12 Juin Cookies : lancement des contrôles de la CNIL sur sa recommandation
La CNIL démarre ses contrôles portant sur le respect, par les acteurs du marché, de leurs obligations en matière de cookies.
Pour rappel, dès la fin de l’été, le GESTE a alerté la CNIL sur la nécessité, pour les éditeurs, de déposer des cookies de mesure d’audience sans attendre le consentement de l’utilisateur.
La CNIL, qui a également rencontré sur le sujet les autres organisations comme l’OJD et le Syntec, recevra, de notre part, de nouvelles observations concernant l’absence de maîtrise par l’éditeur des cookies déposés par les tiers et l’impact de la recommandation sur le fonctionnement des technologies publicitaires.
Il est donc utile, à date, de rappeler et préciser nos préconisations à partir de vos retours exprimés en réunion :
Nous constatons la nécessité de poursuivre le travail de sensibilisation des opérationnels au regard des obligations de l’éditeur et de l’importance de mettre en place une démarche active de mise en conformité. La mise en conformité avec la recommandation ne se résume ni à l’affichage d’un bandeau d’information ni à la réécriture de la rubrique « privacy ». La mise en place d’un audit des cookies déposés via les diverses pages de vos sites ainsi qu’un audit des contrats vous liant à vos prestataires est une étape indispensable. L’éditeur doit afficher, dès la première visite sur le site, un bandeau d’information renvoyant l’utilisateur vers une rubrique dédiée pour en savoir plus. Ladite rubrique informe en détail l’utilisateur des finalités d’exploitation des cookies et des moyens permettant de s’opposer au dépôt de cookies. Il apparaît par conséquent essentiel de demander à vos prestataires concernés la mise à disposition de ce type de dispositif.
Nous vous rappelons que le bandeau d’information doit être accessible, visible et clair et que l’information doit être transmise de manière pédagogique. Pour rappel, la réunion d’information du 30 avril dernier a été l’occasion d’examiner des pratiques potentiellement non conformes.
Sauf pour le cas des cookies de mesure d’audience, la recommandation impose en principe le recueil de l’accord de l’utilisateur préalablement à la dépose de cookies (publicitaires, réseaux sociaux). La faisabilité technique et les impacts du respect de cette obligation doivent être examinées avant toute décision interne sur ce point.
Nous recommandons que les éditeurs prennent contact avec l’ensemble de leurs prestataires :
1°) pour obtenir toute information technique nécessaire concernant la nature des cookies déposés et les conditions de leur exploitation ;
2°) pour demander l’introduction dans les contrats/conditions générales de clauses encadrant la gestion des obligations concernant les cookies. La constitution de preuves quant à ces prises de contacts, qu’elles soient fructueuses ou non, est une étape à ne pas négliger. Pour rappel, le GESTE prépare actuellement un clausier commun aux éditeurs pour faciliter vos discussions.
De manière générale, il apparaît indispensable que chaque éditeur soit en mesure de démontrer, en cas de contrôle, qu’il fait son maximum pour se mettre en conformité avec la recommandation. Le groupe de travail data-cookies constitue le lieu privilégié pour échanger entre éditeurs sur l’état d’avancement de chacun dans ses démarches de mise en conformité, sur les difficultés opérationnelles et techniques rencontrées et sur les besoins en termes d’initiatives communes. Il continuera à se réunir périodiquement.