# CNIL (autorité française de protection des données) : projet de recommandations - janvier 2020 Le 4 juillet 2019, la CNIL (Commission nationale de l'informatique et des libertés) a publié de nouvelles lignes directrices sur les cookies et autres traceurs afin de remplacer ses recommandations de 2013, devenues obsolètes avec le RGPD. De septembre 2019 à janvier 2020, une période de consultation auprès des professionnels du secteur a été menée pour recueillir des avis sur les différentes questions en jeu et mieux comprendre les enjeux du marché. Le 14 janvier 2020, la CNIL a lancé une consultation publique sur son projet de recommandations « Cookies et autres traceurs » qui détaille les méthodes pratiques de recueil du consentement conformément à sa directive de juillet 2019. Cette consultation prendra fin le 25 février et les recommandations finales seront soumises au vote. Toutefois, la CNIL accordera une période de transition qui se terminera en septembre 2020 pour permettre aux entreprises d'appliquer ces nouvelles recommandations. {% hint style="info" %} Didomi met en place toutes les options pour se conformer aux nouvelles exigences de la CNIL et les rendra disponibles dans la console Didomi. Votre organisation devra activer ces nouvelles fonctionnalités si vous souhaitez les utiliser. Nous recommandons à tous les éditeurs français ou aux éditeurs ayant du trafic depuis la France d'activer ces options. {% endhint %} Voici plusieurs éléments importants que votre organisation devra mettre en œuvre afin d'obtenir un consentement valide selon la CNIL : * [Consentement éclairé](#informed-consent) * [Consentement libre](#free-consent) * [Consentement spécifique](#specific-consent) * [Consentement univoque](#unambiguous-consent) * [Retrait et durée du consentement](#withdrawal-and-duration-of-the-consent) * [Preuve du consentement](#proof-of-consent) {% hint style="info" %} Pour résumer, voici ce que vous devez afficher dans la première couche d'une notice de consentement : * La liste des finalités détaillées. * La liste des responsables de traitement qui traitent les données collectées. * La liste des sites/applications pour lesquels le consentement est collecté. * La possibilité de retrait à tout moment. * Si le consentement est demandé de façon globale, un bouton « J'accepte tout » et un bouton « Je refuse tout ». * La durée de vie des cookies et éventuellement les catégories de données collectées sont considérées comme des « bonnes pratiques ». {% endhint %} *** ### Consentement éclairé Il est toujours possible de collecter le consentement de manière globale dans la première couche d'une notice de consentement. Les finalités doivent être claires, complètes et il doit être possible d'accepter globalement mais aussi de refuser globalement tous les cookies.\ \ Un lien présentant les finalités détaillées doit être proposé à l'utilisateur final ; il peut permettre l'affichage de l'information directement sur la première couche ou renvoyer à la deuxième couche de la notice de consentement. Les utilisateurs finaux doivent également être informés des responsables de traitement qui traitent leurs données sur la première couche d'information. Un lien vers cette liste, facilement accessible par les utilisateurs, est recommandé. Il n'est pas nécessaire de redemander le consentement de l'utilisateur final à chaque ajout d'un nouveau partenaire, sauf en cas d'ajout substantiel « qualitatif ou quantitatif ». En revanche, un lien doit être mis à disposition des utilisateurs finaux afin qu'ils puissent se tenir informés des mises à jour des partenaires. Ce lien peut être inclus dans le module qui permet de réafficher la bannière de collecte du consentement. La CNIL propose de changer la couleur du lien menant aux partenaires pour avertir les utilisateurs d'un changement dans la liste.\ \ Si une collecte de consentement de l'utilisateur final est partagée entre domaines ou applications, les utilisateurs doivent être informés, sur la première couche d'information, des autres sites web et applications pour lesquels leur consentement est collecté. ### **Consentement libre** Pour que le consentement soit libre, le bouton « Accepter tout » présent sur la première couche d'une notice de consentement doit être accompagné d'un bouton « Refuser tout ». Les boutons doivent avoir la même apparence visuelle et la même taille afin de ne pas influencer le choix de l'utilisateur. La présence d'un simple lien « En savoir plus » à côté du bouton « Accepter tout » n'est pas suffisante. Il doit être aussi facile d'accepter que de refuser pour l'utilisateur. L'utilisateur ne doit pas être pénalisé ni subir de préjudice s'il refuse les traceurs. Le refus doit être enregistré pour la même durée que s'il avait accepté afin de ne pas réafficher la bannière trop fréquemment et donc de ne pas influencer les choix de l'utilisateur. Il reste également possible de ne pas choisir immédiatement, par exemple en ajoutant une croix ou un bouton « Choisir mes cookies plus tard ».\ \ Aucun cookie ne doit être placé tant que l'utilisateur n'a pas cliqué sur « J'accepte » ou n'a pas configuré ses choix. Les utilisateurs peuvent se voir demander leur consentement jusqu'à ce qu'ils aient fait un choix. ### Consentement spécifique Toutes les finalités doivent être présentées en détail (*par ex. via un lien ou un texte déroulant sous la finalité*). Le consentement spécifique par finalité doit être possible et peut être proposé dans une seconde couche de la notice de consentement. Le texte menant à la seconde vue doit être clair (nous recommandons « En savoir plus sur les cookies » ou « Configurer mes cookies »). ### **Consentement univoque** Les boutons d'acceptation et de refus doivent avoir un design similaire voire identique. Aucun élément visuel ne doit influencer le choix de l'utilisateur. ### **Retrait et durée du consentement** Les utilisateurs doivent être informés, sur la première couche, de la possibilité de retirer leurs choix à tout moment. Le lien leur permettant de modifier leurs choix doit être accessible sur toutes les pages à un endroit visible et pendant toute la durée de la navigation. Le texte renvoyant à la bannière de collecte du consentement doit être clair et intuitif, tel que « Gérer mes cookies » ou « Préférences de cookies ». Les utilisateurs doivent également être informés de la durée de vie des cookies. Concernant la durée du consentement, la CNIL indique 6 mois au terme desquels il serait nécessaire de redemander le consentement à l'utilisateur. ### **Preuve du consentement** Il est nécessaire de pouvoir fournir la preuve du consentement de l'utilisateur final. Les données doivent être précises et indiquer la date, l'heure, la version de la notice de consentement utilisée et les sites/applications sur lesquels le consentement a été donné. Cependant, seules les informations nécessaires doivent être collectées après le consentement. La CNIL suggère qu'un cookie soit créé et associé pour chaque finalité spécifique.