Cookies RGPD et consentement utilisateur

Les cookies, leur nature, leur rôle, leur utilisation, leur cadre juridique pour la protection des données et le consentement utilisateur.

EN BREF:

Bien des choses ont changé depuis la directive informatique et libertés de 1995. Le RGPD est passé par là depuis le 25 Mai 2018. En conséquence, les thématiques abordant les cookies rgpd et le consentement des utilisateurs abondent et changent la donne. Les cookies RGPD ou encore “Témoins de connexion” (évitons de penser uniquement aux “biscuits” de la traduction littérale  sont des petits fichiers texte issus de l’innovation numérique. Il peuvent être conservés sur le terminal connecté de l’usager lorsqu’il surfe sur le web, une messagerie. Ce traceur intégré contient et détient des informations et un certain nombre de données personnelles du particulier.

Pour arriver à une conformité au droit du RGPD, il faut absolument maîtriser la sécurité des internautes avec les cookies. La CNIL en France et le CEPD européen sont chargés de faire respecter les textes officiels pour la protection des publics. Les technologies liées aux cookies et autres traceurs sont partout. La CNIL est non seulement un organe de coercition mais aussi un vrai laboratoire d’innovation pour ces technologies nouvelles. Sa démarche open CNIL est très moderne. Certains la voient comme un censeur seulement mais en réalité elle fourmille de rapports, d’extraits de textes officiels commentés, et d’articles sur l’innovation numérique orientée citoyen. Cette démarche open cnil est tout à l’honneur des services publics. Parmi les services publics, elle fait partie des services les plus pointus en innovation numérique. Elle informe et soutient ceux qui sont largués et ont besoin d’aide. L’open Cnil regorge d’infos non seulement pour les services publics, mais aussi les entreprises, les commerces et les sociétés de marchés publics.

Besoin d’aide ? Suivons les principes clés et le fil d’ariane de leur fonctionnement. Les cookies sont des outils que les services marketing des entreprises et des divers marchés utilisent pour construire la publicité internet vers l’usager. Avec le RGPD, qui a remplacé la loi informatique et libertés, beaucoup de responsables ont besoin d’aide pour y voir plus clair. Ils veulent comprendre ce qui va changer dans ce domaine et les démarches à mettre en action. Quel sera donc le rôle du DPO, ce professionnel, dont le recrutement vise à orchestrer tout ce qui touche au RGPD:

• les cookies cnil et autres traceurs
• la loi informatique européenne, le RGPD
• les rapports avec la CNIL en France
• la sécurité de l’avancée en matière d’innovation numérique
• la sensibilisation des personnels aux thématiques de la loi informatique et libertés
• la formation aux thématiques de protections des données
• le respect des textes officiels et du droit
• la sécurisation vers les marchés informatiques

Il devient le maître d’oeuvre et le responsable de tous les “rgpd cookies” émis et conservés par un organisme lambda.

Il sera le vrai pilote, le vrai responsable de l’adéquation au RGPD du contenu, des textes, des collectes et des traitements. Son action est déterminante pour la sécurité des données personnelles. Les cookies rgpd ou cnil sont très concernés par le rgpd. Le recrutement d’un DPO permet que ce dernier entreprenne toute une série de démarches:

• Formation,
• sensibilisation,
• démarches transversale vers les services,
• anticipation,
• évaluation PIA ou AIDP
• registre pour configurer en amont les processus de collecte des données personnelles via les cookies

Sans craindre l’opposition des services internes, des sous-traitants ni de la direction, il accomplit son travail de structuration claire et limpide des rapports avec l’usager pour la protection des données. Le DPO propose aux entreprises comme aux services publics des solutions innovantes. Partant du droit du RGPD, il réalise un travail qui mixe les avancées en matière de technologies avec la directive CNIL propre au nouveau règlement européen. C’est vrai que le recrutement d’un bon DPO n’est pas une mince affaire, c’est un travail minutieux et qui exige beaucoup de sérieux. L’avenir de votre organisme en dépend.

La commission du CEPD, organisme européen qui contrôle la mise en conformité, fixe une norme élevée en matière de consentement des individus pour l’utilisation de leurs données personnelles. Cependant, très souvent, un organisme n’a pas besoin de consentement. Si le consentement est difficile à obtenir, on peut chercher et trouver un autre fondement juridique, en lien avec l’autorité de contrôle, la CNIL en France, y compris à l’intérieur du règlement européen.

