Tout aura été dit et écrit sur cette « deadline » du 31/03/21 qui va clôturer le feuilleton de la folle histoire du Cookie.
L’épisode 1 a commencé par la délibération CNIL N° 2019-093 du 04/07/19 qui a abrogé sa précédente recommandation de 2013 pour la remplacer par de nouvelles lignes directrices.
Il s’agissait pour la CNIL d’adapter l’application de l’article 82 de la Loi « Informatique et libertés » (Loi Lil)du 06/07/78 en rappelant le droit applicable aux opérations de lecture et/ou d’écriture d’information par les « cookies et traceurs » dans l’équipement terminal (serveur-tablettes-Smartphones-console de jeux etc) de communication électronique de l’abonné ou de l’utilisateur.
C’est-à-dire d’harmoniser l’article 82 de la Loi Lil issue de la transposition des dispositions de la Directive E-Privacy du 12/07/02, à la nouvelle définition du consentement établi à l’article 4 du RGPD.
Les épisodes suivants se sont déroulés de juillet 2019, avec un terme au 31/03/21 avec :
Le point focal de la novation de ces nouvelles lignes directrices est celui du receuil d’un consentement répondant aux caractéristiques de l’article 4 §11 du RGPD ( Manifestation de volonté libre, spécifique, éclairée et univoque) de la personne concernée.
Ainsi les responsables de traitement, par ailleurs éditeurs de sites et/ou d’applications mobiles doivent avoir bien compris qu’une de leur préoccupation majeure d’ici le 31 mars 2021 pour être conforme reste au- delà de la nouvelle rédaction des informations du « bandeau cookies » de choisir les modalités de l’enregistrement des « consentements/refus» aux cookies.
En un mot la nouvelle mise en conformité du cookies ce n’est pas que la rédaction d’un nouveau parcours d’information personnalisé.
C’est aussi un choix stratégique de gouvernance du procédé technique dédié à la preuve du clic des consentements ou des refus.
Ceci ne sera pas sans poser de problème contractuel d’adaptation
notamment avec le « développeur concepteur » du site Web pour pouvoir ajouter le code pour l’implémentation du bandeau, en lien avec une base de données de recueil de consentements.
Le placement de l’API nécessaire à l’enregistrement des fluxs, en regard des problématiques pas toujours clairement explicites dans les contrats de conception des sites sur la dévolution des droits de propriété intellectuelle sur le site promet quelques débats !!!!
Certains éditeurs de sites pourraient à cet égard toucher du doigt qu’il vaut beaucoup mieux être propriétaire de son site que locataire des pages de celui-ci .
Le loueur du site pourrait avoir la mauvaise surprise de constater que l’adaptation contractuelle de leur contrat de location pourrai être bien plus difficile que prévus .
Ce avec une absence de liberté de choix pour la présentation du bandeau, son contenu informationnel et son « Design ».
Sans compter l’arbitrage des options possibles pour l’organisation de la preuve de l’enregistrement des consentements que les loueurs de site risquent de se voir imposer !!!
A qui appartiendra la CMP ?
Comment gérer l’accès à son contenu, et surtout qui assumera les risques de la non-conformité du bandeau cookies si ces modalités sont imposées par le loueur ?
« L’écosystème du web » n’a pas fini de nous surprendre !
Dans tous les cas l’éditeur du site devra veiller aussi à refondre sa police d’information cookies.
La refonte de la police d’information cookies devra également veiller à rappeler qu’au-delà du consentement au dépôt du cookies, la personne à aussi le droit à une information essentielle qui est de se voir rappeler le droit d’opposition au traitement de l’article 21§ 2 et 4 du RGPD (droit d’opposition marketing direct !)
Ou l’on voit que la conformité RGPD du bandeau cookies ce n’est pas forcément que de la technologie .
L’éditeur du site ou de l’application mobile devra s’entourer de juristes particulièrement aguerris dans l’univers de la Data autant que du RGPD.
Article rédigé à Marseille le 1 er mars 2021
Véronique RONDEAU-ABOULY
Avocat au barreau de Marseille et DPO externe
La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.
Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution, le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.