OPT-IN OPT-OUT : Quelles sont les règles RGPD sur les sites web, cookies et autres traceurs ?

Respecter le choix de vos clients est un gage de bonnes relations commerciales. D’ailleurs, la délibération du 4 juillet 2019, publiée au Journal Officiel, marque un renforcement du consentement des utilisateurs sur les cookies et autres traceurs.

En effet, nous avons déjà publié un article plus général sur l’opt-in et l’opt-out et vos obligations vis-à-vis de vos prospects et clients en fonction de vos activités BtoC (Activité directe avec le consommateur) ou BtoB (Activité entre entreprises).

Désormais, dans cet article, nous allons décrypter le texte législatif du 4 juillet 2019 et vous apportez les éclaircissements nécessaires sur les règles à mettre en place sur les sites web d’ici les 12 prochains mois à compter du 4 juillet 2019.

Pour mémoire, les cookies et autres traceurs permettent de tracer, reconnaître les utilisateurs, de suivre leur navigation pour personnaliser vos offres produits, modifier les pages de votre site web et améliorer votre positionnement web. Derrière votre site web, il y a de forte probabilité que se cachent des outils qui vont permettre une meilleure compréhension du parcours de vos clients sur votre site web ou votre site de e-Commerce. Si c’est le cas, vous êtes concernés.

En publiant cette délibération, la CNIL anticipe sur 2020 et la sortie du futur règlement ePrivacy (complément au RGPD, en cours d’examen au parlement européen).

Avec l’arrivée de cette délibération, vous devez adapter vos process, vos outils et revoir vos demandes de consentements.

Table des matières masquer

1. Où et quand l’utilisateur doit-il donner son consentement ?

2. Comment obtenir le consentement de l’utilisateur ?

2.1. … de manière libre :

2.2. … de manière spécifique :

2.3. … de manière éclairée :

2.4. … de manière univoque :

3. Ce qu’il ne faut pas faire :

4. Comment obtenir la preuve du consentement ?

5. Comment refuser ou retirer son consentement ?

6. Quelles sont les responsabilités des acteurs ?

7. Mon navigateur web me permet de paramétrer ma vie privée sur internet, est-ce suffisant ?

8. Quelles sont les obligations sur les traceurs de mesure d’audience ?

9. Quelles sont les opérations qui ne nécessitent pas l’obtention du consentement ?

10. En résumé, 1 minute pour comprendre ce que dit la délibération de la CNIL du 04 juillet 2019

Où et quand l’utilisateur doit-il donner son consentement ?

L’utilisateur doit avoir donné son consentement au recueil de ses données avant toute autre action sur le site quelque soit

le terminal (tablette, smartphone, ordinateur et tout autre objet connecté à un réseau de télécommunication ouvert au public)
le mode de connexion utilisé ;
les systèmes d’exploitation et les logiciels applicatifs ;

Comment obtenir le consentement de l’utilisateur ?

« Les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, … »

… de manière libre :

Le consentement est valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement.

Pour rappel, toute action qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi n’est pas conforme au RGPD.

… de manière spécifique :

Le consentement doit être indépendant et spécifique pour chaque finalité.

… de manière éclairée :

L’information doit être rédigée de façon simple et compréhensible et doit permettre aux utilisateurs d’être informés des différentes finalités des traceurs utilisés.

L’information doit être complète, visible et mise en évidence au moment du recueil du consentement. Les informations sont à minima :

l’identité du ou des responsables de traitement ;
la finalité des opérations de lecture ou écriture des données ;
l’existence du droit de retirer son consentement.

… de manière univoque :

Le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer.

Ce qu’il ne faut pas faire :

Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable.

En complément, La CNIL considère également que l’utilisation de cases pré-cochées, tout comme l’acceptation globale de CGU ou le renvoi vers celles ci ne peuvent être considérées comme un acte visant à donner son consentement.

Comment obtenir la preuve du consentement ?

Évidemment, le consentement doit être démontrable, les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer qu’ils ont valablement recueilli le consentement des utilisateurs.

Comment refuser ou retirer son consentement ?

En effet, des solutions « conviviales » doivent être mises en œuvre pour que les personnes puissent retirer leur consentement aussi facilement qu’elles ont pu le donner.

Quelles sont les responsabilités des acteurs ?

Chacun des Responsables de traitements (uniques ou conjoints) est responsable de l’obligation de recueillir le consentement et chacun définit ses obligations.

Znfin pour un sous-traitant, la CNIL rappelle qu’un « contrat » précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD.

Mon navigateur web me permet de paramétrer ma vie privée sur internet, est-ce suffisant ?

Cela n’est pas suffisant. En effet, les outils ne permettent pas de distinguer les différentes finalités de traitements et donc de consentir de manière spécifique son accord pour chaque finalité.

Quelles sont les obligations sur les traceurs de mesure d’audience ?

