Cookies : comment avoir un bandeau cookies RGPD Compliant ?

par | Mar 21, 2021 | Cookies, Données personnelles, ePrivacy, GDPR, Lignes directrices CNIL, Recommandations CNIL, RGPD | 1 commentaire

F.A.Q.

Comment avoir un bandeau cookies RGPD Compliant ?

Voilà la check-list des exigences :

Si vous souhaitez avoir un bandeau cookies RGPD Compliant, vous devez respecter les exigences du RGPD, des lignes directrices et de la recommandation de la Cnil, vous devez :

1° Informer

2° Obtenir un consentement ou un refus avant toute configuration des cookies

3° Conserver la preuve des choix des utilisateurs

.

1. Informer les utilisateurs

– par une mention d’information les utilisateurs de votre site, en des termes simples et compréhensibles par tous ;

– les utilisateurs de votre site doivent recevoir une information conforme à l’article 82 de la loi Informatique et Libertés, complétée par les exigences du RGPD, afin de pouvoir comprendre les conséquences de leur choix :

Un renvoi vers les Conditions Générales d’Utilisation n’est pas suffisant.

1. Comment Informer :

– par une mention d’information les utilisateurs de votre site, en des termes simples et compréhensibles par tous ;

– les utilisateurs de votre site doivent recevoir une information conforme à l’article 82 de la loi Informatique et Libertés, complétée par les exigences du RGPD, afin de pouvoir comprendre les conséquences de leur choix :

Un renvoi vers les Conditions Générales d’Utilisation n’est pas suffisant.

Thèmes à évoquer dans la mention d’information de votre bandeau cookies :

  • Les finalités des traceurs : finalité de toute action tendant à accéder à des informations déjà stockées dans son équipement terminal (smartphone, ordinateur fixe ou portable, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, tout équipement connecté au réseau Internet et de télécom).

Il s’agit d’identifier ici toutes les finalités des opérations de lecture ou d’écriture des données.

Le couplage de finalités, sans possibilité d’accepter ou de refuser finalité par finalité, est également susceptible d’affecter, la liberté de choix de l’utilisateur et donc la validité de son consentement.

  • La portée du consentement: les conséquences pour l’utilisateur d’un refus ou d’une acceptation des cookies ;
  • L’identité du ou des responsables de traitement: l’éditeur du site web qui dépose les traceurs est considéré comme le responsable de traitement y compris lorsqu’il sous-traite la gestion des cookies mis en place pour son propre compte.

Jurisprudence : Depuis l’arrêt de la CJUE du 29 juillet 2019 (Case-Law C-40/17, l’éditeur d’un site ou d’une application et le tiers qui dépose des traceurs sont réputés responsables conjoints de traitement (Ils déterminent ensemble les finalités et les moyens des opérations de lecture/écriture des données.

2. Obtenir un consentement ou un refus avant toute configuration des cookies

Le consentement doit se manifester par un acte positif clair de la part de l’utilisateur.

  • Ne constituent pas un acte positif clair de la part de l’utilisateur :
    • La poursuite de la navigation ou du défilement sur le site web ou l’application mobile ;
    • L’utilisation de cases pré-cochées ;
    • Le paramétrage des navigateurs et des systèmes d’exploitation ne peut, à lui seul, permettre à l’utilisateur d’exprimer un consentement valide ;
    • Des solutions logicielles doivent être mises en place pour recueillir un consentement valable.

Les modalités pratiques pouvant être mises en œuvre :

  • Utilisation de cookies différents pour chaque finalité distincte
  • Traceurs exemptés : utilisation pour une seule et même finalité
  • Pas de recours à des techniques de masquage de l’identité de l’entité utilisation les traceurs (en cas de délégation de sous-domaine)
  • Nommer le traceur de stockage du choix des utilisateur « eu.consent » et attacher à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués par les utilisateurs.

Les utilisateurs doivent être informés des solutions proposées pour refuser et retirer leur consentement.

Quelles sont les modalités de refus ?

Les modalités de refus des opérations de lecture – écriture :

  • L’interface donnant à l’utilisateur la possibilité d’accepter doit être aussi accessible que la possibilité de refuser :
  • Deux boutons « Tout accepter » et « Tout refuser » au même niveau et avec le même format ; où
  • Deux boutons « Consentir » et « Ne pas consentir » au même niveau et avec le même format ; où
  • Si le refus est manifesté par la simple fermeture de la fenêtre popup de recueil du consentement ou l’absence d’interaction de l’utilisateur :
    • Cette possibilité doit être clairement mentionne aux utilisateurs sur la fenêtre.

La faculté de retrait du consentement peut être proposée :

  • Par un lien accessible à tout moment ;
  • Par un module de paramétrage accessible sur toutes les pages du site : par exemple, une icône cookies permettant de manifester la révocation du consentement à tout moment

3. Conserver la preuve des choix exprimés par les utilisateurs

Vous devez être en mesure de démontrer, À TOUT MOMENT, que les utilisateurs ont donné leur consentement :

  • Enregistrer les choix des utilisateurs, qu’ils s’agissent des consentements ou des refus ;
  • Pendant leur navigation sur le site ;
  • Pour une durée de conservation de 6 mois (bonne pratique des éditeurs) ;
  • Renouveler le recueil du consentement à des intervalles à apprécier au cas par cas, ou regard de la nature du site ou de l’application concernée et des spécificités de l’audience.

Cas des « cookie tiers » : Pour la Cnil, une clause contractuelle engageant l’autre partie à recueillir un consentement valable de l’autre partie, ne permet pas de garantir en toutes circonstances, l’existence d’un consentement valable.

La clause contractuelle doit prévoir que l’entité qui recueille le consentement doit mettre à disposition des autres parties la preuve du consentement.

Quels sont les modes de preuve validés par la CNIL ?

 

  • Information sur les CMP (Consent Management Platform) conservées, de façon horodatée, par les tiers éditeurs des CMP ;
  • Code informatique ou condensat « ou « hash » de ce code publié de façon horodatée sur une plate-forme publique ;
  • Capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe conservée de façon horodatée, pour chaque version du site ou de l’application ;
  • Audits réguliers des mécanismes de recueil par des tiers mandatés.

1 Commentaire

  1. Erna Tatnall
    Erna Tatnall sur 4 septembre 2023 à 22h54

    I would like to thank you for the efforts you have put in penning this blog. I am hoping to check out the same high-grade content from you later on as well. In truth, your creative writing abilities has inspired me to get my own, personal blog now 😉
    דירות דיסקרטיות ברחובות

    Réponse

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *