Qu'est-ce que la CNIL et comment s'y conformer ?

Le 1er octobre 2020, la Commission nationale de l'informatique et des libertés (CNIL) a publié une version révisée de ses lignes directrices 2019 sur les cookies et technologies similaires. La version révisée a été publiée pour tenir compte également du règlement RGPD sur les cookies.

La CNIL ou Commission Nationale de l'informatique et des libertés est un organisme administratif français de régulation qui a le pouvoir de faire respecter les lois sur la protection des données en France. La CNIL est responsable de l'application des trois lois ci-dessous dans le pays.

• Loi Informatique et Libertés
• RGPD
• Directive ePrivacy

Il détient également le pouvoir de recevoir des plaintes et d'infliger des amendes en cas de violation des lois.

Si votre entreprise appartient à l'une des catégories suivantes, vous êtes tenu de vous y conformer.

• Est basé en France et dans les DOM-TOM
• Collecte et/ou traite les données personnelles des citoyens et résidents de France et des territoires français d'outre-mer

Ce sont les mêmes principes d'applicabilité que dans le RGPD.

L'utilisateur doit autoriser le consentement avec une action positive affirmative claire (telle que cliquer sur "J'accepte" sur une bannière de cookie). L'inaction, le défilement ou la poursuite de la navigation de l'utilisateur, etc., ne peuvent être considérés comme un consentement et aucun cookie autre que ceux nécessaires ne doit être placé dans l'appareil de l'utilisateur jusqu'à ce qu'un consentement explicite soit reçu.

Les utilisateurs doivent pouvoir refuser les cookies avec la même facilité qu'ils les ont acceptés en premier lieu.

Les utilisateurs doivent pouvoir retirer leur consentement aux cookies facilement et à tout moment.

Les utilisateurs doivent être clairement informés des finalités des cookies avant de donner leur consentement, ainsi que des conséquences de l'acceptation ou du refus des cookies.

Les entreprises qui sollicitent le consentement pour les cookies doivent fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l'utilisateur.

Voici une infographie qui vous donnera une idée rapide des exigences de conformité à la CNIL.

La CNIL et le RGPD ont des exigences similaires lorsqu'il s'agit de demander le consentement des utilisateurs sur le rendu des cookies. Ils sont comme indiqué ci-dessous.

• Le consentement doit être donné librement. L'utilisateur doit être libre de choisir de donner ou non son consentement pour les cookies.

• Le consentement doit être spécifique. Vous devez obtenir le consentement pour chaque objectif de collecte de données. Cela signifie que si vous avez obtenu un consentement à des fins d'analyse, vous avez besoin d'un nouveau consentement pour la collecte de données à des fins de marketing.

• La demande de consentement doit être bien informée. Cela signifie que vous devez informer l'utilisateur de vos pratiques de confidentialité au moment de la demande. Les informer que vous utilisez des cookies et leur présenter un lien vers votre politique de confidentialité est une bonne pratique à faire.

• Le consentement doit être sans ambiguïté. Vous devez afficher un bouton ACCEPTER et REJETER. Afficher uniquement le bouton ACCEPTER n'est pas suffisant. L'utilisateur doit être en mesure de prendre des mesures positives sur votre site Web.

Bien que la demande de consentement explicite soit nécessaire au titre de la CNIL, elle dispense certains cookies d'être autorisés sans le consentement des utilisateurs. Voici la liste des cookies exemptés du recueil du consentement.

• Cookies destinés à l'authentification auprès d'un service
• Cookies utilisés pour mémoriser les articles du panier sur un site de commerce électronique
• Certains cookies destinés à générer des statistiques de fréquentation
• Cookies permettant aux sites payants de limiter l'accès gratuit à un échantillon de contenu demandé par les utilisateurs
• Cookies stockant le choix de consentement des utilisateurs
• Cookies de personnalisation de l'interface utilisateur
• Cookies de préférence linguistique

La CNIL considère que le consentement doit provenir exclusivement d'un acte positif. Par conséquent, toute inaction doit être comprise comme un refus à l'utilisation de cookies.

Voici les deux cas où vous pouvez définir des cookies sur les appareils de vos utilisateurs.

• L'utilisateur a exprimé son consentement pour les cookies
• Les cookies appartiennent à la catégorie exemptée (comme indiqué dans la section ci-dessus)

En principe, il faut conserver les choix exprimés par l'utilisateur, qu'il s'agisse de son consentement ou de son refus. Ainsi, lors de sa navigation sur le site, il n'aura pas à reformuler son choix de page en page.

