Pour la troisième fois, la CNIL fait évoluer les règles applicables au recueil du consentement, clarifiées par les lignes directrices et la recommandation, pour mieux réguler la publicité en ligne et pour donner aux internautes un meilleur contrôle sur les traceurs en ligne. Le Règlement général sur la protection des données a défini la notion de consentement et l’obligation de le recueillir, mais tout navigateur au long cours du web peut constater que les acteurs du web ont multiplié les chicanes pour décourager les internautes. Sachant que l’internaute moyen est pressé d’accéder à l’information, les développeurs web ont tout fait pour obtenir un consentement rapide en affichant en grand les boutons « Tout accepter ».
Face à ces abus, La CNIL a adopté des lignes directrices en plusieurs étapes. Le 4 juillet 2019, elle a adopté des lignes directrices rappelant le droit applicable. Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’État.
En parallèle, la CNIL a également décidé d’établir, à l’issue d’une concertation avec les professionnels et la société civile, un projet de recommandation. Ce projet a été soumis, le 14 janvier dernier, à une consultation publique, dont les apports ont permis d’enrichir la version finalement adoptée le 17 septembre 2020.
Repréciser les modalités pratiques du recueil du consentement
Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer les acteurs utilisant des traceurs sur les modalités concrètes de recueil du consentement de l’internaute. Concernant le consentement, la CNIL rappelle que la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute. Les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Cependant, elle recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter », mais aussi un bouton « tout refuser ».
Elle suggère aussi que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites. En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
Un délai de mise en conformité de six mois
Certains traceurs sont cependant exemptés du recueil de consentement, comme les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.
La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy. Le régulateur leur donne un délai de six mois pour se mettre en conformité, soit au plus tard fin mars 2021.