RGPD, Cookies, CNIL, CMP, TCF, Analytics
Portrait Olivier Duffez

Olivier Duffez

Créateur de WebRankInfo,
consultant en référencement

RGPD : gestion du consentement des cookies avec une CMP

Comment gérer le consentement de l’utilisateur pour les cookies, afin de respecter les directives 2021 de la CNIL (et du RGPD) ? Comment utiliser une Consent Management Platform (CMP) ? Réponses dans ce dossier détaillé.

Les exigences du RGPD depuis mai 2018, vous connaissez je suppose 😖

La saison 2 arrive, avec de nouvelles règlementations de la CNIL concernant les cookies et autres traceurs 😱

Il va vraiment falloir obtenir le consentement explicite des internautes avant de pouvoir utiliser (la plupart) des cookies. Après 6 mois de « tolérances », la CNIL a décidé de mener des contrôles à partir du 1er avril 2021 📆

Pour vous aider à vous mettre en règle le plus simplement possible, j’ai publié ce dossier très complet 🤩

En plus de mes propres recherches, j’ai récolté les principales questions et obtenu des réponses de professionnels. Ceux-ci font partie des CMP les plus connues en France (CMP = Consent Management Platform, Plateforme de gestion du consentement). Je les remercie pour le travail que nous avons pu faire ensemble. Vous verrez des liens (parfois affiliés) vers leurs sites qui présentent leurs solutions (commerciales). Pour chaque aspect, j’ai lancé une discussion dans le forum pour que vous puissiez poser vos questions.

Voici tous les articles de ce dossier :

Avant de commencer…

Comment savoir si vous êtes-vous concerné par la gestion du consentement des cookies ?

Vous avez malheureusement très peu de chance d’échapper à tout ça… Vous êtes concerné si vous rentrez dans une ou plusieurs de ces situations :

  • vous affichez de la publicité sur votre site (en direct et/ou via une régie)
  • vous utilisez Google Analytics (ou une autre solution Analytics)
  • vous intégrez des scripts tiers (vidéo, iframe, …)
  • des cookies sont déposés lors d’une visite sur votre site (par vous ou un tiers), sauf très rares exceptions

C’est parti !

Les nouvelles directives cookies 2021

Historique de la règlementation de la CNIL

  • en 2018, le RGPD est entré en application
  • le 4 juillet 2019, la CNIL a adopté des lignes directrices rappelant le droit applicable. Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’Etat.
  • le 31 mars 2021 est le dernier jour de la période d’adaptation tolérée par la CNIL. Les contrôles sont donc renforcés depuis le 1er avril 2021.

Ce qui a changé en 2021

  • Concernant le consentement des utilisateurs :
    • la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
    • les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
    • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
    • Refuser les traceurs doit être aussi aisé que de les accepter.
  • Concernant l’information des personnes :
    • elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
    • elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
    • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Pour en savoir plus, lisez les recommandations de la CNIL sur les cookies et autres traceurs.

OK, après ces petits rappels, passons aux questions-réponses !

Evolution de la règlementation dans les années à venir

Question :

Sait-on déjà comment va évoluer la règlementation et si ça va encore se durcir dans les années à venir ?

Axeptio :

Difficile à dire, il faut déjà que cette version de loi soit adoptée massivement par les éditeurs français et internationaux. En revanche, on sait que les cookies tiers vont disparaitre d’ici 2022 avec les navigateurs qui changent les règles de blocage.

ConsentManager :

La directive européenne ePrivacy est en préparation. Il semble que le consentement doive devenir la base légale pour presque tout, sauf le fonctionnement essentiel du site web. Des procédés considérés comme trompeurs ou trop insistants seront interdits et les règles pour considérer un consentement comme valide deviendront plus strictes.

SFBX

Nous pouvons constater que la tendance législative mondiale tend à rééquilibrer les rapports entre les acteurs du numérique et les internautes/mobinautes et à imposer la protection et la transparence dans les usages des données à caractère personnel. Par exemple, le RGPD est applicable depuis mai 2018 en Europe et le CCPA en Californie depuis le 1er janvier 2020.

