Cookies : que vont changer les nouvelles directives de la Cnil pour les entreprises ?
DONNÉES PERSONNELLES : VOUS AVEZ DES DROITS !
A SAVOIR:
La Cnil donne un délai d'un an aux entreprises pour modifier leur
politique de cookies sur leur site internet, avant de faire pleuvoir les
amendes. Ces dernières ne pourront plus tracer leurs visiteurs sans
recueillir leur consentement de manière beaucoup plus explicite
La Cnil ne plaisante plus. Le 28 juin, la Commission Nationale
informatique et libertés a publié son plan d'action relatif au ciblage
publicitaire, un an après l'entrée en vigueur du RGPD
et avant l'adoption d'une nouvelle directive européenne sur le sujet,
baptisée ePrivacy. Ses nouvelles lignes directrices remplaceront la
recommandation de 2013 sur les cookies et autres traceurs.
Ce sera ainsi la fin du soft opt-in, qui permet aux sites de recueillir le consentement des visiteurs sur la politique de cookie via la
simple poursuite de la navigation.
D'ici un an, les sites français
devront donc demander et recueillir un consentement explicite de la part
de leurs visiteurs s'ils veulent placer des cookies.
Pour comprendre
les enjeux de ce changement, entretien avec l'avocate Sonia Cissé, à la tête du département IT/TMT du cabinet d'avocats Linklaters.
LA TRIBUNE - Quelles entreprises sont touchées par ce changement ?
SONIA CISSÉ -
Les cookies permettent de reconnaître les utilisateurs, de tracer leur
navigation pour personnaliser les offres produits. Presque toutes les
entreprises qui ont un site Internet en font usage. Donc la nouvelle
réglementation concerne tous les secteurs, toutes les entreprises qui
utilisent des cookies, qu'il s'agisse des entreprises du digital mais
aussi les banques, les assurances ou les commerces en ligne, entre
autres.
Est-ce un progrès pour les internautes ?
Cette nouvelle obligation imposée aux entreprises leur donne un peu plus de pouvoir. Avec le soft opt-in,
le consentement était validé si le visiteur continuait à utiliser le
site. Avec les changements demandés par la Cnil, les personnes vont
devoir effectuer un acte positif, un clic sur une case dédiée, pour
valider leur consentement. Or, qui dit acte positif, dit également plus
grande connaissance des usages.
C'est ce que craignent certaines
entreprises : avec l'acte positif, l'information remonte d'un niveau, et
l'attention des utilisateurs sera plus orientée vers les pratiques des
entreprises. Alors que jusque-là, les visiteurs n'y faisaient pas
attention, et très peu d'entre eux lisaient les politiques de
confidentialité.
Que va changer l'interdiction du soft opt-in pour les entreprises ?
La
Cnil demande à des entreprises qui ont déjà fait une mise en conformité
au RGPD de modifier encore leur politique sur les cookies. Car
jusque-là, bien que contraire à l'esprit du RGPD, le soft opt-in n'était
pas clairement interdit. La question des cookies doit être abordée dans
le règlement européen ePrivacy, qui devait arriver en même temps que le
RGPD, mais qui a été reporté à 2020.
Les nouvelles règles de la Cnil
anticipent donc le futur règlement ePrivacy.
C'est un vrai
changement, au point que certains lobbys pensent qu'il s'agit d'une
menace pour le modèle économique de certaines entreprises du web.
Mais le contenu du règlement ePrivacy n'est pas encore gravé dans le
marbre. Il pourrait bouger par rapport à aujourd'hui, rien ne garantit
qu'on retrouve exactement le même contenu dans la version finale.
La
Cnil anticipe quelque chose qui n'est pas encore figé, elle pourrait
donc rétro-pédaler en 2020. Mais à mon sens, ce n'est pas probable.
La Cnil a donné un an aux entreprises pour opérer leur mise en conformité ? Est-ce suffisant ?
La
mise en conformité impose de rédiger de la documentation, de modifier
les procédures, et de former les salariés aux nouvelles obligations.
Beaucoup voient l'investissement financier, mais il y a surtout un
investissement humain fort, que les entreprises sont parfois réticentes à
effectuer.
Mais avec l'entrée en application du RGPD, tout un
écosystème de la mise en conformité s'est créé. Les plus grandes
entreprises peuvent faire appel à des cabinets d'avocats spécialisés.
Les plus petites entreprises qui n'ont ni les moyens ni les
ressources ont d'autres possibilités, comme faire appel à des
consultants externes.
Ensuite, le temps d'adaptation est très variable
selon la taille de l'entreprise, le nombre de traitements concernés, et
si le projet est porté au plus haut niveau de l'entreprise ou non. Mais
dans tous les cas, un an, c'est largement suffisant.
