Armand Heslot (CNIL) : “De nombreuses CMP ne permettent pas d’obtenir un consentement de l’utilisateur”

Une CMP est-elle obligatoire pour un éditeur média ou un vendeur publicitaire qui collecte des données ?

Non, mettre en place une CMP n’est pas une obligation légale. En revanche, tout éditeur d’un site web a l’obligation légale d’obtenir le consentement des internautes avant le dépôt de cookies ou l’utilisation d’autres techniques couvertes par l’article 32-2 de la loi Informatique et Libertés. La loi n’impose aucune solution technique aux éditeurs, que ce soit une CMP, un tag manager ou une solution développée en interne ; l’essentiel est que le consentement des internautes soit obtenu, et qu’en cas de refus aucun cookies ne soit lu ou écrit.

L’action positive comme le scroll après un bandeau d’information à la pose de cookies suffit-elle à recueillir valablement un consentement internaute ?

Oui, sous réserve que les cookies ne soient pas déposés avant cette action positive et que l’éditeur du site web fournisse aux internautes un moyen d’opposition efficace. Cette position est propre à la CNIL en France et pourrait être amenée à changer dans les mois qui viennent, par le biais d’une uniformisation de notre doctrine avec nos homologues européens et des évolutions à venir sur ePrivacy. Nous travaillons activement sur le sujet mais nous ne pouvons pas donner de calendrier précis pour le moment. Sur le fond, la définition de consentement devra à terme être totalement alignée sur celle de nos homologues.

Les CMP que l’on voit se développer actuellement sont-elles “compliantes” ?  Avez-vous déjà initié des enquêtes liées aux CMP ?

La CNIL ne communique pas sur les enquêtes en cours. Nous n’avons pas réalisé d’analyse exhaustive des CMP. Mais on constate de très grandes disparités au niveau des modalités de mise en œuvre des CMP et notamment de leur interface utilisateur. Ce qui est certain, c’est que de nombreuses CMP ne permettent pas d’obtenir un consentement de l’utilisateur.

De plus, il ne faut pas oublier que les CMP ne sont pas des tag manager, c’est-à-dire que pour que le mécanisme soit effectivement conforme, il faut que les régies publicitaires prennent effectivement en compte le signal de consentement. Concrètement, cela signifie que si un internaute refuse de donner son consentement sur le site d’un éditeur, mais que les autres régies présentes sur le site ignorent ce refus, les traitements réalisés ne pourront pas être considérés comme licites.

Une CMP revêt-elle des critères  d’UX design pour être “compliante” ?

Le design et l’UX des CMP doit permettre de garantir que le consentement est libre, spécifique, informé, univoque, et résulte d’un acte positif clair de la personne. Le RGPD et les lignes directrices du G29, endossées par l’EDPB (European Data Protection Board, ou en français, Comité Européen de la Protection des Données, l’organe européen indépendant qui contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne, ndlr) précisent quels sont les critères applicables.

Quels sont ces critères pour déterminer que le consentement est “libre” et “éclairé” ? Comment allez-vous évaluer la “privacy by design” ?

Concernant le caractère libre, cela signifie que le fait de consentir doit être un choix réel et non contraint de l’internaute, c’est-à-dire qu’il doit pouvoir accéder au site ou au service même s’il ne consent pas. De plus, donner son consentement doit être aussi facile que de ne pas le donner ou le retirer.

“Avant de consentir, l’internaute doit être informé notamment de l’identité du ou des responsables de traitement, de la finalité, de la possibilité de retirer son consentement et d’un éventuel transfert de données”

Par ailleurs ce consentement doit être indépendant d’une éventuelle acceptation de conditions générales. Concernant le caractère éclairé du consentement, cela signifie qu’avant de consentir – et j’insiste sur ce point – la personne doit être informée de l’identité du ou des responsables de traitement, de la finalité, des catégories de données traitées, de sa possibilité de retirer son consentement, d’une éventuelle prise de décision automatisée et d’un éventuel transfert de données vers des pays ne disposant pas d’une législation reconnue comme équivalente au RGPD.

Une CMP peut-elle tenter de faire accepter ou refuser d’un bloc par l’internaute l’ensemble des cookies ? 

Une CMP peut proposer une acceptation ou un refus global, mais elle doit permettre à l’utilisateur de choisir individuellement les responsables de traitement auxquels il souhaite consentir. En effet, les lignes directrices sur le consentement précisent bien que le consentement doit être donné par responsable de traitement, précédé d’une information suffisante pour assurer la transparence sur les traitements.

