COOKIES : QUE VONT CHANGER LES NOUVELLES DIRECTIVES DE LA CNIL POUR LES ENTREPRISES ?
La Cnil ne plaisante plus. Le 28 juin, la Commission Nationale informatique et libertés a publié son plan d'action relatif au ciblage publicitaire, un an après l'entrée en vigueur du RGPD et avant l'adoption d'une nouvelle directive européenne sur le sujet, baptisée ePrivacy. Ses nouvelles lignes directrices remplaceront la recommandation de 2013 sur les cookies et autres traceurs.
Ce sera ainsi la fin du soft opt-in, qui permet aux sites de recueillir le consentement des visiteurs sur la politique de cookie via la simple poursuite de la navigation. D'ici un an, les sites français devront donc demander et recueillir un consentement explicite de la part de leurs visiteurs s'ils veulent placer des cookies. Pour comprendre les enjeux de ce changement, entretien avec l'avocate Sonia Cissé, à la tête du département IT/TMT du cabinet d'avocats Linklaters.
LA TRIBUNE - Quelles entreprises sont touchées par ce changement ?
SONIA CISSÉ - Les cookies permettent de reconnaître les utilisateurs, de tracer leur navigation pour personnaliser les offres produits. Presque toutes les entreprises qui ont un site Internet en font usage. Donc la nouvelle réglementation concerne tous les secteurs, toutes les entreprises qui utilisent des cookies, qu'il s'agisse des entreprises du digital mais aussi les banques, les assurances ou les commerces en ligne, entre autres.
Est-ce un progrès pour les internautes ?
Cette nouvelle obligation imposée aux entreprises leur donne un peu plus de pouvoir. Avec le soft opt-in, le consentement était validé si le visiteur continuait à utiliser le site. Avec les changements demandés par la Cnil, les personnes vont devoir effectuer un acte positif, un clic sur une case dédiée, pour valider leur consentement. Or, qui dit acte positif, dit également plus grande connaissance des usages.
C'est ce que craignent certaines entreprises : avec l'acte positif, l'information remonte d'un niveau, et l'attention des utilisateurs sera plus orientée vers les pratiques des entreprises. Alors que jusquelà, les visiteurs n'y faisaient pas attention, et très peu d'entre eux lisaient les politiques de confidentialité.
Que va changer l'interdiction du soft opt-in pour les entreprises ?
La Cnil demande à des entreprises qui ont déjà fait une mise en conformité au RGPD de modifier encore leur politique sur les cookies. Car jusque-là, bien que contraire à l'esprit du RGPD, le soft opt-in n'était pas clairement interdit. La question des cookies doit être abordée dans le règlement européen ePrivacy, qui devait arriver en même temps que le RGPD, mais qui a été reporté à 2020. Les nouvelles règles de la Cnil anticipent donc le futur règlement ePrivacy.
C'est un vrai changement, au point que certains lobbys pensent qu'il s'agit d'une menace pour le modèle économique de certaines entreprises du web. Mais le contenu du règlement ePrivacy n'est pas encore gravé dans le marbre. Il pourrait bouger par rapport à aujourd'hui, rien ne garantit qu'on retrouve exactement le même contenu dans la version finale. La Cnil anticipe quelque chose qui n'est pas encore figé, elle pourrait donc rétro-pédaler en 2020. Mais à mon sens, ce n'est pas probable.
La Cnil a donné un an aux entreprises pour opérer leur mise en conformité ? Est-ce suffisant ?
La mise en conformité impose de rédiger de la documentation, de modifier les procédures, et de former les salariés aux nouvelles obligations. Beaucoup voient l'investissement financier, mais il y a surtout un investissement humain fort, que les entreprises sont parfois réticentes à effectuer.
Mais avec l'entrée en application du RGPD, tout un écosystème de la mise en conformité s'est créé. Les plus grandes entreprises peuvent faire appel à des cabinets d'avocats spécialisés. Les plus petites entreprises qui n'ont ni les moyens ni les ressources ont d'autres possibilités, comme faire appel à des consultants externes. Ensuite, le temps d'adaptation est très variable selon la taille de l'entreprise, le nombre de traitements concernés, et si le projet est porté au plus haut niveau de l'entreprise ou non. Mais dans tous les cas, un an, c'est largement suffisant.