Les cookies RGPD, leur nature

Des données personnelles concernant l’usager sont donc enregistrées lors de la première visite d’un site dans le fichier texte de ces cookies. On nommera cookies rgpd tous les cookies qui entrent dans le champs d’application de la loi informatique et du règlement européen. Cela concerne par exemple le choix de langue pour un site Internet. Lorsque l’on visite ce site Internet ultérieurement, ce cookie est renvoyé au site en question. Les responsables du traitement des données de la vie privée des personnes physiques reconnaissent ainsi votre navigateur/terminal, et donc vous reconnaissent. Ainsi, ils peuvent par exemple retenir le choix de la langue. L’information sur la langue de l’internaute est plutôt utile et peu susceptible d’être nocive. De toute façon, l’internaute dans tous les cas peut refuser de se déterminer mais dans ce cas de figure, c’est peu probable. L’usager à le droit de réagir en cas de problème et de demander un désabonnement immédiat. Autre point, dès que l’on aborde la question de la politique, de la religion, ou de l’orientation sexuelle, les cookies rgpd deviennent vecteurs de ce que l’on appelle des données sensibles. Et dans ce cas-là, le cadre légal et juridique du rgpd est tout à fait concerné. L’internaute peut à tout moment utiliser les outils qu’impose le rgpd aux organismes. Il est bien préférable qu’il n’en arrive pas aux plaintes. Le rgpd est complètement orienté pour préserver les libertés individuelles.

Les cookies RGPD, leur rôle

Les “cookies” en réalité ressemblent plutôt à un couteau suisse. Ils permettent de collecter de nombreuses informations sous des appellations comme HTTP, “flash”” web bugs ” et servent à bien d’autres finalités et traitements de données que de vous proposer la version du site dans votre langue préférée. Dès lors cela concerne forcément le législateur et régulateur notamment la CNIL quand à une conformité RGPD du cookie. Cette dernière met à disposition l’accès à un certain nombre de ressources intéressantes dans sa démarche “open cnil”, des textes officiels, des thématiques et des rapports annuels.

Ainsi, les publicités diffusées dans les espaces publicitaires ou d’information d’un site web (commerces, entreprises, services publics, marchés publics)  peuvent également contenir des cookies déposés par des tiers, tels que : l’annonceur lui-même ou d’autres sociétés (agence de conseil en communication, de mesure d’audience, régies publicitaires,…).

Même si elle n’est pas aussi “sensible” ni médiatisée que celle de Facebook , votre Politique d’Utilisation des Cookies doit être conforme au RGDP…

Les RGPD cookies, les libertés individuelles et le consentement utilisateur

L’article 4 du RGPD traite du caractère « éclairé et univoque » du consentement. Le terme “consentement” signifie que l’internaute dispose d’un choix et d’un contrôle réel dès la première utilisation de ses données personnelles. Le consentement donné de façon véritablement personnalisé doit confier aux individus la charge d’accepter ou de refuser l’utilisation de leurs données personnelles sur les sites.

• Avant tout cela vise à établir la confiance et l’engagement envers l’organisme qui collecte les cookies. Cela contribue énormément à améliorer la réputation de l’organisme. Toutefois, il faut avouer que la surenchère en matière de demande de consentement devient extrêmement pénible pour les utilisateurs et elle va devoir être régulée.
• Les entreprises, les services publics où les divers organismes doivent donc vérifier leurs pratiques. Dès qu’un cookie cnil transporte des données personnelles des usagers, il passe désormais dans les “rgpd cookies” Qui doivent être surveiller. Plus encore, dès la conception d’un projet de traitement de collecte de données, chaque organisme devra réfléchir avec son DPO à la conformité au rgpd. Cette surveillance sera constante et rafraîchie régulièrement pour vérifier que les cookies rgpd répondent bien à la norme.

Pourquoi le consentement est-il important ?

Protéger les données personnelles et maintenir les libertés individuelles sont les lignes directrices du règlement européen dont la CNIL est l’autorité de contrôle.  Le consentement est l’une des bases légales du traitement et le consentement explicite peut également légitimer l’utilisation de données de catégorie spéciale, les fameuses données sensibles.

PIA ou AIDP, l’Analyse d’Impact de la Protection des Données en lien avec les cookies.

Lorsqu’il y a risque de violation de données de catégories spéciales, les données sensibles, on doit pratiquer en amont une PIA (Privacy Impact Analysis) aujourd’hui AIPD/DPIA. Cette PIA permet de construire une évaluation précise  pour maîtriser le facteur risque. Il est important de noter que la PIA ou AIPD ne s’impose que lorsque se présente un risque élevé pour les droits et libertés des personnes physiques.

