RGPD, cookie et consentement effectif

La nouvelle est tombée au début des vacances, et comme toute communication de ce type dans ces jours de repos… elle n’est pas négligeable !

Concrètement, la CNIL rappelle que « la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. »
Ce rappel est qualifié de « nouveauté » par la CNIL : même si ce principe était existant depuis le RGPD, il restait quelque peu suivi de loin (pour rester dans l’euphémisme)… Avec ce rappel, la CNIL insiste sur l’application stricte du RGPD.

Lors de l’entrée en vigueur du RGPD il y a un peu plus d’un an, le dilemme des exploitants était simple :

  • ou bien rester sur le RGPD strict, avec acceptation explicite, et perdre entre 80% et 90% du suivi de son trafic (via analytics)
  • ou bien jouer sur l’exception prévue par l’article 82 de la loi Informatique et Liberté, qui autorise dans certains cas l’absence de consentement explicite, en la combinant avec la poursuite de la navigation sur le site… Toutefois, cette exception ne concerne que des « services de communication » et en aucun cas la« survie» d’un site ou la « nécessité du suivi du trafic », comme entendu ici ou là…

Avec cette « ligne directrice », le sujet va donc devoir être clarifié : consentement et cookie, ou rien du tout ! La conséquence sera sans doute une baisse du suivi de trafic analytics, ou une hausse du taux de rebond. Il faudra donc que les tableaux de bord prennent en compte cette rupture de mesure.

Enfin, la CNIL rappelle que « les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement. » Si le bandeau RGPD est souvent en place sur les sites (notamment de e-commerce), les exploitants sont en général moins au courant de la vérification de la cohérence « données personnelles » – « acceptation des cookie ».

Sur le fond, les points suivants sont à surveiller pour les mois ou semaines à venir :
– optimisation du bandeau cookie afin de pousser l’internaute à l’acceptation formelle
– apprentissage ou vérification des modalités de justification … voire du suivi et de réalignement des acceptations… ou même des process internes de suivi du RGPD. Sur ce sujet, on pourra consulter le modèle de registre RGPD de la CNIL

Bonne rentrée et bon RGPD à tous !