Nouvelles recommandations de la Cnil : les 4 bonnes pratiques pour se mettre en conformité grâce à la CMP

Après le RGPD en mai 2018 et la directive ePrivacy en 2019 (mise à jour en juin 2020), la Cnil a publié en octobre 2020 de nouvelles recommandations sur la gestion des cookies et le recueil du consentement des internautes. Toutes les organisations ayant recours à l'utilisation de ces traceurs doivent adapter leurs pratiques avant mars 2021.

La réflexion autour de ces changements doit s’inscrire dans la perspective de nouvelles évolutions réglementaires et techniques à venir.  

Pour répondre aux dernières directives de la CNIL ou, plus globalement, se mettre en conformité sur les réglementations Privacy autour des cookies, disposer d’un outil de gestion des cookies, aussi appelé CMP, devient incontournable pour les organisations.

Une Consent Management Platform (CMP) est une solution visant à centraliser la gestion des cookies de votre site web : recueil on-site du consentement aux cookies, catégorisation et blocage automatique de certains cookies, information aux utilisateurs… Parmi les CMP, on distingue les solutions clé-en-main fournies par les éditeurs spécialisés ou les CMP customisées.

Une CMP doit permettre de mettre en conformité votre organisation avec la nouvelle législation en limitant dans la mesure du possible les impacts sur les performances.

Voici quelques bonnes pratiques à mettre en œuvre avant de vous lancer :

1. Optimisez votre système de recueil du consentement

Dans sa liste de recommandations, la CNIL précise que certains cookies peuvent être exemptés de consentement, notamment ceux dont la finalité se limite strictement à la mesure de l'audience du site ou de l'application. Ces cookies doivent être utilisés pour le compte exclusif de l’éditeur, remonter uniquement de la donnée anonyme, non-sensible et ne peuvent en aucun cas permettre le suivi global de la navigation d’un visiteur sur plusieurs sites. En d’autres termes, il est possible d’exempter de consentement vos cookies analytiques (Google Analytics, AT Internet…) à condition que ceux-ci respectent tous ces critères : pensez à auditer votre plan de marquage afin de vous assurer que c’est bien le cas. 

Depuis la rédaction de cet article, la CNIL s’est officiellement positionnée, lors du Webinar Privacy Summit du 15/12/20, sur l’exemption de consentement pour les cookies liés aux outils analytiques. Il en ressort qu’un certain nombre de solutions très répandues sur le marché (on citera notamment Google Analytics, Quantcast Analytics ou Facebook Analytics) ne respectent pas, selon la CNIL, ces critères d’exemption. En effet, les éditeurs de ces outils indiquent dans leurs politiques de confidentialité se servir des données de leurs clients pour leur propre compte.

Une grande prudence sur le sujet est donc de mise : pensez à vérifier les clauses de confidentialité de la solution que vous utilisez. Notez que de nombreux outils analytiques restent éligibles à l’exemption de consentement car la donnée traitée n’est pas utilisée pour d’autres finalités. On peut également supposer que les éditeurs concernés par les remarques de la CNIL réagiront sous peu.

Notez qu’il n’est pas non plus possible de croiser cette donnée avec d’autres sources, ni de l’extraire.

Le recueil du consentement sous forme de pop-in semble également être une bonne solution pour optimiser le taux de consentement, en comparaison du format bannière.

2. Rester en veille de la législation et des pratiques

Cela peut sembler évident, mais se tenir informé de la législation RGPD/e-Privacy et de ses éventuelles évolutions permet de faciliter et d’accélérer les prises de décision.

Devant les impacts potentiels, il est possible que certains interlocuteurs internes aux organisations demandent une adoption plus souple des directives de la CNIL afin de sécuriser l’atteinte de leurs objectifs : soyez rassurants mais n’hésitez pas à rappeler la loi, de manière à ne pas risquer de prendre de décision inadaptée. Le déploiement d’une CMP est un projet au carrefour d’expertises techniques, juridiques et métiers : il est donc nécessaire d’impliquer toutes ces parties prenantes dans les processus décisionnels. Gardez également un œil sur les pratiques des autres acteurs du marché : cela vous permettra peut-être d’identifier de nouvelles bonnes pratiques à adopter.

3. Maitrisez l’environnement technico-fonctionnel

Il est essentiel d’identifier le périmètre d’utilisation des outils de votre écosystème, afin de comprendre en profondeur les impacts du déploiement de votre CMP et s’assurer de la bonne catégorisation de vos cookies. Faites également attention aux éventuels effets de bord lors de l’intégration technique. Afin d’anticiper efficacement, entourez-vous d’interlocuteurs connaissant bien les scripts et solutions mises en place dans vos environnements. L’intégration d’un système de recueil peut s’avérer parfois laborieux, mais gardez-en tête qu’il s’agit d’un procédé itératif : déployez dans un premier votre outil sur un périmètre restreint afin d’identifier rapidement les éventuels points bloquants pour la suite et être en mesure d’y remédier efficacement.

4. Communiquez

Afin d’assurer un niveau d’information homogène parmi les équipes impactées, n’hésitez pas à communiquer régulièrement sur le fonctionnement cible de votre CMP et sur ses impacts potentiels. Pensez également à expliciter les KPIs (taux de consentement par exemple) liés au projet, ainsi que leurs méthodes de calcul. Tout ceci est nécessaire pour éviter de mauvaises interprétations qui pourraient potentiellement remonter haut dans la hiérarchie.

La CMP répond à tous les critères énoncés par la CNIL, et correctement utilisée elle permettra de limiter les impacts de la mise en conformité sur le suivi de votre audience. C’est cependant un chantier qui peut être long à mettre en place : ne tardez pas à le démarrer afin d’être en conformité à temps pour mars 2021.

 Le règlement e-Privacy intervient dans un environnement en grande mutation (remise en question du traçage par cookies, fin des cookies tiers sur le navigateur Google Chrome en 2022), et protégera probablement les internautes un temps seulement. La mise en conformité à ces nouvelles recommandations n’est sans doute qu’une étape avant la prochaine évolution du cadre légal.