Cookies et bandeau d’information : RGPD et conformité obligatoire au 31 mars

Tout aura été dit et écrit sur cette « deadline » du 31/03/21 qui va clôturer le feuilleton de la folle histoire du Cookie.
L’épisode 1 a commencé par la délibération CNIL N° 2019-093 du 04/07/19 qui a abrogé sa précédente recommandation de 2013 pour la remplacer par de nouvelles lignes directrices.


Il s’agissait pour la CNIL d’adapter l’application de l’article 82 de la Loi « Informatique et libertés » (Loi Lil)du 06/07/78 en rappelant le droit applicable aux opérations de lecture et/ou d’écriture d’information par les « cookies et traceurs » dans l’équipement terminal (serveur-tablettes-Smartphones-console de jeux etc) de communication électronique de l’abonné ou de l’utilisateur.
C’est-à-dire d’harmoniser l’article 82 de la Loi Lil issue de la transposition des dispositions de la Directive E-Privacy du 12/07/02, à la nouvelle définition du consentement établi à l’article 4 du RGPD.


Les épisodes suivants se sont déroulés de juillet 2019, avec un terme au 31/03/21 avec :

  • En juillet 2019 un référé de la Quadrature du net devant le conseil d’État pour suspendre les nouvelles lignes directrices de 2019.
  • Puis par une requête conjointe de plusieurs agences et conseils en communication médias présentée au Conseil d’État, celui-ci se prononçait par une décision du 19/06/2020 annulant partiellement les lignes directrices par rapport notamment au « Cookie Wall ».
  • Par une nouvelle délibération la CNIL va donc actualiser ses lignes directrices par une délibération N° 2020-09 du 17 septembre 2020, qui abroge sa délibération précédente N° 2019-09 du 04/07/19.
  • La CNIL a assorti sa publication des nouvelles lignes directrices du 17/09/2020 d’une autre délibération du même jour N° 2020-092 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs.
  • Au 31 mars 2021, fin de la période d’adaptation de 1 an et 8 mois pour s’adapter à cette nouvelle réglementation.

 

Le point focal de la novation de ces nouvelles lignes directrices est celui du receuil d’un consentement répondant aux caractéristiques de l’article 4 §11 du RGPD ( Manifestation de volonté libre, spécifique, éclairée et univoque) de la personne concernée.


Le cookie/traceur ne peut donc désormais être installé qu’après :

  1. Une information transparente et explicite sur :
    – L’identité du responsable de traitement, et s’il y a lieu de l’ensemble de tous les responsables de traitements qui pourront accéder aux informations, ce qui comprend donc l’information sur l’identité des sociétés partenaires.
    – La présentation des finalités des traceurs que ce soit pour le dépôt et/ou la lecture des informations,
    – D’associer à la présentation des finalités les catégories de données collectées.
  2. Le recueil de l’expression du consentement global ou pas :
    – La case pré cochée n’est plus autorisée,
    – Il reste possible de proposer des boutons d’acceptation et/ou de refus globaux en une seule action à plusieurs finalités.
    – Ceci n’excluant pas d’avertir la personne, que si elle n’opte pour rien explicitement , « Ni acceptation, Ni Refus » elle est considérée avoir refusé, donc aucun traceur ne pourra être déposé.
    La véritable nouveauté pour le responsable de traitement qui ne serait pas encore en conformité sera d’organiser :
  3. La conservation des choix exprimés par la personne, qu’il s’agisse d’un consentement ou d’un refus afin de ne pas les solliciter pendant un certain temps.
    D’ou l’organisation d’une politique de conservation des choix de la personne à organiser avec :
    – L’offre d’un module de gestion des préférences cookies
    implémentées sur les pages du site. (Pour modifier ses choix initiaux)
  4. Enfin le responsable de traitement doit organiser le formalisme interne de la preuve du traçage des consentement ou des refus au dépôt des cookies/traceurs.
    Donc le responsable de traitement à moins d’un mois, au cas où il l’aurait oublié pour trouver la meilleure solution logicielle pour organiser le procédé de recueil du consentement.
    Dans l’article 4 de sa délibération du 17 septembre 2020 , la CNIL recommande de manière non exclusive diverses modalités.
    La configuration d’une CMP « consent management plateforme » reste sans doute la solution la plus adaptée pour la régularité et le recueil des consentement. la plus pratique.(Notre proposition pratique)

 

Ainsi les responsables de traitement, par ailleurs éditeurs de sites et/ou d’applications mobiles doivent avoir bien compris qu’une de leur préoccupation majeure d’ici le 31 mars 2021 pour être conforme reste au- delà de la nouvelle rédaction des informations du « bandeau cookies » de choisir les modalités de l’enregistrement des « consentements/refus» aux cookies.

 

En un mot la nouvelle mise en conformité du cookies ce n’est pas que la rédaction d’un nouveau parcours d’information personnalisé.

 

C’est aussi un choix stratégique de gouvernance du procédé technique dédié à la preuve du clic des consentements ou des refus.
Ceci ne sera pas sans poser de problème contractuel d’adaptation
notamment avec le « développeur concepteur » du site Web pour pouvoir ajouter le code pour l’implémentation du bandeau, en lien avec une base de données de recueil de consentements.

 


Le placement de l’API nécessaire à l’enregistrement des fluxs, en regard des problématiques pas toujours clairement explicites dans les contrats de conception des sites sur la dévolution des droits de propriété intellectuelle sur le site promet quelques débats !!!!
Certains éditeurs de sites pourraient à cet égard toucher du doigt qu’il vaut beaucoup mieux être propriétaire de son site que locataire des pages de celui-ci .

 

Le loueur du site pourrait avoir la mauvaise surprise de constater que l’adaptation contractuelle de leur contrat de location pourrai être bien plus difficile que prévus .

 

Ce avec une absence de liberté de choix pour la présentation du bandeau, son contenu informationnel et son « Design ».

 

Sans compter l’arbitrage des options possibles pour l’organisation de la preuve de l’enregistrement des consentements que les loueurs de site risquent de se voir imposer !!!

 

A qui appartiendra la CMP ?

 

Comment gérer l’accès à son contenu, et surtout qui assumera les risques de la non-conformité du bandeau cookies si ces modalités sont imposées par le loueur ?

 

« L’écosystème du web » n’a pas fini de nous surprendre !

 

Dans tous les cas l’éditeur du site devra veiller aussi à refondre sa police d’information cookies.

 

La refonte de la police d’information cookies devra également veiller à rappeler qu’au-delà du consentement au dépôt du cookies, la personne à aussi le droit à une information essentielle qui est de se voir rappeler le droit d’opposition au traitement de l’article 21§ 2 et 4 du RGPD (droit d’opposition marketing direct !)

 

Ou l’on voit que la conformité RGPD du bandeau cookies ce n’est pas forcément que de la technologie .
L’éditeur du site ou de l’application mobile devra s’entourer de juristes particulièrement aguerris dans l’univers de la Data autant que du RGPD.

 

Article rédigé à Marseille le 1 er mars 2021
Véronique RONDEAU-ABOULY
Avocat au barreau de Marseille et DPO externe

 

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.
Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution, le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.