Le consentement peut également être pertinent lorsque la personne a exercé son droit à la restriction. Enfin, le consentement explicite peut légitimer la prise de décision automatisée et les transferts de données vers l’étranger.

S’appuyer sur un consentement inapproprié ou invalide peut détruire la confiance et nuire à la réputation d’un organisme et l’exposer à de lourdes amendes et sanctions. Et il vaut mieux l’anticipation que les sanctions.

Quand le consentement aux “rgpd cookies” est-il approprié ?

Le traitement doit s’appuyer sur une base légale. Toutefois, il existe des solutions de rechange qui ne sont pas en soi moins bonnes ou moins importantes qu’un consentement explicite. Donc, si le consentement est difficile, un organisme peut envisager d’utiliser une solution de rechange.

Le consentement est approprié si l’organisme peut offrir aux internautes, personnes physiques, un véritable choix et un contrôle sur la façon dont il va utiliser leurs données. Mais s’il ne peut pas offrir un véritable choix, le consentement n’est pas approprié.

Si un organisme, entreprise ou administration, fait du consentement une condition préalable à un service, il est peu probable qu’il s’agisse bien de la base légale la plus appropriée.

Les services publics, les employeurs du monde du travail et les autres organisations en position de pouvoir sur les individus devraient éviter de se fier au consentement à moins qu’ils ne soient absolument certains de pouvoir démontrer qu’il est accordé librement.

Consentement réel et non fictif

Le consentement nécessite un opt-in positif. Les organismes ne devraient pas avoir recours à des cases pré-cochées ou à toute autre méthode de consentement par défaut. Des technologies de l’information plus récentes s’adaptent mieux aux exigences Cnil.

Le consentement explicite exige une déclaration de consentement très claire et précise. Avec le RGPD, les organismes conservent les demandes de consentement séparément des autres modalités et conditions. Des demandes précises pour des réponses précises. Un consentement vague ou général ne suffit pas. Etre clair et concis.

Si un organisme tiers doit d’utiliser les cookies rgpd des utilisateurs d’un site et le consentement qui en découle, il doit être nommé. Faire en sorte qu’il soit facile pour les utilisateurs de retirer leur consentement. Il faut leur en indiquer clairement la méthode. Conserver les preuves du consentement est la charge et le devoir du DPO. Qui, quand, comment et tout ce qui a été demandé à l’internaute.

Encore une chose, il vaut mieux éviter de faire du consentement au traitement une condition préalable à la prestation d’un service. Les autorités publiques et les employeurs devront prendre des précautions supplémentaires particulières pour montrer que le consentement est accordé librement. En général, il est quand même préférable de ne pas trop s’appuyer sur le consentement, d’autres technologies internet sont disponibles.

Les cookies RGPD, leur cadre juridique

• Le RGPD a remplacé en Mai 2018 la directive nationale de 1995 de la Cnil. Avant tout, un organisme devra toujours vérifier dans sa gestion des cookies cnil ou rgpd que le consentement est la base légale la plus appropriée pour le traitement. En effet, il existe d’autres façons de fonctionner. Les innovations en technologies internet se font de plus en plus pointues. Elles permettent de nouveaux horizons à la loi tout en maintenant la sécurité du citoyen.
  Cette demande de consentement n’est pas une possibilité mais une nécessité. Dès lors que des données personnelles sont contenues et véhiculée par les cookies, ce sont des cookies rgpd. Ils entrent dans le champs du rgpd dont plusieurs articles fixent le cadre.
• C’est une obligation de mettre directement en évidence la demande de consentement, séparée et non insérée entre deux paragraphes des termes et conditions générales. La démarche de l’internaute doit être une démarche positive. Ainsi, les cases pré-cochées sont plutôt à éviter. De même, c’est aussi une nécessité d’utiliser un langage clair et simple.
• De surcroît, l’organisme collecteur, y compris les services publics, précise aussi les raisons de cette collecte et ce qu’il compte faire des données personnelles collectées. Les entités publiques ou les entreprises doivent aussi proposer si nécessaire plusieurs options bien distinctes en fonction de finalités qui seront distinctes elles-mêmes. Chaque internaute et utilisateur doit aussi être informé qu’il peut retirer facilement son consentement et avoir accès à une directive claire et explicative pour le faire. Chaque organisme se doit de se nommer et d’identifier les partenaires tiers qui pourraient utiliser ces données personnelles.
• Une chose encore, en France et en Europe, par conformité au RGPD, le consentement doit être libre et non sujet à des pressions ou à des préjudices possible en cas de refus.  De la même manière, un usager qui souhaite retirer son consentement ne sera pas pénalisé. Un usager dont les références sont indiquées sur un site à le droit au déréférencement. De même, les systèmes d’abonnement en ligne doivent avoir un lien de désabonnement ou un processus de désabonnement intégré. Ce droit au déréférencement est désormais absolu. Pour connaître les principes et le contenu principal des textes et des principes qui régissent ces droits, vous pouvez consulter le site de la Cnil, la commission nationale informatique et libertés , autorité de contrôle RGPD ou directement télécharger sur notre site les textes officiels du RGPD lui même. La conformité au RGPD n’est plus une option, c’est une nécessité urgente sous peine de sanctions très lourdes.
• Chaque entreprise ou entité publique évite de faire du consentement une condition sine qua non et préalable à un service.
• Une information sur la forme et le temps d’affichage. Le consentement ne peut jamais être équivoque ou ambigu : le bandeau ne peut jamais disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site.
• Prenons le cas où des organismes proposent des services en ligne directement adressés aux enfants. Cette demande de consentement ne peut se faire que si une demande de vérification de l’âge (et des mesures de consentement parental) a été proposée pour les plus jeunes enfants).
• Il est impératif de conserver dans des registres officiels les éléments de demande de consentement, la date, les motivations et le nom du traitement.
• Des processus sont mises en place afin de rafraîchir et actualiser les demandes de consentement ainsi que les autorisations parentales.

