LES AUTORITÉS NE FONT QU’UNE BOUCHÉE DES ORGANISMES NON CONFORMES !

Les autorités de contrôle et judiciaires de toute l’Europe ont décidé de mettre les pieds dans le plat pour faire cesser les mauvaises pratiques en matière de cookies.

Le 1er décembre dernier, le tribunal allemand de Wiesbaden a ainsi interdit à l’Université de sciences appliquées de Rhin Main de recourir à un service de cookies violant les exigences prévues par le Règlement Général sur la Protection des Données (RGPD). En France, la CNIL[1] a adressé depuis le mois de mai 2021 pas moins de 60 mises en demeure aux entités ne respectant pas les droits des internautes pour conserver la maitrise de ces traceurs.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

  •  Les cookies techniques dits « obligatoires »

Ces traceurs fonctionnels sont indispensables à la mise en œuvre du site Web. Ils sont strictement nécessaires à la fourniture du service de communication en ligne et à la sécurité des espaces digitaux.

Exemples : ceux permettant de mémoriser les choix exprimés en matière de cookies, destinés à nous authentifier lors de notre connexion à un compte personnel ou encore ceux visant à conserver le contenu d’un panier d’achat.

  • Les cookies « non nécessaires »

Ces derniers permettent d’optimiser les fonctionnalités du site et d’en adapter le contenu pour améliorer l’expérience de chaque usager. Ils peuvent aussi être exploités pour réaliser des études statistiques sur les habitudes d’utilisation de la plateforme par les internautes.

Exemples : ceux permettant d’adresser des publicités personnalisées, de réaliser certaines mesures d’audience, ou encore les cookies des réseaux sociaux

LES AUTORITÉS NE FONT QU’UNE BOUCHÉE DES ORGANISMES NON CONFORMES !

Les autorités de contrôle et judiciaires de toute l’Europe ont décidé de mettre les pieds dans le plat pour faire cesser les mauvaises pratiques en matière de cookies.

Le 1er décembre dernier, le tribunal allemand de Wiesbaden a ainsi interdit à l’Université de sciences appliquées de Rhin Main de recourir à un service de cookies violant les exigences prévues par le Règlement Général sur la Protection des Données (RGPD). En France, la CNIL[1] a adressé depuis le mois de mai 2021 pas moins de 60 mises en demeure aux entités ne respectant pas les droits des internautes pour conserver la maitrise de ces traceurs.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

La recette d’un cookie réussi

Si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal du lecteur qu’avec son consentement[2]. Cela suppose donc, pour les organismes disposant d’un site Internet, de développer et configurer leur page Web en conséquence.

[2] Chaque responsable de traitement se prévalant d’avoir obtenu le consentement de l’internaute doit pouvoir en apporter la preuve.

Autrement dit, la bannière d’information des usagers du site concernant votre politique de cookies doit être détaillée sans être confuse, permettre de collecter un consentement certain mais non définitif et être associée à diverses fonctions de paramétrages.

Décidément, gérer les cookies, ce n’est pas de la tarte…

Pas d’omelette sans casser des œufs

Comme vous le constatez, les obligations incombant aux éditeurs de sites Web à ce sujet sont nombreuses, et multiplient d’autant les possibilités d’être sanctionné…

En l’occurrence, l’autorité de contrôle française n’y est pas allée avec le dos de la cuillère durant ses enquêtes. Elle souligne en particulier « qu’il doit être aussi facile de refuser que d’accepter les cookies ».

La CNIL estime que l’internaute – qui souhaite généralement accéder rapidement au contenu de la page Web – est influencé dans son choix lorsqu’un seul clic est requis pour accepter les traceurs, mais que plusieurs actions sont nécessaires pour les refuser. D’où la série d’avertissements prononcés, destinés à stopper les pratiques ne respectant pas la vie privée des cybernautes.

Quant au tribunal allemand évoqué en introduction, celui-ci a sanctionné l’Université en raison de la non-conformité du prestataire à qui elle avait décidé de sous-traiter la gestion des cookies de son site.

En effet, le siège social de la société fournissant ce service de cookies se situait aux États-Unis. Celle-ci était dès lors soumise au CLOUD Act, loi américaine permettant aux autorités fédérales et locales de prendre connaissance des données stockées dans les serveurs hébergeant ces traceurs, sur simple demande.  Ce, quand bien même ces serveurs seraient localisés en Europe[1]…

Or en l’espèce, les étudiants se connectant sur la page Web de la faculté n’étaient informés ni de ce transfert de données vers un pays tiers, ni des risques inhérents à ce transfert en l’absence de mesures supplémentaires prises pour encadrer cet échange d’informations

Et pour cause, depuis la décision dite « Schrems II » de la Cour de Justice de l’Union Européenne du 16 juillet 2020, les USA ne sont plus considérés comme un État dans lequel la protection des données personnelles est garantie[2].

La juridiction a jugé que cette situation ne permettait pas d’assurer un niveau de sécurité suffisant des informations collectées par les cookies du site de l’Université, et était dès lors proscrite en vertu du RGPD.

[1] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur ce sujet : https://www.rgpd-experts.com/cloud-act-danger-pour-les-donnees/

[2] Si cette problématique vous intéresse, vous pouvez en apprendre davantage à travers notre publication : https://www.rgpd-experts.com/transferts-de-donnees-hors-ue-apres-linvalidation-du-pirvacy-shield/

La gestion des cookies passée au grill par la CNIL

Nous attirons votre attention sur les risques de contrôle pesant sur votre organisme.

Dès le début d’année, l’autorité régulatrice avait indiqué inscrire l’examen des sites utilisant des cookies dans les priorités de son calendrier répressif.

Les mesures d’enquête de la Commission sont nombreuses et ne distinguent aucune page Web. Jusqu’à ce jour, la campagne de vérification de la CNIL a concerné plus que 90 entités privées et publiques poursuivant tout type d’activités : écoles d’enseignement supérieur, sociétés agissant dans le secteur de l’habillement, du transport, de la grande distribution ou encore de la vente à distance.

Si l’autorité de contrôle n’a pour l’instant prononcé que des mises en demeure, les manquements constatés à l’occasion d’une simple consultation à distance de votre site Internet peuvent être lourdement punis. Les sanctions encourues sont susceptibles d’aboutir à des amendes s’élevant jusqu’à 10 millions d’euros ou 2% de votre chiffre d’affaires…

Sans compter que des violations avérées au RGPD pourraient alerter la CNIL sur vos pratiques en matière de protection des données, et l’inciter à mener des investigations plus approfondies vous concernant.

Votre site Internet constitue la première vitrine de votre conformité. Soyez donc vigilant lors de la poursuite de vos activités en ligne si vous ne voulez pas vous faire cuisiner par l’autorité de contrôle…

Si vous vous sentez plus commis de cuisine que grand chef étoilé concernant la gestion de vos cookies, nous vous invitons à vous rapprocher de nos services pour bénéficier des conseils et de l’accompagnement d’experts en matière de protection des données.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.