Découvrez nos offres pour faire du digital le levier de votre croissance !
Téléchargez le Guide Ultime de gestion de projet digitale pour vous aider à piloter vos transformations et faire les bons choix !
Le délai de mise en conformité avec les directives de la CNIL est arrivé à son terme. Au 31 mars 2021, toutes les organisations doivent désormais strictement être conformes aux directives de la CNIL. Si vous ne l'avez pas encore fait, cet article vous donne tous les éléments de mise en oeuvre.
Quelles sont les obligations pour toutes les entreprises ?
Le 1er octobre 2020, la CNIL avait publié ses recommandations pratiques pour l’utilisation des cookies et autres traceurs en conformité avec la directive ePrivacy et le RGPD. Les entreprises avaient jusqu’au 31 mars 2021 pour se mettre en conformité et respecter à la fois la loi du 6 janvier 1978 et le RGPD en matière de cookies et de traceurs.
Ces dernières années, un certain nombre de lois et de règlements ont tenté d'encadrer et d'harmoniser le traitement de nos données sur internet. Le Règlement Général sur la Protection des données (RGPD), texte majeur entré en vigueur en 2016 et appliqué depuis 2018, fixe les conditions dans lesquelles les données personnelles peuvent être recueillies, stockées et traitées. Ce texte conforte aussi les droits des personnes et établit de nouvelles obligations pour les organisations qui gèrent cette data, accompagné de sanctions en cas de manquement de leur part.
Ces lois n’étant pas toujours simple à combiner dans le fonctionnement quotidien d'un site web, la CNIL (Commission nationale de l'informatique et des libertés) joue un rôle majeur de pédagogie avec ses recommandations destinées à aider les professionnels à comprendre comment les appliquer efficacement et garantir la conformité de leur site Web.
C’est simple : tout organisme, public ou privé, quels que soient sa taille, son pays de résidence, son activité et qui traite des données personnelles pour son compte peut être concerné :
Ou que son activité cible directement des résidents européens.
La CNIL exige que les entreprises fassent preuve de transparence concernant l’utilisation de nos données. Lorsqu’on visite un site internet, des données sont stockées dans le but de les exploiter directement ou indirectement pour proposer des publicités personnalisées.
Désormais la commission nationale fait du ciblage publicitaire un sujet prioritaire. En tant que professionnel et propriétaire d’un site web, il est nécessaire de comprendre ces exigences et d’être en règle vis-à-vis de la loi.
Sans plus attendre, découvrons en détail les recommandations à appliquer pour être RGPD compliant.
Concernant le consentement des utilisateurs :
Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment :
Refuser les traceurs doit être aussi facile que de les accepter. La présence des boutons “Accepter” et “Refuser” sur les bandeaux cookies est fortement recommandée.
Concernant l’information des personnes :
Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
La pratique du “cookie wall” c'est-à-dire subordonner l’accès à un site web à l’acceptation de dépôt des cookies est interdite sauf dans certains cas (l’information fournie à l’utilisateur devra alors indiquer clairement les conséquences de ses choix).
Pour plus d’informations,
Dès fin avril 2021, la CNIL va lancer une campagne de tests et audits de sites web en partie automatisés afin de vérifier leur conformité au RGPD. Cette nouvelle mesure mise en place pour encadrer le respect du traitement et de la protection des données personnelles dans la cadre d’une activité professionnelle risque de bouleverser certains sites. Dorénavant c’est à distance que la plupart de ces contrôles se feront par les gendarmes de la protection des données !
Les atteintes à la législation peuvent ainsi concerner :
Des contrôles automatiques, plus sévères et aléatoires, risquent d’impacter fortement les professionnels si la CNIL considère un manquement aux règles en vigueur du RGPD.
En principe, les sites non conformes se verront attribuer de lourdes pénalités : les administrations s’exposent à des amendes de 20 millions d’euros et les entreprises à des amendes à hauteur de 4 % de leur chiffre d'affaires.
Découvrez aussi notre kit de survie RGPD !
Avec un nombre considérable d’utilisateurs qui pourrait refuser le dépôt des cookies, les impacts ne seraient pas négligeables pour les principaux leviers du marketing digital :
Erreur 404. Désolé, aucun cookie n'a été trouvé...
Google Analytics, dont la version 4 a récemment été lancée ; est un exemple de solution qui n'a pas été conçu selon les principes du respect de la vie privée. Le service de Google a dû être modifié lorsque le RGPD est entré en vigueur pour ajouter un outil à la disposition des utilisateurs de manière à anonymiser les IP, qui étaient collectées et analysées pour fournir une analyse détaillée du trafic sur le site internet. Ce qui est contraire à la protection des données personnelles.
Pour continuer de mesurer votre trafic efficacement, nous vous recommandons de mettre en place des outils comme Matomo, AT internet, Fathom Analytics, Simple Analytics… qui permettent de disposer de données analytics tout en respectant les exigences de la CNIL.
La CNIL a été très claire par rapport à la nécessité d’être en conformité à partir du 1er avril 2021 et l’importance du recueil de consentement des cookies.
L’évolution des règles applicables, ainsi clarifiées, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.
Quelles sont les exigences du RGPD ? Et qu’est-ce qu’un bandeau cookie non conforme ?
Un avertissement de cookies conforme au RGPD donne des informations sur les cookies en fonctionnement sur le site. Un bandeau de consentement conforme informe l'utilisateur sur les cookies utilisés, leur objectif, et leur durée, ainsi que sur la possibilité d'empêcher l’activation.
Concernant la demande de droit consentement et de droit de collecte, il y a quelques bons réflexes à adopter qui permettent à la fois d’être en règle, de se différencier au niveau de l'arborescence et de garantir une navigation optimale auprès de vos utilisateurs.
La CNIL accompagne sa recommandation de quelques conseils ergonomique dont :
Les entreprises ont donc un rôle de transparence vis-à-vis des visiteurs sur les différents types de cookies et traceurs :
Ces derniers correspondent à l’analyse de performance et de mesure d’audience. Ils permettent au propriétaire d'un site de mesurer les modèles de trafic pour déterminer les pages les plus visitées. Ces données permettent également de comprendre les habitudes des visiteurs afin d’améliorer les services et produits en ligne.
Ce sont notamment :
Important : La CNIL insiste sur le fait que ces informations doivent impérativement être présentes dès la page d’arrivée avec le bandeau.
Concernant la durée de vie des cookies : elle estime important que celle-ci soit limitée dans le temps. Un délai de validité du consentement au dépôt des Cookies de 13 mois au maximum est recommandé. Passé ce délai, le consentement devra être à nouveau recueilli.
On vous recommande dès à présent de :
Comme annoncé fin 2020, la CNIL confirme que le délai de mise en conformité doit se faire courant avril.
Bien que l'urgence est à la mise en conformité avec les directives de la CNIL, celle-ci ne doit pas pour autant être perçue comme une contrainte mais plus comme une opportunité fonctionnelle. D’une part, l’utilisation des données récoltées sur votre site est optimisée, d’autre part, vos utilisateurs seront rassurés par votre investissement et plus enclins à naviguer sereinement sur vos pages.
Prêt à appliquer ces bonnes pratiques pour être conforme au RGPD ?