Réseau
des Communes
[A lire au préalable : Cookies : la réglementation… mais pas seulement !]
Dans ses lignes directrices, la CNIL met en avant deux règles à respecter : les utilisateurs doivent être informés avant l'acceptation des cookies et ils doivent pouvoir refuser les cookies et autres traceurs aussi facilement qu'ils peuvent les accepter, et ce, sur les sites web et les applications mobiles.
Tout l'enjeu au 31 mars 2021, au plus tard, "est de recueillir le consentement pour les cookies et autres traceurs", résume Abdelkader Mhamdi, Délégué à la Protection des Données (DPO) de Réseau des Communes, qui considère que le changement pour les collectivités se fait sur quatre dimensions.
"La CNIL parle bien des cookies et des traceurs pour l'ensemble des outils d'une collectivité (mairie, notamment), c'est-à-dire sur les sites web ou encore sur les applications mobiles, si elle en possède. Attention à ce dernier point : les mairies oublient souvent la mise en conformité sur les applications mobiles qui collectent aussi des données personnelles."
Le deuxième point est l'aspect "explicite" du consentement, quand, jusqu'à présent, la poursuite de la navigation valait consentement implicite au recueil des cookies. Ainsi, "il n'est pas autorisé de déposer des cookies sur le terminal utilisateur sans que ce dernier ait appuyé sur un bouton ' J'accepte ', soit un acte positif de l'utilisateur."
Troisième mesure : la nécessité de donner une capacité de refus des cookies dès le premier niveau d'information, avec un bouton " Je refuse " à côté de celui d'acceptation. "C'est le vrai Big Bang pour les collectivités, car pour la première fois, il va être posé une vraie question à l'usager où il répondra par "oui" ou par "non", partiellement ou en totalité. Et c'est crucial : nous constatons qu'un site qui n'est pas optimisé ne peut avoir que 40 % d'acceptation sur les cookies", fait part Abdelkader Mhamdi "Grâce à ces ajustements, nous arrivons, tout en restant dans la légalité, à optimiser le taux de consentement."
Quatrième dimension : garder la preuve du consentement pour avoir la capacité de la présenter à la CNIL lors d'un audit, sachant que la durée de conservation du consentement ou du refus est de 6 mois (avant de redemander systématiquement à chaque utilisateur).
Quel(s) changement(s) par rapport au RGPD ?
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) posait déjà les obligations en matière de recueil du consentement et du caractère personnel des données. Mais, "le RGPD ne concernait pas les cookies et les règles sur ces derniers n'étaient pas mises à jour, rappelle Abdelkader Mhamdi. La CNIL remet à jour les règles des cookies par rapport aux nouveaux usages normalisés liés au RGPD. Pendant presque 3 ans, les cookies ont vécu en parallèle par rapport au consentement. Il s'agit d'un réalignement."