Consciente des difficultés de faire appliquer à la lettre le RGPD, la CNIL a lancé mardi une consultation publique ouverte jusqu’au 25 février sur son projet de recommandations pour des modalités de pratiques de recueil du consentement, qui cible les opérateurs utilisant des traceurs. A la différence des lignes directrices publiées par la CNIL en juillet dernier, qui visaient à synthétiser le droit applicable aux opérateurs de lecture ou écriture dans le terminal d’un utilisateur, cette recommandation n’a pas vocation à être prescriptive. Elle doit servir avant tout de guide pratique pour les professionnels dans leur démarche de mise en conformité, assure la Commission.
Le RGPD a renforcé les exigences en matière de validité du consentement. La poursuite de la navigation sur un site ou une application mobile n’est plus une expression valable du consentement. Cela doit, au contraire, résulter d’un acte positif univoque de l’internaute, rappelle la CNIL. Par ailleurs, les acteurs doivent être en mesure de prouver qu’ils ont effectivement recueilli un consentement valide des internautes.
Les recommandations pratiques fournies par la Commission portent, essentiellement, sur les finalités des traceurs, l’identité du ou des responsables de traitement et la portée du consentement.
publicité
Exprimer clairement tout refus
Les finalités des traceurs devraient être le premier élément présenté à l’utilisateur, formulées « de manière intelligible, dans un language adapté et suffisamment clair pour permettre à l’utilisateur de comprendre précisément ce à quoi il consent ». La Commission conseille de mettre en exergue chaque finalité présentée dans un « intitulé court et mis en évidence ». Elle recommande, au titre des bonnes pratiques, que les catégories de données collectées par l’intermédiaire des traceurs soient « précisées pour chaque finalité ».
Dans un deuxième temps, la CNIL recommande de dresser une liste des responsables du ou des traitements, accessible au moment du recueil du consentement et de manière permanente.
Selon la CNIL, l’utilisateur devrait aussi savoir si son consentement est valable pour le suivi de sa navigation sur d’autres sites ou applications que ceux depuis lesquels son consentement est recueilli.
Tout internaute devrait, selon la commission, avoir la possibilité d’exprimer clairement son consentement, à savoir l’autoriser ou le refuser. S’il refuse, il ne devrait pas « subir de préjudice », insiste la CNIL. Rien n’interdit non plus au responsable du ou des traitements, dès lors qu’il offre à l’utilisateur ce choix entre acceptation et refus, de lui laisser la possibilité de ne pas faire de choix et de retarder sa décision.
Le consentement devrait pouvoir être retiré à tout moment
Enfin, ces interfaces ne devraient pas utiliser de pratiques de design « potentiellement trompeuses », telles que l’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser.
Le consentement doit en outre se manifester par un « acte positif clair de l’utilisateur » (au moyen de cases à cocher, décochées par défaut, ou via le recours à des interrupteurs désactivés par défaut).
Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment. De façon générale, la Commission estime qu’une durée de validité de six mois à partir de l’expression du choix de l’utilisateur est adaptée.
A l’issue du processus de consentement, les professionnels doivent être en mesure de démontrer que l’utilisateur a donné son consentement, souligne par ailleurs la CNIL.
Près de 11,8 % des CMP sont conformes au règlement
Des chercheurs universitaires se sont aussi penchés sur la mise en conformité des sites avec le RGPD, en étudiant notamment les “Consent Management Platforms” (CMP). Le constat est alarmant : seuls 11,8 % des CMP sont conformes aux exigences du règlement.
Le consentement implicite est utilisé par près de 32,5 % des sites. La majorité (50,1 %) des sites sondés n’ont pas de bouton “rejeter tout”, et seuls 12,6 % des sites proposent une option claire pour “tout refuser” comme pour “tout accepter”. Pour les autres, dans une majorité des cas (74,3 %) le bouton pour “tout refuser” se trouve au second plan du site, tandis que dans 0,9 % des cas, il se situe même au troisième niveau.
A l’occasion de la publication de son projet de recommandations sur les cookies et autres traceurs, la CNIL a commandé une étude à l’IFOP. Il en ressort que 65 % des personnes interrogées jugent efficaces les demandes d’autorisation actuelles. Dans les faits, la plupart des personnes sondées (76 %) donnent leur consentement sans exprimer d’opposition de principe aux cookies. Toutefois, 65 % disent avoir déjà accepté alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus.
Près de 90 % des sondés souhaitent toutefois savoir quelles sont les entreprises susceptibles de suivre leur navigation et jugent insuffisantes les informations actuellement disponibles à ce sujet.
A l’issue de la publication des recommandations, il faut s’attendre à des actions de mise en conformité concernant les cookies et autres traceurs courant 2020. Dans un premier temps, les mesures seront limitées au respect des principes précédemment exposés dans la recommandation de 2013. Six mois après la publication définitive de la recommandation, d’autres missions de contrôle sur l’application du nouveau cadre seront ensuite réalisées à la fin de cette période d’adaptation, prévient la CNIL.
Comentarios