Cookies : comment être en conformité avec les règles de la Cnil ?
Publié par Floriane Salgues le | Mis à jour le
Au 31 mars 2021, au plus tard, les marques et leurs prestataires doivent être en conformité avec les règles sur les cookies et autres traceurs édictées, en octobre 2020, par la Commission nationale de l'informatique et des libertés. Les mesures portent principalement sur le recueil du consentement.
Branle-bas de combat dans l'univers des cookies. Alors que les cookies tiers sont amenés progressivement à disparaître, c'est l'entrée en application des lignes directrices de la Commission nationale de l'informatique et des libertés (Cnil) sur le consentement des utilisateurs à la publicité ciblée qui occupe, en cette fin mars, le haut de l'affiche. Au 31 mars 2021, dernier délai, les annonceurs et leurs prestataires devront être en conformité avec les nouvelles règles applicables à la collecte et à l'utilisation des cookies sur Internet. Ces dernières, édictées par la Cnil le 1er octobre 2020, portent principalement sur le recueil du consentement, "bête noire" des marques.
Alors, quelles sont les mesures incontournables pour être en règle ? Quels sont les réels changements par rapport au règlement général sur la protection des données (RGPD) ? Et, quelles sont les recommandations pour être prêts au 31 mars... et après ? Guillaume Tollet, Executive Director au sein de fifty-five, spécialiste des sujets de privacy (vie privée), et ex-Data Protection Officer (DPO) de l'agence de publicité Dentsu, décrypte les enjeux. Pour lui, c'est "une vraie deadline". "La Cnil a tellement communiqué sur le sujet et laissé du temps (6 mois) pour s'organiser et se mettre en conformité que le marché est préparé et prend ce jalon au sérieux. Les annonceurs devraient être prêts sur la partie site Web (à 90 %) ; par contre, il existe un retard sur les applications. C'est le parent pauvre de la priorité des marques."
Le contexte : la réglementation... mais pas seulement
Retour sur le contexte de dépôt des cookies, alors que l'année 2021 semble marquer un point de bascule. "Nous arrivons à une pression simultanée de trois dimensions", confirme Guillaume Tollet, qui cite en premier lieu le contexte réglementaire "qui s'est tendu ces dernières années avec, en France, le jalon du 31 mars 2021" : "La Cnil propose des règles sur les cookies probablement les plus restrictives au monde".
Deuxième dimension : technologique. "Les navigateurs vont plus vite que la loi, et même font la loi, poursuit l'Executive Director de fifty-five. Les plateformes technologiques peuvent décider de couper, via leurs navigateurs, l'accès à certaines données et à l'utilisation de certains cookies, dont les cookies-tiers." Ainsi, avec le déploiement d'ITP (Intelligent Tracking Prevention) sur Safari ou d'ETP (Enhanced Tracking Prevention) sur Firefox, et les récentes annonces de Google pour son navigateur Chrome, les traceurs n'accèdent déjà plus sur ces navigateurs aux third party data.
"La troisième dimension, qui est trop souvent oubliée dans le marketing digital est le comportement des utilisateurs, explique Guillaume Tollet. Or, ces dernières années, la perception de la sensibilité des données personnelles s'est accrue. Les cookies-tiers sont largement perçus comme intrusifs."
Les mesures de conformité à prendre
Dans ses lignes directrices, la Cnil met en avant deux règles à respecter : les utilisateurs doivent être informés avant l'acceptation des cookies et ils doivent pouvoir refuser les cookies et autres traceurs aussi facilement qu'ils peuvent les accepter, et ce, sur les sites web et les applications mobiles. Tout l'enjeu au 31 mars 2021, au plus tard, "est de recueillir le consentement pour les cookies et autres traceurs", résume Guillaume Tollet, qui considère que le changement pour les marques se fait sur quatre dimensions.
"La Cnil parle bien des cookies et des traceurs pour l'ensemble des assets d'une marque, c'est-à-dire sur les sites Web et sur les applications mobiles. Attention à ce dernier point : les annonceurs oublient trop souvent la mise en conformité sur les applications mobiles qui collectent aussi des données personnelles." Le deuxième point est l'aspect "explicite" du consentement, quand, jusqu'à présent, la poursuite de la navigation valait consentement implicite au recueil des cookies. Ainsi, "il n'est pas autorisé de déposer des cookies sur le terminal utilisateur sans que ce dernier ait appuyé sur un bouton "J'accepte", soit un acte positif de l'utilisateur."
Troisième mesure pour le professionnel : la nécessité de donner une capacité de refus des cookies dès le premier niveau d'information, avec un bouton "Je refuse" à côté de celui d'acceptation. "C'est le vrai Big Bang pour le marketing, car pour la première fois, il va être posé une vraie question à l'utilisateur où il répondra par "oui" ou par "non". Et c'est crucial : nous constatons qu'un site qui n'est pas optimisé ne peut avoir que 40 % d'acceptation sur les cookies", fait part l'Executive Director de fifty-five qui aide les annonceurs et les publishers à optimiser leurs bannières pour les rendre "plus sympathiques et design, avec un logo ou un texte plus simple et fluide". "Grâce à ces ajustements, nous arrivons, tout en restant dans la légalité, à optimiser le taux de consentement, de 35-40 % à 65 % en moyenne."
Quatrième dimension : garder la preuve du consentement pour être en capacité de la présenter à la Cnil lors d'un audit, sachant que la durée de conservation du consentement ou du refus est de 6 mois.
Quel(s) changement(s) par rapport au RGPD ?
Entré en vigueur le 25 mai 2018, le RGPD posait déjà les obligations en matière de recueil du consentement et du caractère personnel des données. Mais, "le RGPD ne concernait pas les cookies et les règles sur ces derniers n'étaient pas mises à jour, rappelle Guillaume Tollet. La Cnil remet à jour les règles des cookies par rapport aux rites du RGPD. Pendant presque 3 ans, les cookies ont vécu en parallèle par rapport au consentement. Il s'agit d'un réalignement."
Les recommandations pour être aux normes
Que faut-il avoir mis en oeuvre avant le 31 mars 2021 pour ne pas subir de sanctions de la Cnil ? Guillaume Tollet recommande la mise en place d'une Consent Management Platform (CMP) : "Ce n'est pas une obligation réglementaire, mais nous ne voyons pas comment il est possible, sans CMP, de gérer de manière industrielle, fine et pérenne la collecte du consentement sur un site Web et une application mobile. C'est un vrai gage de sérieux." Pour le professionnel, 3 grands acteurs dominent : OneTrust, Didomi et TrustCommander. Mais, avant le déploiement d'une CMP, "il faut auditer et cartographier tous les cookies et traceurs qui sont sur les sites Web et les applications mobiles ; puis les catégoriser - cookies analytics, publicitaires, réseaux sociaux, etc.", conseille-t-il.
Et après ? "Ce n'est que le début de l'histoire, prône Guillaume Tollet. Il faut maintenir dans le temps cette conformité sur les applications mobiles et les sites Web. C'est compliqué car les sites Web évoluent, avec de nouvelles pages, de nouveaux partenaires, de nouveaux produits ; il faut donc faire vivre cette conformité". Sur le sujet, il note un retard du marché qui ne semble pas avoir mis en place de gouvernance à multi-têtes (composée d'une personne de l'IT, une de la conformité digitale et une du marketing, par exemple) pour pérenniser la conformité dans le temps. Rendez-vous au 1er avril.