La CNIL publie ses "nouvelles" règles sur le consentement à la publicité ciblée
Publié par Floriane Salgues le | Mis à jour le
La Commission nationale sur l'informatique et les libertés fait évoluer les règles applicables aux cookies sur Internet. L'autorité publie ses nouvelles lignes directrices et sa recommandation sur le consentement des utilisateurs à la publicité ciblée. Rien de (bien) neuf sous le soleil RGPD.
Le consentement est-il toujours la bête noire des marques ? Suffisamment pour que la Commission nationale sur l'informatique et les libertés (Cnil) se fende, le 1er octobre, de l'adoption de deux documents visant à clarifier les règles de recueil du consentement des internautes /utilisateurs quant à l'utilisation de leurs données de navigation à des fins de ciblages publicitaires. Après une phase de concertation avec les professionnels de la publicité en ligne, la Cnil publie donc des "lignes directrices" - rappelant les commandements en matière de collecte et d'utilisation des cookies -, et une "recommandation" sous forme de bonnes pratiques.
La Cnil estime que le délai de mise en conformité des éditeurs de sites à ces nouvelles consignes ne doit pas excéder 6 mois. Après le 31 mars 2021, les professionnels non "compliant" risquent des sanctions. Des mesures non révolutionnaires qui ne devraient, en théorie, pas poser problème aux éditeurs s'étant mis en conformité avec le règlement général sur la protection des données (RGPD) entré en vigueur en 2018, ainsi qu'avec la directive e-privacy de 2002, qui posaient déjà les (mêmes) bases du recueil consentement et du caractère personnel des données.
La Commission met en avant deux règles - déjà adoptées en 2019 - sur lesquelles les éditeurs de sites Web /mobiles et les professionnels de la publicité devront être particulièrement attentifs : l'information des internautes avant l'acceptation des cookies et la facilité de refus de ces cookies et autres traceurs. Crucial, quand les "bandeaux cookies" semblent tout faire pour inciter les internautes à "tout accepter".
Informer de l'objet de la collecte... avant la collecte
Ainsi, la Cnil rappelle qu'"avant que l'internaute accepte les cookies, le site doit l'informer, de façon claire et synthétique, de ce à quoi ils vont servir : publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d'information avec les réseaux sociaux". Pour aider les professionnels, la Cnil propose, via sa recommandation ("ni prescriptive, ni exhaustive", précise l'autorité), des modalités pratiques de recueil de consentement conforme.
Afin de présenter aux utilisateurs la finalité des traceurs et de leur donner le choix de consentir ou de refuser ces derniers, "la Commission recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d'un bref descriptif". La Cnil délivre ainsi quelques exemples, en fonction de chacune des finalités.
- Pour l'utilisation de cookies ou de traceurs pour afficher de la publicité personnalisée, la Cnil propose d'afficher le message suivant : "Publicité personnalisée : [nom du site / de l'application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d'afficher de la publicité personnalisée en fonction de votre navigation et de votre profil".
- Pour l'utilisation de cookies ou de traceurs pour afficher de la publicité adaptée en fonction d'une géolocalisation précise : "Publicité géolocalisée : [nom du site / de l'application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation".
- Pour l'utilisation de cookies ou de traceurs pour personnaliser le contenu éditorial : "Personnalisation de contenu : Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser le contenu éditorial [de notre site / application] en fonction de votre utilisation".
- Pour l'utilisation de cookies ou de traceurs pour personnaliser les produits et les services fournis mis en avant par l'éditeur : "Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser l'affichage de nos produits et services en fonction de ceux que vous avez précédemment consultés [sur notre site / application]".
Mais, une description plus détaillée des finalités est également nécessaire. Cette dernière doit, selon la Cnil, être facilement accessible depuis l'interface de recueil du consentement - par exemple, via un lien hypertexte appelant à afficher plus d'informations.
Parmi les consignes incontournables délivrées par la Cnil, il est aussi à retenir qu'il est indispensable de s'assurer que les utilisateurs soient en mesure de comprendre les options qui leur sont proposées, et ce, via, notamment, le choix du design du site ainsi que le vocabulaire utilisé pour les informer. En ce sens, la Cnil "encourage le développement d'interfaces standardisées". Les utilisateurs doivent également avoir connaissance de l'ensemble des responsables du (des) traitement(s) des données.
Donner la possibilité de refuser "facilement" les cookies
La deuxième règle sur laquelle la Cnil a choisi de communiquer est celle de la possibilité de refuser les cookies "aussi facilement qu'il lui est proposé de les accepter", explique la Cnil, se basant sur le récent jugement du Conseil d'État (CE, 19 juin 2020, n°434684, T.). La Commission détaille sur son site : "La CNIL estime donc que lorsqu'un seul clic est requis pour "accepter les cookies" tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l'internaute, qui souhaite généralement accéder rapidement au site, soit influencé."
En pratique, les modalités d'acceptation ou de refus de la collecte des données doivent donc être accessibles sur le même écran, au même niveau et au même format. Il est nécessaire que l'utilisateur puisse également choisir de cliquer sur un bouton "Continuer sans accepter" pour exprimer son refus d'être "tracé". Ce dernier doit également être informé des conséquences liées à son acceptation ou au refus des traceurs ; et de l'existence du droit de retirer son consentement.
La Commission recommande de conserver les choix de l'utilisateur (acceptation ou refus) pendant un délai de 6 mois, avant de solliciter à nouveau son consentement.
À lire aussi :