RGPD : attaqué en France, conforté en Europe
Poursuite de navigation et consentement
Le verdict est tombé le 16 octobre 2019. Le conseil d’État autorise la CNIL à ne pas sanctionner les sites contrevenant au RGPD jusqu’à mi 2020.
En 2018, plus de 20 % des plaintes reçues par la CNIL concernaient le marketing en ligne ; notamment les traceurs (dont les cookies) ainsi que la prospection commerciale. Les dispositions du RGPD sur le consentement exclues que « la poursuite de la navigation sur un site soit synonyme de l’expression réel du consentement ».
Cependant, depuis début juillet, les nouvelles recommandations de la CNIL offrent aux acteurs du web un délai supplémentaire de douze mois pour se conformer aux exigences du RGPD. De ce fait, « la poursuite de la navigation comme expression du consentement en matière de cookies et autres traceurs sera donc considérée par la CNIL comme acceptable ».
Insatisfait de cette décision, le 29 juillet, plusieurs associations, dont la Quadrature du Net (spécialisée dans la défense des libertés individuelles sur internet), ont attaqué la décision de la CNIL. Le Conseil d’État a rejeté leur demande, le 16 octobre, au motif que « le délai d’un an constituait une période de transition raisonnable pour la mise en conformité des sites web ». La CNIL conserve néanmoins la possibilité de prononcer des sanctions en cas de manquements graves.
Au premier trimestre 2020, de nouvelles recommandations proposant des modalités opérationnelles de recueil du consentement devraient être élaborées en concertation avec les professionnels du webmarketing.
Le webmarketing contre-attaque
Parallèlement, le 18 septembre, neufs associations de professionnels du webmarketing (le GESTE, le SRI, l’IAB France, la Mobile Marketing Association France, l’UDECAM, l’AACC, la FEVAD, l’UDM et le SNCD) ont déposé un recours devant le Conseil d’État pour contester l’interprétation que fait la CNIL du RGPD et sa conformité au droit français et au droit européen. Ils reprochent à l’institution un manque de concertation et une solution trop franco-française portant sur les cookies et autres traceurs.
Exemption de consentement
Certains cookies sont exemptés de consentement, car ils sont indispensables à certaines opérations :
- Les cookies de panier d’achat pour un site e-commerce
- Les identifiants de session
- Les cookies d’authentification
- Certaines solutions d’analyse d’audience
- …
Ce qui n’est pas le cas des cookies liés aux opérations relatives à la publicité, ceux des réseaux sociaux générés par les boutons de partage (quand ils collectent des données personnelles), ainsi que certains cookies de mesure d’audience.
Consentement et case pré-cochée
Au niveau européen, dans un arrêt rendu le 1er octobre, la Cour de Justice de l’Union Européenne confirme qu’il est nécessaire de récolter le consentement « actif » d’un internaute avant de déposer des cookies sur son terminal. Ainsi, une case pré-cochée par défaut n’est pas une méthode valable pour recueillir le consentement d’un internaute. Cela vaut également dans le cas où le cookie ne contient pas de données personnelles.
La Cour de justice avait été saisie par la Fédération Allemande des Organisations de Consommateurs pour l’utilisation par la société Planet49, d’une case cochée par défaut dans le cadre de jeux promotionnels en ligne. Celle-ci valait consentement au placement de cookies pour les internautes souhaitant participer.
A m’en pas douter, le RGPD fera encore couler beaucoup d’encre dans les prochains mois. Nous vous informerons des suites des différentes plaintes en cours. Les enjeux pour les professionnels du webmarketing sont d’importance.