Ce 1er octobre 2020, la CNIL a publié ses nouvelles recommandations concernant le dépôt de cookies. Elles constituent la version définitive des recommandations publiées en janvier 2020 et destinées à une consultation publique.
La CNIL, en imposant un consentement actif de l’internaute et une transparence absolue sur la nature et la finalité des cookies, signe la fin d’une époque.
Le sujet des cookies s’annonce ainsi comme l’un des sujets clé des prochains mois, puisque la CNIL octroie six mois aux entreprises pour se mettre en conformité de ces nouvelles recommandations.
La CNIL fera-t-elle preuve d’un peu de souplesse pour l’application de ses recommandations dans une période ou le digital reste l’un des rares moyen de développement et de continuité d’activité pour de nombreuses sociétés ?
Pour garantir la validité du dépôt des cookies, il faudra désormais respecter les règles suivantes :
- Le consentement devra être un acte positif. Toute autre action devra être interprétée comme un refus.
- Les finalités des traceurs seront présentées aux internautes avant qu’ils ne se voient offrir la possibilité d’accepter ou de refuser (c’est-à-dire dans un premier niveau d’information).
- Les internautes devront être en mesure de prendre connaissance de la liste des entreprises qui déposent des cookies via le site qu’ils visitent (cela inclut les tiers).
- Le consentement devra être univoque (à l’aide de cases décochées par défaut).
- Le consentement sera libre (les internautes devront être en mesure d’accepter ou de refuser par finalités distinctes, et ce, même s’il existe un bouton général « tout accepter » et « tout refuser).
- Les modalités du refus sont confirmées : celui-ci devra être aussi facile que l’acceptation (la CNIL précise que si l’acceptation peut se faire en un clic, il devra en être de même pour le refus).
- La durée de conservation du consentement pourra varier, et devra être adaptée à la nature du site et à la spécificité de son audience. La CNIL recommande de conserver le choix de l’utilisateur pendant 6 mois.
- Les internautes devront être en mesure de retirer facilement leur consentement à tout moment.
- Les éditeurs de site devront être en mesure de prouver le recueil du consentement à tout moment.
- L’utilisateur devra être informé du dépôt des cookies exemptés de consentement, mais cette information pourra se limiter à un second niveau d’information.