La question du moment, pour les organisations qui souhaitent à la fois profiter des opportunités de l’époque et se couvrir face à toute complainte, est la suivante : comment respecter les règles d’usage ainsi que l’utilisateur tout en continuant son activité et prospérer ?

Des cookies à la CNIL, en passant par le RGPD, l’écosystème juridique évolue vite et il devient difficile de rester en conformité sans y prêter une attention de chaque instant.

La grande question des Cookies

Les dernières évolutions de la CNIL

Avant d’entrer en détail dans les dernières actualités de la CNIL, rappelons les fondamentaux des cookies informatiques. Il s’agit d’un petit fichier (ou traceur) qu’un site web dépose sur le disque dur de l’internaute à son insu lorsque ce dernier le consulte, dans le but de conserver ses informations lors d’une connexion ultérieure.

En résumé, le cookie est une sorte de mouchard. Il est donc normal que de plus en plus, la législation oblige les sites web (et les entreprises qui les gèrent) à informer l’utilisateur sur la politique en matière de cookies. Ce n’est pas tout : depuis le RGPD (Règlement Général sur la Protection des Données) et sa mise en application en mai 2018, les sites doivent permettre à l’utilisateur de refuser les cookies.

Récemment, la CNIL a justement renforcé les règles en matière de cookies en complexifiant leur utilisation à des fins publicitaires. Les sites doivent désormais informer l’internaute de l’utilisation exacte faite de ses données.

Que se cache-t-il concrètement derrière “tout accepter” ou “tout refuser” ?

Si “tout accepter” en matière de cookies est souvent très simple (cela arrange bien le propriétaire du site), “tout refuser” est une option moins courante. En effet, cela augmente naturellement le nombre de personnes qui accepte les cookies par manque de temps, d’attention ou de clarté.

C’est en passe de changer : le refus des cookies doit devenir aussi simple à sélectionner que leur acceptation. L’acceptation des cookies ne peut plus être floue pour l’utilisateur, il doit pouvoir se sentir libre de tout accepter ou de tout refuser sans que l’une ou l’autre option soit encouragée.

Notons d’ailleurs le problème des “cookies wall”, cette approche design qui empêche l’internaute de naviguer sur le site s’il n’accepte pas les cookies. De nouvelles règles sont en cours d’application pour interdire cette pratique, mais elles ne sont pas encore actées.

La navigation privée est-elle une solution contre les cookies envahissants ?

Le mode “navigation privée” proposé par les navigateurs permettent d’explorer le web sans qu’aucun cookie ne soit installé sur l’ordinateur. C’est donc une solution pour les utilisateurs souhaitant éviter d’être suivis dans leur navigation. Bien sûr, la navigation privée ne rend pas l’internaute anonyme et le FAI comme l’Etat peut le retrouver via son adresse IP.Indiquer la finalité des données collectées est désormais une obligation légale

Suite aux dernières avancées réglementaires de la CNIL, la finalité des données doit désormais être précisée aux internautes. Pourquoi collecter une adresse postale, par exemple ? Si l’entreprise souhaite le faire via son site web ou l’inscription à un formulaire, elle doit pouvoir expliquer la raison exacte : par exemple envoyer un cadeau d’anniversaire par la Poste.

Dans le cas d’un numéro de téléphone, c’est pareil : il doit y avoir une bonne raison et même si ce n’est que pour envoyer des publicités par SMS, l’utilisateur doit en être informé (et pourquoi refuser bien sûr). Toute entreprise doit donc expliciter la finalité de chaque donnée collectée chez l’utilisateur, et cela doit se vérifier, il faut pouvoir prouver que tout processus a bien lieu.

EN SAVOIR PLUS

Les marques face aux durcissements de la législation

Toutes les marques ne sont pas égales face aux nouvelles règles de la CNIL et du RGPD. Les plus grandes organisations ont plus de mal à mener la transition (qui s’inscrit dans leur transformation digitale) car cela leur demande un travail conséquent.

Ces marques qui ont pris le virage à temps et avec brio

Pour permettre aux marques de se mettre facilement en règle, plusieurs extensions WordPress sont notamment proposées. C’est une solution qui n’adresse efficacement la question des cookies que pour les sites les plus simples et justement seulement ceux sur WordPress.

Pour les autres, il faut coder pour rendre mettre le site en conformité.

Bannière cookie “notification” comme Slack ou bannière “pop-up” comme Evian, plusieurs options s’offrent aux marques et les possibilités en matière de personnalisation sont vastes : en-tête, pied de page…

La page d'accueil du site de Slack avec la bannière de gestion des cookies

pop up de gestion de cookies sur le site d'Evian

En en-tête :
Gestion des cookies sur le site de Se Loger présenté en en-tête du site

En pied de page :
Gestion des cookies en pied de page sur le site de Airbnb

Des condamnations bien réelles et au-delà du symbolique

La CNIL a par exemple sanctionné la marque Spartoo après un contrôle en mai 2018. Le résultat était une sanction de 250 000 euros et une injonction sous astreinte de se conformer au RGPD dans les plus brefs délais. Plusieurs manquements ont été observés :

  • au principe de minimisation des données
  • à l’obligation de limitation de la durée de conservation des données
  • à l’obligation d’information des personnes
  • à l’obligation d’assurer la sécurité des données

Une condamnation qui n’est pas sans conséquence, donc.

Plus importante encore, la sanction infligée à Futura International : 500 000 euros pour ne pas avoir respecté les droits des personnes sollicitées dans le cadre d’opérations commerciales, du démarchage téléphonique illégal en d’autres mots.

Optical Center, Bouygues Telecom, ou encore Uber France, ont également été condamnés ces dernières années à plusieurs centaines de milliers d’euros d’amende pour avoir exposé des données suite à des failles de sécurité.

De nombreuses marques avaient déjà été sanctionnées dans de moindres mesures avant le RGPD et le durcissement des mesures de protection des données personnelles : CDiscount et Isotherm ont par exemple dû verser 30 000€ chacun pour démarchage abusif par email et par téléphone en 2009.

Mais alors que ces condamnations se multiplient, la tendance devrait s’accentuer et aucune entreprise n’est à l’abri… pour le plus grand bonheur des utilisateurs.

Alors que les sites internet et les entreprises ont jusqu’à 1er avril 2021 pour se conformer aux dernières évolutions de la CNIL, la suite des événements pourrait bien durcir encore le ton pour favoriser la protection des données personnelles des utilisateurs.

EN SAVOIR PLUS