À compter de fin mars 2021, les entreprises doivent se mettre en conformité afin de répondre aux exigences du RGPD et de la directive ePrivacy en matière de politique cookies.
Votre cabinet d’avocat HASHTAG Avocats vous détaille les changements à opérer pour être en conformité avec les exigences du RGPD et de la directive ePrivacy.
Pour rappel, le RGPD est un texte réglementaire européen encadrant le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne. La directive ePrivacy est une directive qui vient compléter le règlement RGPD applicable au secteur des communications électroniques.
Conformément aux exigences du RGPD de mai 2018, les entreprises doivent faire apparaitre sur leur site des outils de gestion de consentement, et ce, notamment concernant le dépôt de cookie. Toutefois, ce règlement était trop sujet à interprétations.
En effet, certains sites faisaient du « soft opt-in », c’est-à-dire que le seul fait de passer à la page suivante sur le site web était assimilé à une collecte du consentement de l’utilisateur pour que soit ensuite déposer des cookies. D’autres sites ne récoltaient même pas le consentement de leur utilisateur.
Afin de remédier à ces différentes interprétations et de clarifier la situation en la matière, la CNIL a adopté de nouvelles lignes directrices notamment :
- Le soft opt-in n’est plus toléré. Dès lors, l’utilisateur du site internet devra explicitement consentir aux cookies en cliquant sur les mentions telles que « j’accepte » ou « je refuse ».
- L’utilisateur doit pouvoir tout aussi aisément refuser les cookies. Ce dernier doit pouvoir changer d’avis facilement.
- Jusqu’alors, certains sites internet ne permettaient pas aux utilisateurs d’exprimer leur avis aussi facilement. Le refus notamment de consentir n’était pas aussi simple que l’acceptation. Pour faire valoir son refus ou même pour émettre des réserves, l’utilisateur devait consulter un onglet spécifique tel que « en savoir plus ».
- D’après ces nouvelles directives, les utilisateurs doivent être complètement informés de l’usage qui sera fait de leurs données. La finalité de la collecte doit être communiquée, ainsi que la liste des partenaires qui utiliseront ces données et les conséquences qui s’attachent à un refus ou une acceptation des traceurs.
Ces nouvelles mesures étaient appliquées la fin mars 2021.
Elles auront nécessairement une conséquence non négligeable notamment concernant la pratique du soft opt-in qui était très répandue : la chute du taux de consentement, impliquant inévitablement une baisse du volume de données récoltées.
Quelles données seront impactées par la mise en conformité au RGPD et à la directive ePrivacy ?
Dès lors, fin mars 2021 3 types de cookies étaient impactés :
1. Les cookies « statistiques » (ou de performance) qui sont déposés par des outils informatiques et qui permettent d’analyser les sites web. Sans ces cookies, il sera difficile, voire impossible d’avoir une visibilité sur les performances d’un site. Seules les visites des utilisateurs ayant consenti à ces cookies seront prises en compte. À cette constatation, il est possible d’apporter une nuance, il sera possible de déposer ces cookies mais de manière anonyme. Il sera primordial de mettre en place ces réglages, comme l’anonymisation de l’adresse IP.
2. Les cookies de fonctionnalités permettent de personnaliser l’expérience des utilisateurs en leur proposant des produits déjà consultés. Sans ces cookies, le parcours de l’utilisateur sera plus difficile à être fluidifié.
3. Les cookies publicitaires, déposés par des publicitaires et permettent aux régies de mesurer le nombre de ventes directes d’une campagne publicitaire. Sans eux, il sera impossible pour une régie de prouver son efficacité.
Ce sera sans doute un coup qui leur sera porté, car certaines marques ne peuvent pas survivre sans collecte des données. C’est le cas des médias ou les comparateurs de prix…
C’est ainsi que la CNIL s’est adressée à un certain nombre d’organismes publics, pour les inciter à procéder rapidement à un audit de leurs sites web et applications mobiles afin d’engager si nécessaire, des actions permettant de répondre aux exigences de la réglementation.