Depuis avril 2021, les bannières cookies au moment de se connecter pour la 1ère fois sur un site Internet ont sensiblement changé. Un nouveau choix est mis en évidence : « tout refuser » – ou « continuer sans accepter ». Pourquoi ce nouveau bouton apparaît-il soudain ? Parce que l’obligation de recueil du consentement est renforcée, le délai de clémence accordé par la CNIL pour se mettre en conformité RGPD est expiré !
L’exigence de consentement libre et éclairé renforcée
2018 : le RGPD, pour protéger la vie privée des personnes à l’heure du Big Data, vient réglementer la collecte et le traitement des données personnelles. 2021 : le règlement est toujours d’actualité, et certaines mesures sont renforcées.
Les points clés pour être conforme au RGPD :
- L’entreprise organise ses traitements et met en place des dispositifs de sécurisation des données personnelles qu’elle stocke.
- L’entreprise garantit les droits des personnes sur leurs données personnelles. La personne doit pouvoir facilement accéder à ses données, les rectifier, obtenir leur suppression…
- Les traitements de données personnelles se fondent sur une des 6 bases légales imposées par la CNIL. Parmi ces bases légales : le consentement libre et éclairé de l’internaute.
Depuis début avril 2021, la notion de recueil du consentement est renforcée, et notamment en matière de cookies et traceurs, un sujet dans la ligne de mire de la CNIL cette année.
Les nouvelles exigences de la CNIL en matière de cookies et traceurs
Les cookies et traceurs ont échappé au contrôle de la CNIL jusqu’à présent. Il était d’usage pour l’entreprise de les imposer, sur les sites et applications mobile, de manière subtile – à l’aide de bannières peu compréhensibles et sans bouton d’action accessible à l’internaute. 2021 change la donne : la CNIL émet de nouvelles recommandations et annonce des contrôles et des sanctions à l’encontre des contrevenants.
Les 5 bonnes pratiques à retenir pour être conforme :
- L’internaute doit consentir expressément au dépôt des cookies publicitaires, en cliquant sur un bouton « J’accepte », par exemple. Le simple fait qu’il poursuive sa navigation ne vaut pas consentement. Le consentement en outre doit être éclairé : l’internaute est informé des finalités des traceurs, ainsi que des utilisateurs de ces traceurs.
- A défaut de consentement express, l’entreprise ne peut déposer aucun traceur non essentiel.
- L’internaute doit pouvoir retirer facilement son consentement, dès qu’il le souhaite.« Refuser les traceurs doit être aussi simple que les accepter ». La CNIL insiste particulièrement sur ce point, et recommande de proposer ce bouton « Tout refuser » ou « Continuer sans accepter ».
- A tout moment, l’entreprise doit être en mesure de prouver que le recueil du consentement est libre et éclairé.
Le DPO pour s’assurer de la conformité RGPD
Les dernières recommandations de la CNIL viennent rappeler l’importance de la nomination d’un délégué à la protection des données (DPO) en entreprise. Dûment formé, cet expert RGPD sécurise l’entreprise et facilite la mise en place et le suivi des process.
- Le DPO, au fait de la loi, accompagne l’entreprise dans sa mise en conformité RGPD, eu égard à son activité et à la nature des données qu’elle traite.
- Le DPO assure sur la durée le suivi des process mis en œuvre. Alerte sur l’actualité de la CNIL, il permet à l’entreprise d’être toujours à jour de la réglementation.
- En collaboration avec la DPI, le DPO optimise les procédures de collecte et de traitement des données, pour accélérer le temps de traitement et réduire ainsi la charge de travail des collaborateurs.
Découvrez 10 bonnes raisons d’engager un DPO.