Cookies : la CNIL rappelle à l’ordre sur le consentement
Pour la CNIL, pas question de forcer les internautes à accepter les cookies : la Commission annonce aujourd’hui la mise en demeure de plusieurs organismes sur la question de l’acceptation des cookies par les internautes.
Dans son communiqué, la CNIL indique que cette mise en demeure fait suite à des vérifications réalisées en ligne en début d’année 2021, qui ont permis à la Commission de « de constater qu’un certain nombre d’organismes ne permettaient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter. »
La CNIL avait publié en 2020 des lignes directrices en matière de gestion des cookies.
Celles ci sont basées à la fois sur le RGPD et la directive e-privacy, les deux textes européens qui encadrent la gestion des cookies pour les éditeurs de site web. La Commission avait alors indiqué que les entreprises concernées disposaient d’un délai pour se mettre en conformité avec les lignes directrices. La fin de cette période de grâce était alors envisagée pour le mois de mars 2021, soit six mois après la publication des directives de la Commission. Dans ses lignes directrices, la CNIL précisait bien que « refuser les traceurs doit être aussi aisé que de les accepter. »
Sûrement pas les derniers
Une condition qui n’était pas remplie par la vingtaine de sites inspectés par la CNIL en début d’année. Ceux ci disposent donc d’un mois à compter de cette mise en demeure pour rectifier le tir. Ils s’exposent sinon à une amende pouvant s’élever jusqu’à 2 % de leur chiffre d’affaire si les délais ne sont pas respectés.
La CNIL précise qu’il ne s’agit là que de la première fournée : la Commission entend continuer les contrôles et les vérifications au cours de l’année 2021, et d’autres organismes pourraient donc passer dans le collimateur de la CNIL pour ces mêmes questions.
L’annonce de la CNIL intervient alors que le RGPD fête aujourd’hui les trois ans de son entrée en vigueur dans l’union européenne. Ce texte est l’une des pierres angulaires de la législation en matière de cookies et de protection des données personnelles en Europe. Le bilan après trois années est contrasté : si celui ci a permis aux autorités de protection des données comme la CNIL de bénéficier d’un plus grand pouvoir de sanction, de nombreuses voix déplorent l’application insuffisante du texte. Certains évoquent même la possibilité d’une éventuelle refonte du texte. L’autre texte majeur en la matière est la directive e-privacy, qui date de son coté de 2002. Ce texte doit lui aussi bénéficier d’une mise à jour mais celle ci tarde à voir le jour.
