Vous êtes ici

Ajouter à mon espace perso«Adieu l’opt-in passif» : 8 choses à savoir sur ce qu’attend la CNIL des éditeurs français pour être en conformité avec les règles du RGPD par Franck Lewkowicz, Managing Director France de Quantcast

Pour ajouter ce contenu à vos favoris, il suffit de vous inscrire ou de vous identifier

28/08/2019

«Adieu l’opt-in passif» : 8 choses à savoir sur ce qu’attend la CNIL des éditeurs français pour être en conformité avec les règles du RGPD par Franck Lewkowicz, Managing Director France de Quantcast

La mise en conformité ne doit pas se faire au détriment de la performance business. La Commission nationale de l’informatique et des libertés (CNIL), a récemment publié ses dernières recommandations en matière d’application du RGPD quant aux opérations de lecture ou écriture dans le terminal d'un utilisateur, et notamment l'usage des cookies et autres traceurs. Les éditeurs français, les annonceurs et leurs partenaires technologiques ont désormais 12 mois pour se mettre en conformité avec ces nouvelles recommandations. 
 
Voici 8 points auxquels les éditeurs et les marques devront plus particulièrement prêter attention : 
 
1. Les règles en matière de cookies ne s’appliquent pas qu’aux cookies: Elles s’appliquent également à d’autres technologies de tracking, comme l’utilisation des empreintes digitales, ou l’identification de systèmes d’opérations et de périphériques comme les adresses MAC.
 
2. Le consentement suppose un consentement préalable : ce qui implique que celui-ci ait été formulé avant l’utilisation de cookies ou de technologies similaires.
 
3. Les utilisateurs doivent avoir le droit de refuser ou de retirer leur consentement «sans que cela implique un quelconque inconvénient majeur». Même si la loi est plus nuancée, la CNIL est inflexible sur ce point, les utilisateurs doivent pouvoir accéder aux sites et aux applications, qu’ils aient donné leur consentement ou non.
 
4. Les utilisateurs doivent être en mesure de donner leur consentement de façon «indépendante et spécifique pour chaque finalité distincte». La CNIL précise également qu’un utilisateur peut consentir de manière globale dès lors qu’il est en mesure de consentir spécifiquement à chaque finalité.
 
5. Toute information relative au consentement doit être «complète, visible, et mise en évidence au moment du recueil de celui-ci»: a minima la CNIL demande l'identité du ou des responsables de traitement; la finalité des opérations de lecture ou écriture des données ; l'existence du droit de retirer son consentement. Si les données personnelles sont recueillies à l’aide de cookies ou de traceurs similaires, l'utilisateur doit pouvoir identifier l'ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive est régulièrement mise à jour de ces entités et doit être mise à disposition auprès de l'utilisateur directement lors du recueil de son consentement.
 
6. Au revoir l’opt-in passif: même si la CNIL consent à donner un sursis de 12 mois pour se mettre en conformité, la commission précise que l’obtention du consentement par «le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable». Il va s’en dire que l’utilisation de cases pré-cochées ne sera plus possible.
 
7. Garder des traces, prouver que le consentement est valide. Les entreprises utilisant des cookies, notamment les entreprises tierces, doivent être capables, à n’importe quel moment, de prouver que le consentement a été donné par les utilisateurs. Des clauses contractuelles engageant l'une des organisations à recueillir un consentement valable pour le compte de l'autre partie ne sont pas possibles. En effet, La Commission considère que «les tiers ayant recours à des traceurs seront pleinement et indépendamment responsables des traceurs qu'ils mettent en œuvre», ce qui signifie qu'ils devront assumer indépendamment l'obligation de recueillir le consentement des utilisateurs. Ainsi, travailler avec des éditeurs ou des annonceurs qui ne sont pas en conformité peut vous mettre en danger.
 
8. Etonnamment, la mesure d’audience est possible sans le recueil du consentement. Selon la CNIL, les éditeurs qui utilisent des cookies pour optimiser leurs choix éditoriaux en fonction de leurs performances respectives peuvent être exemptés du recueil de consentement. La condition étant que l’utilisateur soit bien informé de la mise en œuvre de ces cookies, et dans la capacité de les refuser. Les données collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) et ne peuvent être utilisées par des tiers. L'utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d'application mobile.
 
Fournir la bonne information, recueillir et manager le consentement des utilisateurs, et permettre aux partenaires tiers de prouver le consentement sont des problèmes techniques complexes. Mais ils peuvent être résolus efficacement grâce au Transparency & Consent Framework (TCF) de l’IAB Europe.
 
Le TCF a été conçu pour aider le marché à faire face à ce challenge en fournissant des informations précises sur la manière de recueillir le consentement pour être en conformité avec le RGPD et en accord avec les nouvelles recommandations de la CNIL.
 
Que doivent faire les annonceurs et éditeurs français ?
 
· Profiter de ce sursis de 12 mois pour se mettre progressivement en conformité avec le RGPD: ne pas le faire reviendrait à rendre illégaux tous vos cookies dès la fin de la période de sursis et vous obliger à demander à nouveau aux utilisateurs leur consentement. Cela pourrait impacter les revenus publicitaires ou la performance de vos campagnes de manière assez significative.
 
· Implémenter un CMP (Consent Management Platform) conforme au TCF : Le TCF est la seule solution standard du marché qui permette à l’ensemble de vos partenaires d’avoir confiance en la manière dont vous informez les utilisateurs et demandez leur consentement en étant en conformité avec toutes les exigences requises.
 
Franck Lewkowicz, Managing Director France de Quantcast
Partager