Après plusieurs mois d’études et de concertations, la CNIL a mis à jour ses lignes directrices relatives aux cookies[1] et a adopté sa tant attendue recommandation sur les modalités pratiques de recueil du consentement de l’utilisateur[2].
Et le moins qu’on puisse dire est que les précisions apportées risquent de ne pas convenir à tous…
Au global, les règles revues sur les Cookies restent profondément centrées autour du libre arbitre absolu qu’il faut conférer aux visiteurs.
On distingue les cookies qui sont strictement nécessaires au fonctionnement du site visité et ceux qui ne le sont pas. Un consentement préalable doit être collecté pour ces derniers.
Parmi toutes les précisions apportées, une ressort particulièrement.
Cookies CNIL : Accepter ou refuser, pas de favoritisme !
Sans doute le point de crispation majeur : L’interdiction de mettre en avant l’option « Accepter » aux dépends de l’option « Refuser ».
Il n’est ainsi plus question sur son CMP (Cookies Management Platform) de n’avoir que deux options « Tout accepter » et « Personnaliser ». Il faut faire figurer les options « Accepter » et « Refuser » au même niveau afin de ne pas influencer les visiteurs.
La recommandation Cookies CNIL va même plus loin en interdisant les pratiques visant à mettre en exergue l’option « accepter » par le design. Exemple : Avoir un bouton « Refuser » en petit et gris alors que le bouton « Accepter » est coloré en gros.
Il s’agit pourtant d’une pratique courante, pour ne pas dire quasi généralisée à l’échelle du Web, la peur de ne pas recueillir le consentement se faisant de plus en plus sentir.
L’utilisation des cookies est ressentie comme indispensable à l’activité marketing ou commerciale de l’intégralité des entreprises.
Que ce soit de la simple mesure d’audience à la géolocalisation, les cookies font partie intégrante du business.
[1] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019. Voir le PDF.
[2] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ». Voir le PDF.
Mises en demeure CNIL
Un délai de mise en conformité de 6 mois qui a pris fin le 31 mars 2021 a été conféré par la CNIL aux opérateurs pour se mettre en conformité aux règles portant sur les cookies.
A l’issue de cette période, la CNIL a adressé pas moins de 90 mises en demeure à des opérateurs ayant des pratiques en violation avec les règles sur les cookies.
La troisième campagne de contrôle a eu lieu en décembre 2021 et a visé une trentaine d’organismes, autant publics que privés, appartenant à différents secteurs (transport, habillement, vente à distance…).
Les manquements relevés concernent aussi bien les informations devant être transmises aux utilisateurs que le consentement qui doit être préalable et proposé dans un format identique à celui utilisé pour le refus.
Ces acteurs ont un mois pour se mettre en conformité. A défaut, ils risquent une amende pouvant aller jusqu’à 2% du Chiffre d’affaires.
La CNIL privilégie toujours une démarche éducative. Celle-ci produira toutefois probablement ses effets dans les prochains mois. En mettant en demeure ces acteurs, elle cherche à mettre en garde les entreprise en les incitant à faire preuve de vigilance.
