernier, mais avait été retardée par la crise sanitaire. Elle prend appui sur une autre recommandation de la CNIL datant de juillet 2019 et dont nous nous étions fait l’écho, ainsi que sur une décision du Conseil d’État de juin 2020. Les enjeux commerciaux sont importants puisqu’il s’agit de fixer dans quelles conditions un site peut placer, puis utiliser des cookies à des fins de tracking, tout en se conformant au RGPD et à la règle du opt-in qui depuis longtemps maintenant s’impose en France. Entre temps, la CNIL avait lancé une consultation publique en janvier et février 2020. Le chemin n’a donc pas été sans difficultés…
L’ambition de cette nouvelle recommandation est de permettre à l’internaute de mieux maitriser l’utilisation de ses données personnelles par les marques. De lui laisser le choix entre accepter ou refuser les cookies. Rappelons qu’un cookie est un fichier informatique stocké sur l’ordinateur de l’internaute et qui permet de collecter ses données de navigation. Principe de base : le dépôt de cookies doit être accepté expressément par l’internaute et la poursuite de sa navigation ne peut plus avoir valeur d’acceptation. Cette poursuite de navigation doit au contraire désormais s’interpréter comme un refus.
La recommandation pose 2 règles essentielles : informer l’internaute sur le rôle des cookies et lui permettre de refuser de façon simple.
Un devoir d’information
L’annonceur qui sollicite l’accord de l’internaute doit l’informer de façon claire et synthétique sur la nature du ciblage que permettront les cookies pour lesquels l’acceptation est sollicitée. Ainsi l’internaute doit savoir si cela débouchera sur de la publicité personnalisée, sur de la publicité géolocalisée, sur une personnalisation de contenus ou encore sur de la personnalisation de produits ou services. La CNIL propose, pour chacune de ces fonctions une formulation type mais celle-ci n’est en aucun cas obligatoire.
L’internaute doit également connaitre l’identité du responsable du traitement et être informé que son accord peut être retiré à tout moment.
Acceptation et refus sur un même pied d’égalité
La recommandation pose le principe que le refus de l’internaute doit être aussi facile que son acceptation. Ce qui nécessite que le bouton « tout refuser » doit se trouver sur le même écran, sur le même niveau et épouser le même format que le bouton « tout accepter« . Le design ne devra donc plus encourager le « tout accepter » comme cela est encore trop souvent le cas aujourd’hui. La CNIL préconise, là aussi sans l’imposer, de mettre en place des interfaces standardisées.
Le sort des cookies wall
Dans sa recommandation de juillet 2019, la CNIL avait posé le principe que les cookies wall (cookies qui empêchent l’accès au site en cas de refus) étaient interdits au nom du principe du libre accès à internet. Mais cette position a été condamnée par une décision du Conseil d’État du 19 juin 2020, ce dernier relevant que cette interdiction ne rentrait pas dans les compétences de la CNIL. La nouvelle recommandation en prend acte tout en précisant cependant que la situation sera étudiée au cas par cas. Quant aux cookies-tiers, on se souvient que Google en a annoncé la fin prochaine…
Les annonceurs disposent d’un délai de 6 mois, soit jusqu’au 31 mars 2021 pour se mettre en conformité. A cette date, tous les sites auront donc dû revoir leurs bandeaux cookies.
