Avis aux professionnels du web non éditeurs : si vous utilisez des cookies, vous êtes potentiellement la nouvelle cible de la CNIL ! La CNIL a en effet annoncé au cours de l’été son intention d’élargir le champ de ses contrôles, dans le secteur de la publicité en ligne, aux professionnels non éditeurs qui emploient des cookies.
D’après une étude récente d’Adobe Digital Insights, 69% du trafic global des sites internet européens est généré par les publicités provenant du référencement payant, des courriers électroniques ou des réseaux sociaux.
C’est dans ce contexte que les cookies prennent toute leur importance. Utilisés pour recueillir des données comportementales et mettre en place des campagnes de publicité ciblée, leur utilisation peut devenir dangereusement intrusive, ce qui explique l’attention particulière de la CNIL sur leur exploitation.
Petit rappel pour les distraits, la Loi Informatique et Libertés prévoit depuis la transposition en droit français de la directive dite « paquet télécom » de 2011, que les cookies ne peuvent être déposés sur le terminal d’un internaute sans son consentement préalable, sauf exceptions prévues par la Loi.
La Commission prend donc l’initiative d’étendre ses contrôles et ce, en réaction aux importantes évolutions du secteur de la publicité en ligne au cours de ces dernières années : son écosystème est devenu de plus en plus complexe et fait intervenir de nouveaux acteurs toujours plus nombreux (annonceurs, régies, éditeurs de sites web et autres partenaires).
L’objectif de la CNIL : responsabiliser l’ensemble des acteurs de ce marché.
C’est notamment après avoir effectué des contrôles de site web en 2014 que la CNIL a pris la pleine mesure des difficultés rencontrées des éditeurs pour respecter l’obligation de recueillir le consentement préalable des utilisateurs avant le dépôt de cookies. Deux raisons à cela, d’après la CNIL :
- L’impossibilité d’afficher des publicités avant d’avoir recueilli l’accord préalable de l’internaute, entraînant de grandes pertes de revenu ;
- L’impossibilité pour ces éditeurs de contrôler l’activité de leurs partenaires qui déposent des cookies tiers sur leurs sites.
La CNIL prend soin de rappeler que la responsabilité liée au dépôt de cookies ne repose pas nécessairement que sur les éditeurs du site. En effet et conformément au principe de coresponsabilité, le non-respect du recueil du consentement des individus avant le dépôt de cookies engage aussi la responsabilité des partenaires de l’éditeur qui ont apposé leurs propres cookies sur son site.
Ce qu’il vous reste à faire ?
En tant que responsable de traitement de données à caractère personnel collectées à partir de ces cookies, vous devez respecter les obligations imposées par la réglementation.
En pratique, avant la mise en place d’une campagne marketing impliquant le dépôt de traceurs, deux étapes doivent être respectées :
- En interne : vérifier que l’utilisation de cookies envisagée respecte l’ensemble des dispositions applicables aux responsables de traitement de données à caractère personnel (recueil du consentement, le cas échéant, formalités préalables, durée de conservation, respect des droits des personnes concernées, etc.).
- En concertation avec l’éditeur du site : s’assurer que les internautes reçoivent l’ensemble des informations obligatoires avant le dépôt de cookies (finalité des cookies, droits des personnes concernées, etc.).
La CNIL conseille à ce titre aux éditeurs de site web d’afficher une liste, régulièrement mise à jour, de leurs partenaires pour permettre aux internautes d’identifier facilement les responsables de traitement.
Cette liste doit contenir, pour chaque partenaire, un lien renvoyant les internautes vers une page sur laquelle sont fournies toutes les informations requises concernant le traitement de leurs données opéré grâce aux cookies des partenaires tiers (données traitées, finalité, droits des personnes concernées et destinataires des données).
Le secteur du marketing digital est clairement dans le viseur de la CNIL, qui a actualisé en juillet dernier sa norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects.
Cette mise à jour était notamment requise pour tenir compte de la mise en œuvre de la liste d’opposition au démarchage téléphonique (Bloctel), imposée par le Code de la consommation. La CNIL a profité de cette actualisation pour préciser certains points de la norme, notamment sur les questions relatives aux cookies et à la durée de conservation des données.
Entre la Loi pour une République Numérique du 7 octobre 2016 qui impose de nouvelles obligations (et surtout de nouvelles sanctions) aux responsables de traitement et le Règlement européen relatif au traitement des données à caractère personnel et à leur libre circulation – qui deviendra contraignant en 2018, les entreprises du secteur du web marketing ont du pain sur la planche.
Au travail, donc !
Auteures : Annabelle Richard et Anne-Sophie Mouren, avocats Pinsent Masons
***
(c) ill. Depositphotos