La CNIL considère qu’ils peuvent bénéficier de cette exemption au recueil du consentement, sous conditions :

ils doivent être mis en œuvre par l’éditeur du site ou par son sous-traitant ;
la personne doit être informée préalablement à leur mise en œuvre ;
elle doit disposer de la faculté de s’y opposer facilement. Aucune opération de lecture ou d’écriture ne doit avoir lieu sur le terminal depuis lequel la personne s’est opposée ;
la finalité du dispositif doit être limitée à (i) la mesure d’audience du contenu visualisé, (ii) la segmentation de l’audience du site web en cohortes afin d’évaluer l’efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d’un site de façon globale.

Les données à caractère personnel (DCP) collectées ne doivent pas être recoupées avec d’autres traitements ni transmises à des tiers. Aussi, l’utilisation des traceurs doit également être limitée à la production de statistiques anonymes.

l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville. L’adresse IP collectée doit également être supprimée ou anonymisée par la suite ;
les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum.

Quelles sont les opérations qui ne nécessitent pas l’obtention du consentement ?

L’exigence du consentement préalable ne s’applique pas si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ou
est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Mais est-ce que l’utilisateur peut s’opposer à l’utilisation de ces traceurs alors dans ces cas de figure ? La loi n’impose pas non plus d’offrir la possibilité de s’opposer à l’utilisation des traceurs dans ce cadre-là.

Toutefois, dans le cadre de la transparence, les utilisateurs doivent être informés de leur existence et de leur finalité en intégrant, par exemple, une mention dans la politique de confidentialité des organisations y ayant recours.

En résumé, 1 minute pour comprendre ce que dit la délibération de la CNIL du 04 juillet 2019

L’utilisateur doit être informé de la finalité du traitement, information que vous devez stipuler dans votre politique de confidentialité entre autres.

L’utilisateur doit être informé des moyens dont il dispose pour s’y opposer : informations qui doivent aussi se retrouver dans votre politique de confidentialité.

Nous vous invitons à vérifier vos accords avec vos sous-traitants, prendre les mesures adéquates sur vos applications mobiles ou sites web pour être en conformité avec la législation en vigueur sur les cookies ou autres traceurs et cela vous permettra aussi d’améliorer votre confiance auprès de vos futurs clients. Vous avez jusqu’au 4 juillet 2020 pour travailler sur cette disposition.

Face à vos obligations et en cas de manquement la CNIL rappelle qu’elle peut prendre toutes mesures correctrices et sanctions vis-à-vis des organismes qui y sont soumis.

Bien sûr, nous vous invitons à partager, liker cet article sur vos réseaux respectifs et à nous suivre sur vos réseaux sociaux préférés.

← Opt-in ou Opt-out ? Comment se mettre en conformité RGPD ? Comment avoir un site internet conforme au RGPD ? →

0 commentaires

Comprendre les données sensibles : Protégez votre vie privée grâce à la RGPD

Dans notre monde numérique interconnecté, nos données personnelles sont collectées et traitées à grande échelle. Certaines de ces données sont particulièrement sensibles et nécessitent une protection renforcée :...

Lire plus

Pourquoi un DPD est nécessaire ?

Introduction : Dans un monde de plus en plus numérisé et connecté, la protection des données personnelles est devenue un enjeu majeur. Toutes les entreprises sont concernés par le RGPD. Le RGPD ( règlement général européen sur la protection des données) a été mis en...

Lire plus

C’est quoi le registre de traitement ?

Le registre de traitement est un élément clé du Règlement Général sur la Protection des Données (RGPD). Il s'agit d'une législation de l'Union Européenne qui vise à protéger la vie privée. Ainsi que, les données personnelles des citoyens de l'UE. Le registre de...

Lire plus

Les conséquences du télétravail sur le RGPD

Le télétravail depuis la pandémie Le télétravail est de plus en plus répandu dans le monde professionnel, notamment depuis la pandémie de Covid-19. De plus, , cette pratique soulève des questions sur la protection des données personnelles des travailleurs. Et sur les...

Lire plus

RGPD : Combien de temps conserver les données ?

De nos jours, nous produisons et stockons une quantité incroyable de données, que ce soit à titre personnel ou professionnel. Les lois et réglementations en matière de protection des données ont également un rôle important à...

Lire plus

Les obligations RGPD pour le sous traitants

Le Règlement général sur la protection des données (RGPD) est entré en vigueur en mai 2018 et a apporté des changements significatifs dans la façon dont les entreprises collectent, traitent et stockent les données personnelles des citoyens de l'Union européenne. Les...

Lire plus

Quels sont les risques en cas de vol de données ?

Le vol de données peut entraîner une perte de réputation pour l'entreprise. Les clients et les partenaires commerciaux peuvent perdre confiance dans l'entreprise. Si celle-ci n'est pas en mesure de protéger leurs informations personnelles. Les entreprises peuvent...

