Il est désormais temps d’être conforme à la réglementation obligatoire édictée en octobre dernier par la CNIL (Commission Nationale de l’Informatique et des Libertés). Au 31 mars 2021 au plus tard, les sites internet d’entreprise et les boutiques en ligne doivent être en conformité avec la réglementation sur les cookies et autres fichiers traceurs, notamment au niveau du recueil du consentement des internautes.
Rappel sur le Règlement Général sur la Protection des Données
Entré en vigueur en 2018, le RGPD est un règlement européen relatif à la protection des données à caractère personnel des internautes.
Conçu pour s’adapter aux évolutions technologiques de nos sociétés (usage accru d’internet, puissant développement du commerce en ligne…) ce règlement européen harmonise les règles au sein de l’union européenne, dans la continuité de la loi française Informatique et Liberté de 1978, relatif à l’utilisation qui peut être fait des données concernant les personnes physiques.
Toutes organisations, quelle que soit sa taille ou son activité, est concerné par le RGPD
En effet, si votre entreprise traite ou collecte des données personnelles (information permettant d’identifier un individu selon des critères précis ; adresse, téléphone, numéro client, nom et prénom…), vous avez dès lors des obligations pour garantir la protection des données de vos utilisateurs.
Le RGPD a donc posé les bases des obligations au niveau du recueil du consentement et du caractère personnel des données.
En revanche, rien ne concernait les cookies, ces petits fichiers traceurs installer sur l’ordinateur des internautes pour analyser leur navigation (cookie Google Analytics par exemple), ou leur proposer de la publicité personnalisée.
Les nouvelles règles concernant la collecte et l’utilisation des cookies
Édictées par la CNIL le 1er octobre 2020, les nouvelles règles applicables à la collecte et l’utilisation des cookies sur internet vont entrer en vigueur au 31 mars.
Après un délai de six mois laissé par la CNIL pour s’organiser et se mettre en conformité, les mesures qui portent principalement sur le recueil du consentement vont entrer en fonction.
Ces mesures visent à clarifier les règles du recueil du consentement des internautes sur l’utilisation de leurs données de navigation, dans un but de ciblage publicitaire.
En théorie, les sites internet conformes au RGPD ne devraient donc pas avoir de problèmes, puisque le règlement de 2018 posait déjà ces mêmes règles du recueil du consentement.
Toujours est-il que sur certains sites, il semble parfois impossible de notifier son refus ou d’avoir une information précise et détaillée sur les cookies installés sur notre ordinateur.
La commission met donc en avant des règles sur lesquels les entreprises devront être vigilantes sur leur site internet :
- L’information claire des internautes avant l’acceptation des cookies
- La facilité de refus des cookies et autres fichiers traceurs
- La possibilité de modifier son consentement à tout moment
La simple poursuite de la navigation sur le site ne peut plus être considérée comme une expression valide du consentement de l’internaute.
Sans validation claire et sans équivoque de l’utilisateur, aucun traceur considéré comme non essentiel ne pourra donc être déposé sur son navigateur.
Après cette date butoir du 31 mars 2021, les contrevenants à cette réglementation s’exposent donc à des sanctions, pouvant aller jusqu’à une amende.
Besoin d’aide pour vous conformer au RGPD ?
Faites appel à des professionnels
Les mesures à prendre pour se mettre en conformité
Comme nous l’avons expliqué, tout l’enjeu pour la date butoir du 31 mars est de mettre en place sur votre site internet d’entreprise ou votre application mobile, un moyen d’informer vos utilisateurs de l’utilisation des cookies et la possibilité de pouvoir les refuser tout aussi facilement qu’ils peuvent les accepter.
Mettre en place un bandeau d’information
Un bandeau d’information concernant les cookies doit être mis en place sur votre site internet, pour permettre aux visiteurs de comprendre rapidement et facilement la demande de consentement à l’utilisation des fichiers traceurs.
Ce bandeau doit contenir une brève description de l’utilisation qui est faite des cookies, un lien redirigeant vers la page de politique de confidentialité et des boutons qui permettent de recueillir le consentement explicite de l’utilisateur (“J’accepte”, “Je refuse”, ou bien “Utiliser seulement les cookies nécessaires”).
Par ailleurs, l’utilisateur peut avoir la possibilité de régler manuellement les cookies.
Pour cela, il est nécessaire de cartographier et répertorier chaque traceur, en indiquant son nom, son fournisseur, sa finalité et sa durée de conservation.
Pour rappel, aucun cookie ne doit être installé avant d’avoir recueilli le consentement de l’internaute et aucune case ne doit être cochée par défaut.
Garder la preuve du consentement
Les entreprises doivent, pour être conforme aux réglementations de la CNIL, garder la preuve du consentement des internautes.
En effet, en cas de contrôle de la commission, ils doivent être en mesure de la présenter.
Chaque consentement ou refus à l’utilisation des cookies doit être conservé durant 6 mois.
Mettre à jour votre politique de confidentialité
Vous devez dans une page spécifique de votre site internet, afficher l’ensemble des méthodes utilisées pour la collecte de données, mais aussi mentionné leur utilisation (analyse du trafic, ciblage publicitaire…) et leur durée de conservation.
Le but étant de maintenir la conformité aux réglementations de la CNIL et du RGPD dans le temps, cette page doit être mis à jour régulièrement en cas de changement concernant la collecte et l’utilisation des données des internautes qui visitent votre site web.
Il est donc recommandé de désigner un délégué à la protection des données, interne ou externe à votre entreprise, qui sera chargé de maintenir de faire vivre la conformité sur la durée.
Bien que les cookies tiers sont amenés à disparaître progressivement, la publicité ciblée a encore un bel avenir devant elle avec l’apparition de nouvelles technologies permettant de tracker les utilisateurs de nos sites internet. Dans tous les cas, la mise en conformité au RGPD et aux réglementations de la CNIL est plus que nécessaire, dans un monde où la protection des données est en plein essor.