Quelles sont les directives de la CNIL sur les cookies ?
La Commission Nationale Informatique & Libertés (CNIL) est l'agence française de protection des données. Qu'est-ce que la CNIL exactement ? Que devriez-vous faire à ce propos? Apprenez-en plus sur ce sujet ici!
La Commission Nationale Informatique & Libertés (CNIL) est l'agence française de protection des données. Qu'est-ce que la CNIL exactement ? Que devriez-vous faire à ce propos? Apprenez-en plus à ce sujet ici!
Qu'est-ce que la CNIL ?
CNIL signifie Commission Nationale de l’informatique et des Libertés, l'autorité nationale française de protection des données. La loi Informatique et Libertés du 6 janvier 1978 a institué la CNIL en tant qu'autorité administrative indépendante chargée d'assurer la protection des données personnelles dans les fichiers informatiques et les traitements, tant publics que privés.
Ils ont le pouvoir de faire appliquer les lois sur la protection des données en France, ce qui signifie qu'ils mettent en application :
- Loi Informatique et Libertés
- RGPD
- Directive ePrivacy
Ils reçoivent les plaintes concernant la non-conformité des entreprises et peuvent imposer des amendes en cas de violation de la loi.
Pourquoi la CNIL a-t-elle été créée ?
La CNIL a été créée en réponse à l'indignation publique suscitée par le programme SAFARI, un plan conçu par le gouvernement français pour attribuer un identifiant unique à chaque citoyen français et utiliser ce numéro pour relier tous les documents gouvernementaux. Ce programme a suscité l'inquiétude du public dans l'éventualité ou toute la population française serait bientôt enregistrée dans des fichiers. La CNIL a donc été créée afin de s'assurer que toute évolution de l'informatique soit respectueuse de la vie privée, des droits individuels et des libertés publiques.
Quelles sont les directives de la CNIL sur les cookies ?
Le 18 juillet 2019, la CNIL a publié des lignes directrices pour l'utilisation des cookies et technologies similaires (« Lignes directrices ») en France afin d'aligner les règles sur le Règlement général sur la protection des données (« RGPD ») de l'UE. Cependant, les lignes directrices ont été partiellement annulées par le Conseil d'État le 19 juin 2020. Notamment, le Conseil d'État a abrogé la disposition des lignes directrices qui imposait une interdiction absolue des « murs de cookies, " qui empêchent les utilisateurs qui ne consentent pas à l'utilisation de cookies d'accéder à un site Web ou à une application mobile. Le même jour, la CNIL a publié un communiqué annonçant que les Référentiels seraient révisés conformément à la décision du Conseil d'Etat.
Le 1er octobre 2020, la CNIL a publié une version révisée des Référentiels, ainsi que ses recommandations finales sur les modalités pratiques d'obtention du consentement des utilisateurs (« Recommandations ») et un jeu de questions-réponses sur les recommandations (« FAQ »). .
À qui s'appliquent les directives de la CNIL en matière de cookies ?
Les directives de la CNIL en matière de cookies s'appliquent à vous si votre entreprise :
- est basée en France et dans les DOM-TOM
- collecte et/ou traite les données personnelles des citoyens et résidents français, ainsi que des résidents des territoires français d'outre-mer
Fondamentalement, ce sont les mêmes principes d'applicabilité que dans le RGPD.
Quelle est la position de la CNIL sur les Cookie Walls ?
Les murs de cookies sont des mécanismes qui empêchent les utilisateurs d'accéder au contenu du site Web s'ils n'acceptent pas les cookies et autres technologies de suivi. Lorsqu'il est confronté à un cookie wall, l'utilisateur a la possibilité d'accepter les cookies ou de quitter le site.
La CNIL n'interdit pas complètement les murs de cookies. Les murs de cookies sont autorisés et légaux dans certaines circonstances. Leur légalité doit être déterminée au cas par cas. Lorsque des murs de cookies sont utilisés, vous devez vous assurer que vous fournissez à l'utilisateur des informations claires sur les conséquences lorsque l'utilisateur accepte ou refuse son consentement et, en particulier, des informations sur l'impossibilité d'accéder au contenu ou au service sans consentement doivent être fournies.
