Les 5 points incontournables des nouvelles lignes directrices sur les cookies
Maxime JAILLETLa CNIL a publié ses nouvelles lignes directrices et recommandations. Le compte à rebours est lancé, vous avez 6 mois pour mettre vos sites web et applications en conformité RGPD. Pas de panique. Pour vous faciliter la tâche, on vous montre les principaux points et on vous fournit la liste des articles must-read de notre blog pour tout savoir et tout comprendre. C’est notre actualité marché du jour.
Des boutons « Tout accepter » et « tout refuser » dès le premier écran
L’utilisateur doit pouvoir que les éditeurs souhaitent pouvoir déposer.
Quid de donner un choix global :
- pour tous les cookies du site ;
- pour ceux liés à une finalité spécifique (publicité, réseaux sociaux…) ?
La l’accepte mais ses sont strictes.
Par exemple, sur le premier écran de l’(où l’on apprend les principales finalités des cookies déposés), il faut un bouton « tout accepter » et un bouton « tout refuser ».
A l’inverse, selon la Commission, « les interfaces de recueil du consentement qui nécessitent un seul clic pour tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement ».
Ce n’est donc pas interdit mais fortement déconseillé.
Ca tombe bien, ces recommandations rejoignent la philosophie du module de cookies d’Axeptio. Et si afficher dès ce stade un bouton de refus vous fait peur, consultez nos statistiques relatives aux taux d’opt-in. Elles sont très bonnes.
Le cookie wall, oui, mais au cas par cas
Hésitez-vous sur la forme que prendra votre interface de consentement ? Bandeau, bulle de notification, cookie wall ?
Suite à l’arrêt rendu par le Conseil d’État, la CNIL n’a pas pu interdire totalement cette pratique. L’analyse de conformité se fera donc au cas par cas.
Si ce format vous tente, consultez nos conseils pour faire un cookie wall privacy-friendly.
Une information claire sur les acteurs déposant des cookies via le site visité
Désormais, vous informez vos visiteurs pour tous les cookies déposés via votre site.
- Les vôtres ;
- ceux déposés par des fournisseurs de modules jouant un pur rôle de sous-traitant. Un prestataire de mesure d’audience par exemple.
Sauf que certaines sociétés déposent des cookies et collectent des données pour leurs besoins propres qui viennent se sur-ajouter aux vôtres :
- un fournisseur de réseau social ;
- une régie opérant un ciblage publicitaire multi-sites ;
- etc.
Ces sociétés ne sont pas de simples sous-traitants. Elles sont responsables de traitement, parfois responsables conjointement avec vous. Votre doit au minimum comprendre un lien listant ces sociétés.
Axeptio va de ce point de vue plus loin puisque l’on accepte ou refuse un cookie par finalité mais aussi en fonction de l’identité de son émetteur.
Haro sur les cookies multi-finalités
Comme beaucoup d’acteurs, vous utilisez peut-être les données de navigation en ligne pour mesurer votre audience mais aussi pour segmenter et cibler votre audience.
Techniquement, la tentation est grande d’utiliser le même cookie pour plusieurs finalités différentes. La CNIL recommande de ne plus le faire et de n’affecter qu’une seule finalité à chaque cookie.
- Cela permet d’être certain que les seront soumises à un consentement préalable. Au contraire des opérations de mesure du trafic du site.
- Le refus de consentement n’impacte pas les autres finalités. Votre visiteur peut parfaitement refuser la personnalisation des publicités diffusées sur le site mais accepter d’être comptabilisé comme visiteur du site.
Pas de dark patterns, pas de consent fatigue
Les la conduisent à rejeter toute pratique susceptible de ou faire revenir sur un choix de refus. Elle donne par conséquent beaucoup d’exemples inacceptables.
- Pas de rédaction ambiguë. En mettant à disposition une case cochable ou un interrupteur, vous demandez à l’utilisateur un choix concernant tel type de cookies ou tel type de cookie. La mention qui accompagne doit être claire. Une case non cochée, un interrupteur éteint veut dire que vous n’acceptez pas le dépôt du cookie et rien d’autre.
- Pas de rédaction compliquée. La mention doit être courte et claire, comme le reste de votre information. L’essentiel est dit en quelques phrases. Ne perdez pas l’utilisateur en l’obligeant à cliquer sur des liens et se noter dans trop d’informations.
- Les boutons « Accepter » et « refuser » doivent être mis sur un même pied d’égalité. Votre bouton d’acceptation ne peut pas être plus grand que l’autre, ou plus lumineux, ou d’une couleur plus vive. N’influencez pas les choix de votre audience.
- Si votre visiteur a refusé tous les cookies, n’affichez pas votre module de cookies jusqu’à ce qu’il revienne sur son choix ! Vous stockerez pendant au moins 6 mois les traces d’acceptation et de refus de vos visiteurs. Ce n’est qu’au terme de cette durée que vous pourrez solliciter votre utilisateur pour qu’il mette à jour ses choix.
- Votre interface de gestion de cookies doit être disponible à tout moment… par un moyen visible. Ne cachez pas le lien de réactivation du module au fin fond de votre politique de confidentialité. Votre utilisateur doit pouvoir revenir à tout moment et facilement sur ses consentements.
A ce sujet, consultez notre approche UX design de la gestion des cookies.
Que faire ? Surtout ne pas paniquer.
Vous avez 6 mois pour mettre en conformité vos sites web et applications mobiles au regard des nouvelles prescriptions de la CNIL.
- Dès à présent, vous pouvez être contrôlé par la CNIL. L’absence de recueil de consentement, des modalités d’opposition invalides ou une rubrique d’information sur les cookies incomplète pourront vous être reprochés.
- A partir de mars 2021, les contrôles porteront aussi sur les méthodes de recueil du consentement.
La fin progressive des cookies tiers est aussi un sujet qui doit vous conduire à revoir votre gestion des cookies.
Et si vous avez besoin d’aide, Axeptio est là, avec son module et son approche marketing de la gestion des cookies.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.