Dans sa recommandation de décembre 2013, la CNIL a indiqué que le consentement devait être obtenu par finalité. Notre compréhension à ce stade est que les traitements couverts par les CMP sont tous des traitements qui ont une finalité publicitaire. Dans ces conditions, demander un consentement global pour tous les destinataires est en ligne avec notre recommandation. Par contre, bien évidemment, l’utilisateur doit pouvoir refuser de façon globale aussi facilement qu’il peut consentir.

Avez-vous une analyse particulière voire différente sur la collecte et la gestion du consentement dans l’univers des applications mobiles ? Suffit-il pour un éditeur d’application de modifier ses conditions d’utilisation lors du téléchargement ?

Les règles applicables sont les mêmes pour les applications mobiles et les sites web, ce qui signifie donc que la modification des conditions d’utilisation ne permet pas d’obtenir un consentement. Les règles étant les mêmes, nos recommandations pour les acteurs de cet écosystème sont les mêmes que pour les éditeurs de site web.

La CNIL a mis en demeure les quatre principaux fournisseurs français de SDK dédié à la collecte de données mobiles géolocalisées à usage publicitaire. Avez-vous identifié d’autres techniques ou d’autres types d’acteurs publicitaires pour lesquels vous allez être particulièrement attentifs ?

La CNIL est attentive à l’ensemble des traitements publicitaires (dans sa dernière décision de mise en demeure de Vectaury le 8 novembre, la CNIL soulignait vouloir “sensibiliser les professionnels du secteur sur le manque de transparence dans les techniques de géolocalisation par le mobile” (…) “alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance”, ndlr).

“Concernant les plaintes déposées au Royaume-Uni par l’association Privacy International contre des acteurs publicitaires, certaines ont été déposées auprès de la CNIL qui va donc les traiter en coopération avec ses homologues”​

 

Quelle regard la CNIL porte-elle sur la mise en demeure de Facebook par l’Internet Society France pour manque de protection des données personnelles (lire ici), et sur les plaintes qui viennent d’être déposées au Royaume-Uni contre des acteurs des données publicitaires comme Criteo, Quantcast et Axciom (lire ici) ?

La mise en demeure adressée à Facebook est de la compétence des tribunaux civils. La CNIL a été informée de cette mise en demeure et nous suivons ce dossier, mais nous ne sommes pas compétents pour la traiter. Concernant les plaintes déposées par l’association Privacy International au Royaume-Uni contre des acteurs publicitaires, certaines ont été déposées auprès de la CNIL qui va donc les traiter en coopération avec ses homologues.

Le marché du marketing direct (l’emailing) repose beaucoup sur la prospection commerciale, dont la notion peut être élastique. Comment concilier la prospection avec le consentement préalable que suppose le RGPD ? Quelles vont être les critères de la CNIL ?

Ce sujet est assez éloigné des CMP. La CNIL travaille sur cet aspect et a récemment rencontré les associations professionnelles du secteur pour leur rappeler leurs obligations et présenter des solutions pratiques. La nécessité de se mettre en conformité avec la définition précisée du consentement et de veiller à disposer d’une base légale a été réaffirmée à cette occasion.

Comment gérer la collecte du consentement et la possibilité pour l’internaute de le modifier dans le cadre d’alliances entre propriétaires de données, par exemple pour le projet au sein du Geste pour un login unique commun à plusieurs éditeurs (lire ici) ?

Les règles pour le consentement sont les mêmes quels que soient les traitements concernés. Nous savons que certains éditeurs travaillent à un projet de login commun mais nous n’avons aucune information précise sur ce projet.

Allez-vous diffuser des guidelines pour aider les éditeurs et le marché publicitaire à se mettre en conformité avec le RGPD ?

Cela a déjà été fait. La CNIL et ses homologues ont réalisé plusieurs lignes directrices (consentement, transparence, prise de décision automatisée, droit à la portabilité, étude d’impact sur la vie privée…) dans le cadre du G29 puis de l’EDPB afin d’aider les entreprises à se mettre en conformité (par exemple ici). 

Ces lignes directrices ont fait l’objet d’une traduction en français et d’une communication sur notre site (les lignes directrices d’application du RGPD sont disponibles ici, celles liées spécifiquement au consentement ici, ndlr). La CNIL continue de dialoguer avec les associations professionnelles, mais à ce stade, c’est bien aux responsables de traitement d’agir et de se mettre en conformité avec les guidelines de l’EDPB.

À lire

Dossiers

RGPD : 11 éditeurs français ont créé leur propre consent management platform (CMP)

RGPD : 48 % des sites médias français disposent d’une CMP présumée valide

Entretiens

Nina Gosse (De Gaulle Fleurance & Associés) : "Le fondement de l'intérêt légitime n'est pas moins valide que le consentement"

Consentement au recueil des données personnelles : le marché français déjà dans la zone grise

RGPD : une grande partie du trafic français toujours sans information de consentement internaute