Le Comité européen de la protection des données (CEPD) a révisé ses lignes directrices à propos du principe de consentement, pierre angulaire du RGPD. Selon la législation européenne, pour être valide, un consentement doit être libre, éclairé, spécifique et univoque.
Une fois ces conditions posées, des zones d’ombre ont néanmoins persisté… et ont été exploitées, notamment grâce aux cookies. Pour rappel, ces témoins de navigation sont des fichiers déposés par le navigateur sur votre ordinateur lorsque vous surfez sur le Web, qui peuvent ensuite être utilisés à des fins commerciales.
Le mur de cookies, un obstacle au consentement
Afin de mieux protéger les internautes, le régulateur communautaire a tenu à préciser deux points cruciaux. Il s’attaque d’abord au principe des « murs de cookies ».
Le CEPD a tranché : aucun site ne peut conditionner l’accès à son contenu au traitement de vos données personnelles. Une pratique pourtant très répandue sur le Web.
« Le CEPD estime que le consentement ne peut pas être considéré comme libre si [un site Web, NDLR] fait valoir qu’un choix existe entre, d’une part, l’accès à son service qui implique le consentement à l’utilisation de données personnelles, et, d’autre part, un service équivalent offert par un tiers. […] Ce qui signifie qu’un prestataire ne peut empêcher les personnes concernées d’accéder à un service au motif qu’elles n’y consentent pas », détaille le paragraphe 38 des lignes directives actualisées au 4 mai 2020.
Comme seule alternative « accepter » ne vaut pas
Le document explicite, ensuite au point 40, avec un exemple :
« Un fournisseur de site Web met en place un script qui bloque la visibilité du contenu sauf pour [la fenêtre de la] demande d’acceptation de cookies et les informations sur les cookies qui seront mis en place et le traitement des données. Il n’y a aucune possibilité d’accéder au contenu sans cliquer sur le bouton “Accepter les cookies”. Puisque la personne concernée ne fait pas un choix authentique, son consentement n’est pas librement donné. »
En clair, les « murs de cookies » qui empêchent d’accéder au contenu d’un site sont illicites au regard de la législation européenne. C’est désormais écrit noir sur blanc.
« Sans ambiguïté », la règle d’or
De plus, le CEPD insiste sur l’importance du « sans ambiguïté » que doit revêtir le consentement de l’internaute pour être valide. De même que la condition d’accès à un site ne peut être le consentement, ce dernier ne peut pas être seulement valable s’il existe par le fait de poursuivre sa navigation.
Les sites « doivent concevoir des mécanismes de consentement clairs pour les personnes concernées, […] éviter toute ambiguïté et faire en sorte que l’action par laquelle le consentement est donné puisse être distinguée d’autres actions.
Par conséquent, le simple fait de continuer à utiliser un site Web n’est pas un comportement à partir duquel on peut déduire une volonté de la personne concernée de signifier son accord au traitement de ses données », précise le document dans le paragraphe 86.
La liberté d’y renoncer
Pour étayer, sa vision du consentement, le CEPD explique :
« Des actions telles que laisser défiler ou le “scrolling” d’une page ne correspondent en aucun cas à l’exigence d’une action claire et positive » induite par le consentement au regard du RGPD.
De fait, l’action de consentir ne peut faire l’objet d’un amalgame avec les activités ou les interactions, en parallèle, de l’utilisateur sur le site.
L’aspect actif du consentement doit aussi se retrouver dans la possibilité pour l’utilisateur de pouvoir le retirer à tout moment. Or, comment y renoncer si on ne sait même pas comment on y a consenti ?
The gem in the updated guidelines on #GDPR consent saying when action on a website may or may not constitute valid consent. Random user activity is not consent, for many reasons. Best reason: how to withdraw consent with equally random user activity? 😉 https://t.co/lRmtFySA8Q pic.twitter.com/XktzldSUH0
— Lukasz Olejnik (@lukOlejnik) May 6, 2020
Avec la mises à jour de ses lignes directrices sur la protection des données, le CEPD ne laisse plus de place à l’interprétation concernant les fenêtres de cookies et l’exploitation qui s’en suit des données personnelles à l’insu des utilisateurs. Les contours de cette notion juridique clé qu’est le consentement sont donc désormais bien dessinés, voire surlignés. Les consignes sont on ne peut plus claires : les cookies doivent être utilisées dans les règles… et avec modération.
« La Cnil des Cnil européennes »
Créé par le RPGD en mai 2018, le CEPD a pour mission « de clarifier les dispositions des actes législatifs européens en matière de protection des données et, de cette manière, fournir aux acteurs concernés une interprétation cohérente de leurs droits et obligations », détaille la Commission nationale de l’informatique et des libertés (Cnil). Plus simplement, c’est « la Cnil des Cnil européennes ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.