De manière générale, il est donc recommandé de sauvegarder le choix exprimé par l'internaute afin de ne pas le solliciter à nouveau pendant un certain temps.

La durée de conservation des choix devra être appréciée au cas par cas (au regard de la nature du site ou de l'application concernée et des spécificités de son audience). Généralement, il est de bonne pratique de conserver les choix pendant une période de 6 mois.

Les murs de cookies sont des conceptions de sites Web qui obligent un utilisateur à accepter les cookies avant de pouvoir accéder au contenu du site Web. Alors que les directives de 2019 interdisent complètement l'utilisation de murs de cookies. À la suite de la décision de justice française contre la loi, la CNIL a modifié ses lignes directrices pour indiquer que la licéité des murs de cookies doit être évaluée au cas par cas.

Si un mur de cookies est utilisé, l'utilisateur doit être clairement informé qu'il est impossible d'accéder au contenu sans son consentement. Sinon, le mur de cookies ou la bannière devrait bientôt disparaître, de sorte qu'il n'interfère pas avec l'accès de l'utilisateur au contenu ou n'influence pas l'utilisateur à consentir.

La CNIL a formulé à la fois des orientations et des recommandations. Les directives de la CNIL sur les cookies et autres traceurs vous informent du droit applicable lorsqu'un utilisateur interagit avec Internet via l'interface d'un smartphone, ordinateur, tablette, etc.

La recommandation vise à guider les professionnels concernés dans leur démarche de mise en conformité. Il propose des exemples de modalités pratiques pour recueillir le consentement selon les règles applicables mais aussi pour répondre aux exigences de l'article 82 de la loi Informatique et Libertés.

La CNIL inflige une amende à une organisation en cas d'infraction au RGPD ou à la loi française sur la protection des données de deux manières.

• Suite à une réclamation ou un constat d'infraction auprès de la CNIL
• Suite à une enquête menée par la CNIL

Dans les deux cas, le président de la CNIL peut désigner un rapporteur parmi les commissaires de la CNIL, à l'exception des membres de la commission restreinte, et saisir la commission restreinte. La commission restreinte est composée de cinq commissaires de la CNIL et d'un président élu parmi eux.

L'organisation incriminée est informée et des documents sont échangés au cours de la procédure écrite entre le rapporteur et l'organisation. La commission restreinte reçoit alors tous les documents.

Au cours de la procédure, l'organisme incriminé peut être entendu si le rapporteur l'estime utile. Dans ce cas, un rapport écrit confirmera l'audition.

La sanction peut être surveillée ou non surveillée. En termes de surveillance, l'entreprise ou l'organisation incriminée sera obligée de payer un montant pouvant atteindre 4 % du chiffre d'affaires mondial total ou jusqu'à 20 millions de livres sterling, selon le montant le plus élevé. En termes non-monitoraux, il y aura avertissement, injonction avec astreintes, etc.

Comme elle l'avait annoncé, elle estime que le délai de mise en conformité avec les nouvelles règles (publiées le 1er octobre) ne devrait pas dépasser six mois, soit fin mars 2021 au plus tard.

La CNIL procédera alors à des audits et engagera des actions en justice. Comme toujours, les opérateurs doivent également s'assurer qu'ils respectent à la fois la directive ePrivacy et le règlement général sur la protection des données.

Vous pouvez faciliter le parcours de conformité CNIL pour votre site Web WordPress à l'aide du plug-in CookieYes GDPR Consentement et avis de conformité. Le plugin facilite la gestion des cookies grâce à son puissant ensemble de fonctionnalités.

Le plugin vous offre les fonctionnalités suivantes.

• Analyse automatique des cookies – Le plugin analyse automatiquement votre site Web à la recherche de cookies.
• Bannière de consentement aux cookies - Vous pouvez créer et personnaliser une bannière de consentement pour répondre aux exigences mentionnées dans les directives des lois.
• Option de consentement granulaire - Demandez un consentement explicite pour les cookies en informant les utilisateurs de l'utilisation de chaque type de cookie sur votre site Web.
• Journal de consentement aux cookies - Enregistrez le consentement de vos utilisateurs avec des données pertinentes telles que les cookies acceptés, la date, l'heure, etc.
• Blocage automatique des scripts – Vous pouvez activer le blocage par script des cookies des plugins et services tiers
• Générateur de politique de confidentialité – Générez facilement une politique de confidentialité/cookie à partir de zéro.

Dans la foulée de la nouvelle consigne édictée par la CNIL, il ne vous reste plus trop de temps pour vous y conformer. Alors commencez dès aujourd'hui votre parcours de conformité avec le plugin CookieYes GDPR Cookie Consent and Compliance Notice.