Cookies & RGPD : les conditions du consentement

Alors que les cookies se multiplient sur le territoire numérique, le Comité européen de la protection des données à caractère personnel a précisé comment vous pouvez les déposer et comment recueillir le consentement des internautes.

ConditionsDuConsentement

D’après le RGPD, le « consentement » d’une personne se définit comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Aujourd’hui, d’après le Baromètre 2020 de la gestion des cookies dans le cadre du RGPD, 95% des sites déposent des cookies analytics sans consentement.

Si chez NumeriCité, nous rappelons qu’un tel dépôt est possible si l’analytics respecte les conditions de dispense posées par la CNIL et ne collecte que des données anonymisées, toute autre solution doit conduire l’acteur économique à évaluer si le consentement des personnes va remplir des critères de liberté, de spécificité, d’éclairage et d’univocité. Une manière pour chacun, dans l’esprit du RGPD, de devenir sa propre CNIL !

Consentement libre

La notion de consentement libre suppose avant tout que l’internaute :

  • Ne subit aucune restriction dans l’accès au service ou qu’il ne se sent pas obligé de consentir. S’il a le sentiment qu’il y aura des conséquences négatives à son refus, vous ne pourrez prétendre qu’il a consenti. D’ailleurs, le Comité précise qu’il vous reviendra de prouver que l’internaute n’a pas pu ressentir une telle pression… L’ambigüité est plutôt ici mauvaise conseillère.
  • Peut retirer son consentement aussi facilement qu’il l’a donné. Les modalités de retrait doivent être aussi simples que celles de recueil… Exit le consentement donné en un clic et le retrait à envoyer par lettre recommandée avec accusé de réception. Le consentement ne sera pas valable. Aujourd’hui, 3% des 100 sites les plus consultés permettent un retrait rapide en un clic.
  • Ne devrait pas être dans une situation déséquilibrée avec vous, comme dans le cas d’une relation de travail ou entre une personne publique et un administré. Dans ce cas, si vous voulez utiliser le consentement, il ne doit pas être nécessaire au service que vous proposez, ni à l’exécution d’un contrat.

Consentement spécifique

Une fois que vous vous êtes assuré de la liberté de votre internaute à consentir, il vous faudra vérifier qu’il a bien consenti spécifiquement au traitement de données.

Le consentement sera spécifique si :

  • Il est relatif à UNE finalité claire. Attention, cela ne signifie pas qu’il ne peut pas y avoir plusieurs opérations… Ainsi, je peux consentir à ce qu’on recueille mes données, qu’on les stocke et qu’on les utilise, mais seulement pour une finalité spécifique, celle de proposer des produits adéquats et personnalisés. Cela induit l’interdiction du recueil groupé en un seul consentement et des « Cookies Walls ».
  • Votre bandeau cookie détaille chaque consentement et sa finalité.

Consentement éclairé

Comment consentir sans comprendre ? Pour s’assurer d’un consentement éclairé, l’internaute doit bénéficier d’un certain nombre d’informations, dont certaines sont identiques aux informations déjà demandées par les articles 13 et 14 du RGPD, mais attention, vous ne pourrez mélanger les deux mentions d’informations.

Ainsi, l’internaute doit être informé de :

  • L’identité du responsable de traitement
  • L’objet de chaque cookie pour lequel le consentement est demandé
  • Son droit au retrait du consentement
  • Les éventuels transferts de données et risques liés aux transferts

L’internaute doit également avoir accès à une information claire et accessible. Vous devrez donc adapter votre information à l’auditoire que vous pensez atteindre. Si votre site est destiné à des enfants, vous devez rendre l’information claire selon la compréhension d’un enfant. Le langage utilisé devra être approprié. De la même manière si votre site est destiné à des personnes n’ayant pas une pleine maîtrise de la langue française.

Consentement univoque

Enfin, l’action de consentir doit être un acte positif clair. Il est écrit voire oral, mais la pratique risque de vous rendre la tâche plus complexe. Il ne peut cependant jamais être supposé, ou découler d’un silence. En d’autres termes, PAS de consentement implicite. Il faut rappeler à ce sujet, qu’il vous revient de prouver l’existence du consentement, ainsi tout consentement, devra être enregistré.

De plus, il faudra vous assurer que chaque internaute sait clairement qu’il consent, sans la moindre ambiguïté à ce sujet à travers un email, par exemple.

Prouver le consentement

Vous devez conserver la preuve du consentement. La CNIL a posé une limite maximum de 13 mois. Vous devez donc prévoir de conserver la trace numérique de la case à cocher ou du mail. Cela signifie que vous pouvez choisir de renouveler la demande de consentement dans un délai plus court, mais jamais plus long. Le renouvellement du consentement se déroule de la même manière qu’une première demande !