Comment  créer un site “nouvelle norme rgpd” ou “rgpd web” avec des “cookies rgpd ou cookies CNIL”, conforme à la loi et au droit européen avec DPO101.

Les Cookies RGPD et le « paquet télécom » selon la CNIL doit être compris à la lumière des obligations RGPD. La loi impose aux responsables officiels des sites et aux fournisseurs de solutions web d’informer les internautes et de recueillir leur consentement avant l’insertion de cookies ou autres traceurs .

A l’aide de leurs bases de données multi-secteurs et collectées depuis des années, les experts DPO101 assistent votre organisation dans la rédaction et la particularisation de ce “bandeau” . Nous veillons avec vous particulièrement à ce que le consentement obtenu et le “message cookies”, soient tous deux conformes au RGPD.

Au terme du parcours de mise en conformité complet proposé par DPO101, nos clients peuvent apposer sur leurs sites la notice de conformité GDPR – RGPD originale DPO101 ©  suivante :

“Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte, des finalités et des destinataires de la communication légale et de sa conformité optimale au Règlement Général sur la Protection des Données ainsi que des risques, dont le degré de probabilité et de gravité varie. Pour les droits et libertés des personnes physiques concernées par la communication, nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de communication adapté pour les internautes et le plus conforme au Règlement Général sur la Protection des Données”.

Les méthodes de mise en conformité RGPD des cookies mises en place par DPO101

Etape 1 : Informer valablement vos clients et obtenir le consentement sur les cookies grâce à nos experts

• Quels cookies sont placés ? Quels autres traceurs ?
• A quoi servent-ils (mesurer l’audience, à des fins de publicité et de marketing,…) ?
• Comment puis-je m’y opposer à tout moment ?
• Comment changer mes paramètres d’acceptation de ces cookies rgpd / traceurs ?

Les experts DPO101 assistent votre organisation et ses clients et prospects dans la rédaction et la particularisation de ce “bandeau cookie”. Nous veillons particulièrement à ce que le consentement obtenu ET le “message cookie”, soient tous deux strictement conformes au RGPD.

Etape 2 : Laboratoire d’innovation, nos pages “En savoir plus” formulées en termes clairs et simples 

Notre démarche pour accompagner l’innovation est bien ancrée désormais. Véritable laboratoire d’innovation des technologies internet de l’information, notre équipe est prête à accompagner votre propre équipe. Nous utilisons des outils de rédaction basé sur l’AI / IA (Intelligence artificielle)  qui transforment le langage juridique en langage clair. En effet, parmi les obligations du RGPD, un site internet doit s’adresser de façon accessible à ses clients. Autrement dit, le RGPD vous envoie le message suivant : NON AUX TERMES JURIDIQUES ET IT (informatiques) INCOMPREHENSIBLES… C’est simplement prohibé depuis le 25 mai 2018 pour toutes les informations que l’on communique aux personnes concernées par le Règlement Général sur la Protection des Données. DPO101, vrai laboratoire d’innovation et d’adaptation au RGPD transforme la contrainte en une opportunité fantastique.