Rejet ou retrait du consentement
Selon les Lignes directrices, les utilisateurs doivent pouvoir refuser leur consentement à l'utilisation de cookies aussi facilement qu'ils peuvent les accepter. L'inaction ou le silence de l'utilisateur (tel que le défilement et la navigation) doit être interprété comme un refus d'utilisation des cookies.
En outre, les utilisateurs doivent avoir le droit de retirer leur consentement à tout moment, et le retrait doit être aussi simple que de donner son consentement.
La CNIL a récemment infligé de lourdes amendes à Google et Facebook pour ne pas avoir fourni de solution équivalente (bouton ou autre), permettant aux internautes de refuser facilement l'utilisation de cookies. La CNIL a noté que refuser tous les cookies nécessitait plusieurs clics au lieu de les accepter en un seul clic. En conséquence, Google a reçu une sanction de 150 millions d'euros, tandis que Facebook a reçu une sanction de 60 millions d'euros.
Que dit la CNIL sur les cookies exemptés de consentement ?
En règle générale, avant de déployer des cookies sur les appareils des utilisateurs, le consentement des utilisateurs doit être obtenu pour chaque catégorie ou finalité des cookies. Cependant, certains cookies sont exemptés de l'obligation de consentement. Il s'agit de cookies strictement nécessaires au fonctionnement du site et à la fourniture des services demandés par les utilisateurs. Les cookies strictement nécessaires sont listés ci-dessous :
- les cookies qui stockent la préférence de l'utilisateur pour l'utilisation des cookies ;
- les cookies utilisés pour l'authentification du service (c'est-à-dire pour améliorer la sécurité du mécanisme d'authentification, par exemple en limitant les tentatives d'accès robotiques ou inattendues) ;
- les cookies destinés à enregistrer le contenu du panier d'un utilisateur sur un site marchand ou à facturer à l'utilisateur les produits ou services achetés ;
- les cookies utilisés pour la personnalisation de l'interface utilisateur (c'est-à-dire la sélection de la langue), lorsqu'une telle personnalisation fait partie intégrante et attendue du service ;
- les cookies qui permettent l'équilibrage de charge de l'équipement utilisé dans un service de communication ;
- les cookies qui permettent aux sites payants de limiter l'accès gratuit à un échantillon de contenu demandé par les utilisateurs.
En outre, les Lignes directrices précisent que les cookies utilisés pour la mesure d'audience (c'est-à-dire les cookies d'analyse) peuvent être exemptés de l'obligation de consentement dans certaines circonstances. Cependant, il convient de noter que Google Analytics est traité différemment des autres cookies d'analyse. La CNIL reconnaît les cookies utilisés pour l'analyse de la fréquentation ou des performances du site comme nécessaires au bon fonctionnement d'un site. Il permet l'utilisation de cookies d'analyse tant qu'ils ne sont utilisés que pour générer des données statistiques anonymes ou agrégées et ne sont pas combinés avec d'autres données ou utilisés pour identifier les utilisateurs.
Autres recommandations de la CNIL
En plus des directives de la CNIL en matière de cookies, la DPA française a fourni des recommandations pour suivre les directives en matière de cookies. Voici quelques-uns des points les plus importants des recommandations de la CNIL:
- Avant de présenter aux individus la possibilité d'accepter ou de refuser les cookies, la bannière de consentement aux cookies doit fournir des informations sur l'objectif des cookies ou la catégorie de cookies.
- L'objectif du cookie ou de la catégorie de cookie doit être présenté avec un titre bref et mis en évidence, suivi d'une brève description de l'objectif.
- La bannière de consentement doit inclure un lien qui pointe vers une page (qui peut être une page de politique de confidentialité ou de politique de cookies) contenant des informations détaillées sur les contrôleurs de données, les sous-traitants et les tiers.
- Les boutons "Accepter tout" et "Rejeter tout" doivent être au même niveau et proéminence.
- L'option d'acceptation des cookies ne doit pas inclure de cases pré-cochées ou d'interrupteurs à bascule pré-activés. Si un utilisateur ne prend aucune mesure ou manque ces options, le site Web ne devrait pas charger les cookies.
- Autoriser les utilisateurs à donner leur consentement pour différentes catégories de cookies séparément. Il est possible de le faire en utilisant un bouton ou un lien "paramètres/personnaliser/préférences".
