Après avoir (longtemps) fait preuve de patience, la CNIL semble désormais déterminée à faire respecter le RGPD, le Règlement général sur la protection des données. Cases pré-cochées, bouton permettant de refuser le recueil des données enfoui sous des couches de réglages… Les entreprises rusent de nombreuses façons pour obtenir le consentement des internautes quant à la récolte de leurs données personnelles. Jusqu’à présent, la Commission nationale de l’informatique et des libertés s’était contentée de sanctionner de façon symbolique les entreprises dérogeant au RGPD, alors même qu’elle a la possibilité d’imposer des amendes allant jusqu’à 4% du chiffre d’affaires. Face aux abus, la CNIL sonne la fin de la récrée.
Presque 9 sites sur 10 ne respectent pas le RGPD
Plus de 18 mois après son entrée en vigueur, le RGPD est encore loin d’être respecté. Cette réglementation européenne stipule que la récolte et le traitement des données personnelles ne peuvent être effectués sans le consentement libre, explicite et éclairé de l’internaute. Or, une récente étude réalisée par des chercheurs du MIT estime que plus de 88% des sites internet y dérogent allégrement.
Encore trop de cases pré-cochées
Une majorité de sites internet auraient encore recours aux cases pré-cochées, qui nécessitent une action de l’utilisateur pour retirer son consentement. Problème : cette pratique est strictement interdite par la Cour de Justice de l’Union européenne, pour qui les cases pré-cochées vont à l’encontre de la notion de consentement « libre, spécifique, éclairé et univoque ». A proscrire, donc.
De manière générale, de nombreux sites internet redoublent d’imagination pour faire en sorte que le fait de refuser la collecte de ses données personnelles demande bien plus d’effort que de l’accepter. Ainsi, il n’est pas rare que le bouton « Refuser » soit caché sous des montagnes de textes, peu visible, contrairement au bouton « Accepter », bien mis en évidence et dans les pires des cas, déjà coché.
Les recommandations de la CNIL en matière de RGPD
Face aux abus, la CNIL vient de lancer une consultation publique sur son projet de recommandation portant sur le recueil des données personnelles. Son objectif : faire en sorte qu’il soit aussi facile d’accepter un cookie que de le refuser. Les recommandations de la CNIL pour être en conformité avec le RGPD sont les suivantes :
- La finalité de chaque traceur / cookie doit être formulée de façon intelligible, de sorte que l’internaute sache précisément à quoi il consent, et ce, pour chaque catégorie de données collectées. L’adhésion en une seule fois aux CGU ne suffit donc pas.
- La liste des responsables du traitement des données doit être accessible au moment du recueil du consentement
- Accepter ou refuser : l’internaute doit avoir la possibilité de ne pas faire de choix en fermant simplement la fenêtre pop-up. Dans ce cas, il doit temporairement être traité comme quelqu’un ayant refusé de donner son consentement.
- L’utilisateur doit savoir si son consentement est valable depuis d’autres sites que celui où son consentement vient d’être recueilli
- Surtout, tout internaute doit avoir la possibilité d’exprimer clairement son consentement, et donc potentiellement de refuser que ses données soient exploitées. Stop à l’enfouissement du bouton « Tout refuser » ! Le refus doit être aussi visible que l’acceptation.
- Dans le même ordre d’idées, le bouton « Tout accepter » ne doit pas être pré-coché, afin que le consentement soit accordé par un « acte positif clair de l’utilisateur ».
- L’internaute doit pouvoir retirer son consentement à tout moment. Les règles précédemment énoncées s’appliquent, que l’internaute soit authentifié ou non.
- La CNIL estime qu’une fois obtenu, le consentement a une durée de validité de 6 mois. Il faut donc vérifier régulièrement que l’utilisateur est toujours d’accord quant à l’utilisation de ses données personnelles.
Pour rappel, les entreprises collectant des données personnelles doivent pouvoir démontrer qu’elles ont bien obtenu le consentement des internautes. En revanche, les cookies qui ont pour seule finalité le fait de faciliter la navigation (choix de la langue, cookies de panier d’achat, d’authentification, ou même cookies propres à la mesure de l’audience), ne requièrent pas de consentement.
Face à ces nouvelles recommandations, les sites internet feraient bien de se mettre en règle. Quant à ceux qui seraient tentés d’essayer de passer entre les mailles du filet, qu’ils se rappellent que la CNIL a déjà infligé une amende record de 50 millions d’euros à Google, pour non respect du RGPD !