Lire plus

Comment créer une politique de confidentialité ?

De nos jours, la confidentialité est un aspect crucial pour la gestion des entreprises. Car en effet la protection des données des clients et des employés est devenue une priorité. C'est pourquoi il est essentiel de mettre en place une politique de confidentialité....

Lire plus

Comment protéger vos donnés

La chose la plus précieuse concernant les appareils et les réseaux que vous utilisez sont les données que vous créez et stockez dessus. Les applications et les systèmes d'exploitation peuvent toujours être réinstallés, mais les données créées par l'utilisateur sont...

Lire plus

RGPD : se préparer en plusieurs étapes

Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL disparaissent. Voici le règlement général sur la protection des données de la CNIL . Les organismes doivent désormais assurer une protection optimale des données...

Lire plus

Cookie	Type	Durée	Description
_GRECAPTCHA		5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement		1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics		1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-functional		1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary		1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary		1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non-necessary".
cookielawinfo-checkbox-others		1 year	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
CookieLawInfoConsent		1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID		past	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
PHPSESSID		session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	0	1 heure	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l’utilisateur a consenti ou non à l’utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Type	Durée	Description
_ga	0	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer le visiteur, la session, les données de campagne et de garder une trace de l’utilisation du site pour le rapport analytique du site. Les cookies stockent les informations de manière anonyme et attribuent un numéro généré aléatoirement pour identifier les visiteurs uniques.
_ga_*		1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_gat_gtag_UA_*		1 minute	Google Analytics sets this cookie to store a unique user ID.
_gat_UA-85552302-1	0	1 minute	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_gid	0	1 jour	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport analytique sur la façon dont le site Web fonctionne. Les données recueillies, y compris le nombre de visiteurs, la source d’où ils viennent, et les pages visitées sous forme anonyme.
AnalyticsSyncHistory		1 month	Linkedin set this cookie to store information about the time a sync took place with the lms_analytics cookie.
browser_id		5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
FPID		session	Google Tag Manager sets this cookie for server-side tagging.
FPLC		session	Google Tag Manager sets this cookie for tracking between domains.
ln_or		1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
uvc	0	1 jour	Le cookie est défini par addthis.com pour déterminer l’utilisation du service Addthis.com.

Cookie	Type	Durée	Description
_fbp	0	2 mois	Ce cookie est défini par Facebook pour diffuser de la publicité lorsqu’ils sont sur Facebook ou une plateforme numérique alimentée par la publicité Facebook après avoir visité ce site Web.
fr	1	2 mois	Le cookie est défini par Facebook pour montrer des publicités pertinentes aux utilisateurs et mesurer et améliorer les publicités. Le cookie suit également le comportement de l’utilisateur sur le web sur les sites qui ont Facebook pixel ou Facebook social plugin.

Cookie	Durée	Description
_splunk_rum_sid	15 minutes	Description is currently not available.
CONSENT	16 years 6 months 14 days 8 hours	No description
cookielawinfo-checkbox-publicite	1 year	No description available.
CX_259903190	1 year	No description
ep201	30 minutes	This cookie is set by the provider Surveymonkey. This cookie is used for statistical analysis and website optmization. It gathers information on user's interaction with the SurveyMonkey- Widget on thewebsite.
ep202	3 months	This cookie is set by the provider Surveymonkey. This cookie is used for statistical analysis and website optmization. It gathers information on user's interaction with the SurveyMonkey- Widget on thewebsite.
ep203	3 months	No description available.
smcx_0_last_shown_at	session	No description available.
smcx_259903190_last_shown_at	session	Description is currently not available.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Cookie	Durée	Description
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser IDs.
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
li_sugr	3 months	LinkedIn sets this cookie to collect user behaviour data to optimise the website and make advertisements on the website more relevant.
scribd_ubtc	10 years	Scribd sets this cookie to gather data on user behaviour across several websites and maximise the relevancy of the advertisements on the website.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Où et quand l’utilisateur doit-il donner son consentement ?

Comment obtenir le consentement de l’utilisateur ?

… de manière libre :

… de manière spécifique :

… de manière éclairée :

… de manière univoque :

Ce qu’il ne faut pas faire :

Comment obtenir la preuve du consentement ?

Comment refuser ou retirer son consentement ?

Quelles sont les responsabilités des acteurs ?

Mon navigateur web me permet de paramétrer ma vie privée sur internet, est-ce suffisant ?

Quelles sont les obligations sur les traceurs de mesure d’audience ?

Quelles sont les opérations qui ne nécessitent pas l’obtention du consentement ?

En résumé, 1 minute pour comprendre ce que dit la délibération de la CNIL du 04 juillet 2019

0 commentaires

Ajouter DigitandCo sur votre terminal