- Le site Web doit conserver les choix de consentement, qu'ils soient acceptés ou rejetés, pendant au moins 6 mois afin qu'il ne demande pas le consentement à chaque fois que le même utilisateur visite.
Exemples de bannières de cookies conforme selon la CNIL
Dans ses recommandations cookies, la CNIL a formulé plusieurs recommandations de design pour les bannières cookies.
1. La possibilité de donner un consentement indépendant peut être proposée à un second niveau d'information via un bouton « Personnaliser mes choix » inséré au même niveau d'information (premier niveau) que les boutons « Tout accepter » et « Tout refuser ».
2. L'utilisateur peut refuser de déposer et de lire des traceurs en cliquant sur "Continuer sans accepter".
3. Les détails de l'objectif peuvent être trouvés en cliquant sur un lien hypertexte au premier niveau d'information.
4. Le détail des finalités est disponible via un bouton déroulant sur le premier niveau d'information que l'utilisateur peut activer.
5. Une icône "Gérer mes cookies" située en bas à gauche de l'écran permet de gérer et de retirer le consentement.
Check-list des recommandations CNIL
La check-list ci-dessous vous aidera à rester en conformité avec les directives de la CNIL en matière de cookies.
▢ Créer une bannière de consentement aux cookies pour recueillir le consentement des utilisateurs à utiliser des cookies
▢ Ne placez pas de cookies sans avoir obtenu au préalable votre consentement, sauf pour les cookies essentiels
▢ Avoir un bouton ou un lien "paramètres/personnaliser/préférences" pour permettre aux utilisateurs de choisir ce à quoi ils consentent et de rester informés sur les cookies ou les catégories de cookies
▢ Recueillir le consentement pour chaque catégorie de traitement
▢ Par mesure de sécurité, évitez d'utiliser des murs de cookies
▢ Fournir des informations explicites sur l'utilisation des cookies, ainsi que sur les finalités pour lesquelles ils sont utilisés
▢ Si vous utilisez des cookies d'analyse, vous pouvez les placer sans demander le consentement uniquement s'ils collectent des données statistiques anonymes.
▢ Fournir les options "tout accepter" et "tout rejeter", ainsi que tout autre mécanisme permettant d'accepter ou de refuser les cookies de la même manière et avec la même importance.
▢ Fournissez un paramètre ou un lien pour rétablir la bannière ou révoquer le consentement.
▢ Tenez à jour les journaux du choix de consentement de l'utilisateur.
Comment se conformer aux directives de la CNIL sur les cookies ?
Utiliser une solution de gestion du consentement aux cookies est une bonne pratique qui vous apportera une tranquillité d'esprit.
La solution CNIL de Secure Privacy est conforme au RGPD et aux directives Cookies de la CNIL.
Comment Secure Privacy aide les entreprises à se conformer aux directives de la CNIL en matière de cookies
Secure Privacy est livré avec des fonctionnalités qui vous aideront à vous conformer pleinement aux directives de la CNIL en matière de cookies et au RGPD en général.
Les principales caractéristiques sont :
- Analyse avancée et continue du site Web qui vous permet de voir tous les cookies sur votre site Web
- Des bannières de consentement aux cookies hautement personnalisables et élégantes, avec un centre de préférences universel permettant aux utilisateurs d'activer et de désactiver les cookies et autres technologies de suivi
- Capacité unique de consentement inter-domaines qui permet à vos utilisateurs de gérer leurs préférences en matière de cookies sur différents domaines en une seule étape
- Un générateur de politique de confidentialité qui automatise la création de votre politique de cookie afin de répondre aux exigences RGPD
- Plus de 70 langues prises en charge
- Recueil en temps réel et suivi des consentements pour vous assurer de conserver des enregistrements que vous recevez des utilisateurs au cas où la CNIL le demanderait
- Une solution de conformité GDPR évolutive qui est également conforme au CCPA en Californie et au LGPD au Brésil.
Prenez rendez-vous dès aujourd'hui si vous souhaitez plus d'informations sur Secure Privacy et la conformité du consentement aux cookies GDPR, ou si vous souhaitez que notre expert en protection des données effectue une «vérification» rapide de votre site Web, de votre bannière de cookies ou de votre politique en matière de cookies.
Vous pouvez également vous inscrire pour un essai gratuit de notre solution complète de conformité GDPR ici.