# Paramétrer son CMP pour être conforme au RGPD ainsi qu’aux recommandations de la CNIL et du CEPD Une CMP (Plateforme de gestion du consentement) est une plateforme permettant de recueillir le consentement des utilisateurs pour les données personnelles. Une CMP enregistre, stocke et restaure le consentement et le transmet à plusieurs fournisseurs lorsque nécessaire. Elle rend l'expérience utilisateur plus fluide et la collecte du consentement plus facile. Néanmoins, Armand Heslot (expert Privacy & Security à la CNIL) a rappelé récemment lors d'une interview pour mind Media que l'utilisation d'une CMP ne signifie pas nécessairement que vous êtes conforme au RGPD ni que le consentement que vous obtenez est valide. **Quelles sont les différentes conditions à remplir pour être conforme lorsque vous collectez le consentement des utilisateurs grâce à une CMP ?** \ D'abord, l'autorité de protection des données indique que la formulation que vous utilisez doit être claire, intelligible, elle doit être rédigée en langage simple permettant aux utilisateurs de comprendre clairement à quoi ils consentent. Les finalités du traitement doivent être claires et écrites sur la première page de la bannière. Les boutons " I agree", "I disagree" et " I refine my preferences" permettant à l'utilisateur de consentir ou de refuser globalement peuvent être visibles sur la première page, mais ils doivent apparaître après la liste détaillée des finalités. Sur la deuxième page, vous pouvez demander le consentement pour chaque finalité, soyez toutefois prudent, les cases d'opt-out ne sont pas acceptées par la CNIL ni par le CEPD. L'autorité française de protection des données est très claire sur le sujet dans la mise en demeure concernant Vectaury : *"*Lorsque toutes les finalités de la collecte sont notifiées avec des cases d'opt-out, on ne peut pas considérer que l'utilisateur consent à quoi que ce soit. En effet, son action est requise pour refuser le traitement en décochant les cases correspondant à chaque finalité." De plus, les noms des responsables de traitement doivent apparaître sur la première page de la bannière. Cela permet aux utilisateurs de donner leur consentement en connaissant l'identité des entreprises collectant leurs données. En outre, le texte ne doit pas suggérer que le fait de refuser empêchera l'utilisateur d'accéder au site web ou conduira à un paiement pour y accéder. **Cas particulier du traitement des données de géolocalisation** **Lorsque vous collectez des données de géolocalisation, vous devez demander un consentement spécifique à l'utilisateur.** La CNIL rappelle dans sa mise en demeure que le CEPD exige une spécificité du consentement et qu'une acceptation globale de l'utilisateur sans connaître les traitements multiples ou les finalités multiples ne satisfait pas. Les utilisateurs d'applications mobiles ne consentent pas spécifiquement au traitement des données de géolocalisation pour le profiling et le ciblage publicitaire." **La collecte du consentement par défilement ou clic est-elle valide ?** **La collecte du consentement par défilement ou clic n'est plus acceptée par la CNIL comme un acte positif de la part de l'utilisateur.** Le CEPD indique que le défilement n'est pas une action positive et ne peut pas être considéré comme un consentement. **Les cookies d'analyse peuvent-ils être considérés comme essentiels ?** Attention, les cookies de mesure d'audience tels que Google Analytics ne sont pas considérés comme essentiels sauf s'ils respectent certaines conditions énoncées par la CNIL : . Actuellement, seules deux solutions sont reconnues par la CNIL comme respectant ces conditions. Il s'agit d'AT Internet (Xiti) et de Matomo. Vous devez demander le consentement de l'utilisateur lorsque vous souhaitez déposer un tel cookie sur son appareil. Rappelez-vous de donner à l'utilisateur la possibilité de revenir sur son statut de consentement ou de modifier ses paramètres en cliquant sur un lien en bas de votre page ou dans votre politique de confidentialité. Les boutons "agree" et "disagree" doivent avoir la même taille et des couleurs neutres. Les cookies d'analyse ne peuvent pas durer plus de 13 mois. Les informations collectées par les cookies peuvent être conservées pendant un maximum de 25 mois. Vous devez lui demander son consentement après ce délai. Parfois, la durée de vie des cookies Google Analytics est de 24 mois par défaut. Vous devez alors réduire cette durée. Voici un guide : 📰 . **Sujets auxquels vous devriez prêter attention lors de la configuration d'une CMP** * L'utilisateur doit connaître la finalité du traitement des données, l'identité du responsable du traitement mais aussi les données collectées pour que le consentement soit valide * La formulation utilisée pour informer l'utilisateur doit être claire, intelligible, elle doit être rédigée en langage simple permettant aux utilisateurs de comprendre clairement à quoi ils consentent. * Elle doit comporter les boutons " I agree", "I disagree" et " I define my preferences" permettant à l'utilisateur de consentir ou de refuser globalement ; ils peuvent être visibles sur la première page, mais ils doivent apparaître après la liste détaillée des finalités. ⚠️ **Cela peut varier selon le pays : n'hésitez pas à consulter notre article sur** [**Particularités juridiques du consentement dans différents pays**](https://support.didomi.io/legal-particularities-on-consent-in-different-countries)**.** * Le texte ne doit pas suggérer que le fait de refuser empêchera l'utilisateur d'accéder au site web ou conduira à un paiement pour y accéder. * Lorsque vous collectez des données de géolocalisation, vous devez demander un consentement spécifique à l'utilisateur * La collecte du consentement par défilement ou clic n'est plus acceptée par la CNIL car ce n'est pas un acte positif de la part de l'utilisateur. ⚠️ **Cela peut varier selon le pays : n'hésitez pas à consulter notre article sur** [**Particularités juridiques du consentement dans différents pays**](https://support.didomi.io/legal-particularities-on-consent-in-different-countries)**.** * Rappelez-vous de donner à l'utilisateur la possibilité de revenir sur son statut de consentement ou de modifier ses paramètres en cliquant sur un lien en bas de votre page ou dans votre politique de confidentialité. * La durée de conservation du consentement de l'utilisateur pour les cookies est de 6 mois. Les cookies d'analyse ne peuvent pas durer plus de 13 mois. Les informations collectées par les cookies peuvent être conservées pendant un maximum de 25 mois. Vous devez lui demander son consentement après ce délai. Parfois, la durée de vie des cookies Google Analytics est de 24 mois par défaut. Vous devez lui demander son consentement après cette durée. ⚠️ **Cela peut varier selon le pays : n'hésitez pas à consulter notre article sur** [**Particularités juridiques du consentement dans différents pays**](https://support.didomi.io/legal-particularities-on-consent-in-different-countries)**.** * Google Analytics n'est pas considéré comme un cookie essentiel sauf s'il respecte certaines conditions : )