Depuis hier (31 mars 2021), le délai accordé par la CNIL pour sa mise en conformité RGPD des cookies et traceur est arrivé à son terme. Toutes les entreprises ET administrations doivent se mettre en conformité (vous êtes donc concerné, quelle que soit votre activité)
Quoi de neuf ?
Vous le saviez surement déjà, mais plusieurs pratiques doivent évoluer et certaines sont à bannir
A bannir :
- Ne rien proposer : une poursuite de navigation ne peut plus être considérée comme une expression valide du consentement de l’internaute. Ils doivent accepter les cookies par un acte positif : “J’accepte”.
Pour être conforme :
- Permettez à l’utilisateur de refuser, ou de retirer son consentement, à tout moment
- Gardez une trace du consentement pour chaque utilisateur
- Fournissez une information complète sur tous les cookies, indiquant notamment la finalité d’utilisation de chaque cookies. Le sujet peut être complexe, n’hésitez pas à chatter avec nous pour plus d’informations
Nous déconseillons :
- Les “murs de cookies” (refuser l’accès à des contenus tant que le visiteur n’a pas validé les cookies). Nous recommandons de bien mesurer l’impact “d’image” d’une telle pratique, même si elle n’est pas clairement jugée comme illégale par la CNIL.
Tous les cookies sont-ils concernés par le consentement ?
Pas tous : ceux jugés comme nécessaires au bon fonctionnement du site sont exemptés. Il s’agit par exemple de cookies gérant votre panier (e-commerce), la personnalisation de votre langue, … Certains cookies pour la mesure d’audience sont également exemptés.
Pour ces derniers des règles plus fines s’appliquent :
- La durée de vie des traceurs doit être limitée à une durée permettant une comparaison pertinente des audiences dans le temps (treize mois en général)
- Leur durée de vie ne doit pas être prorogée automatiquement lors des nouvelles visites
- Tous les traceurs sont conservés pour une durée maximale de vingt-cinq mois
Quel est le vrai risque à ne pas être conforme?
La CNIL prévient qu’au terme du délai de 6 mois alloué (terminant le 31/03/2021) des sanctions seront prises contre les entreprises et les administrations ne respectant pas ces règles.
La CNIL a sanctionné à des amendes record Google et Amazon (respectivement 100 et 60 millions d’€) dès décembre dernier !
Le non respect de l’article 82 de la loi informatique et Libertés prévoit :
- Un potentiel rappel à l’ordre
- Une injonction de mise en conformité
- Une amende administrative allant jusqu’à 10 millions d’€ ou 2% du CA mondial de l’exercice précédent
- Une amende pouvant aller jusqu’à 20 millions ou 4% du CA pour certains cas spécifiques ou dans le cas du non-respect d’une injonction
Comment se mettre en conformité ?
Chez Spiriit nous suivons de près ce sujet avec nos clients et avons benchmarké plusieurs solutions.
Aujourd’hui la meilleure solution sur le marché est clairement celle d’Axeptio. Elle est parfaitement compatible RGPD & ePrivacy, évidemment, mais aussi très simple à mettre en œuvre et très claire pour les visiteurs de vos sites. Elle a passé avec succès le stress-test des contrôles de la CNIL.