Cela va encore évoluer, pour preuve : le règlement européen “ePrivacy” visant à réviser la directive 2020/58/ CE du 12 juillet 2002 dite “ePrivacy”, modifiée en 2009, est en cours de négociations entre le Conseil de l’Union européenne et le Parlement européen sur le texte définitif. Cette révision s’inscrit dans une perspective d’harmonisation avec le RGPD et entre dans le cadre des travaux menés sur la stratégie du marché unique numérique annoncée par la Commission européenne en mai 2015. En novembre 2020, les habitants de la Californie se sont prononcés pour un renforcement et un élargissement du périmètre du CCPA afin de l’aligner davantage sur le RGPD Européen.

Sirdata

Nous avons déjà une idée claire du futur et de ce qui va impacter la publicité digitale. En Europe d’abord, la réglementation va probablement évoluer dans les deux prochaines années avec le Digital Service Act, le Digital Market Acts sur lesquels l’EDPS s’est exprimé, le règlement ePrivacy dont le nouveau projet a été publié (PDF en anglais) et sert de base aux négociations actuelles. Pour vous illustrer simplement ce qui se prépare, aujourd’hui il est nécessaire de recueillir un consentement pour les cookies mais certaines données personnelles comme l’adresse IP peuvent être traitées sur la base d’un intérêt légitime, ou si vous préférez nous pouvons encore espérer afficher de la publicité sans consentement, mais le régulateur pourrait aller dans les faits jusqu’à interdire la publicité ciblée et conditionner la publicité non personnalisée à un consentement préalable. Par ailleurs certaines initiatives privées comme celles de navigateurs internet vont plus que probablement aboutir à la disparition des cookies tiers et des revenus que les petits éditeurs arrivent à en tirer. Rien n’est figé et nous participons à défendre nos intérêts communs, car nous-mêmes tirons nos revenus de la donnée personnelle traitée à des fins publicitaires, contrairement aux éditeurs de CMP qui facturent leur service.

Didomi :

En France, il est peu probable que la réglementation évolue significativement dans les prochaines années, car la CNIL est une autorité en avance au niveau mondial. En effet, la France fait partie des seuls pays au monde où l’acceptation et le refus des cookies est sensé être équivalent, la rétractation doit être aussi simple que le fait de donner un consentement… Il est probable que la CNIL se concentre sur la mise en application et sur les sanctions après avoir fait beaucoup de pédagogie. Néanmoins, il est très probable que la réglementation se durcisse autre-part en Europe, dans le sens où peu de pays soumettent l’utilisation de traceurs au consentement, et dans d’autres pays dans le monde. Gartner prédit que, d’ici 2023, 65% de la population mondiale sera « couverte » par une réglementation de protection de leurs données personnelles.

Ce que ces règles changent pour vous

Gestion internationale : internautes ou éditeur du site ?

Question :

J’aimerai savoir ce qu’il en est pour les sites à dimension internationale. Par exemple, un site dont le siège est à l’étranger mais possédant une version française de son site disponible en France et proposant même des produits à la vente pour la France, le pays étranger n’étant pas régi par une politique légale sur les données personnelles et dépôt de cookies. Doit-elle se conformer aux règles de la CNIL alors que l’éditeur du site est étranger ?

ConsentManager :

Oui, peu importe la nationalité de l’entreprise, ce qui compte est la localisation du visiteur. Si le visiteur et donc l’activité est en France, la SFBX :

L’article 3 du RGPD adresse le champ d’application territorial du règlement en indiquant dans le paragraphe 1 : “« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement, d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »
Donc cela s’applique :
aux fournisseurs localisés en dehors de l’Union mais dont les services sont utilisés par un responsable du traitement ou un sous-traitant localisé sur le territoire de l’Union pour traiter les données personnelles, ou
aux données personnelles traitées par un sous-traitant localisé sur le territoire de l’Union pour un responsable du traitement localisé en dehors de l’Union mais pour le traitement des données à caractère personnel des personnes concernées qui se trouvent sur le territoire de l’Union.
L’article 3(2) du RGPD confirme en disposant que “ le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »
Les guidelines et recommandations de la CNIL venant appuyer les modalités d’application du RGPD en France, elles s’appliquent donc à l’exemple que vous venez de donner.

Sirdata :

Le recueil d’un consentement préalable à l’utilisation des cookies trouve son origine dans l’article 82 de la Loi Informatique et Libertés. Ainsi que vous pouvez le constater à la lecture des points I et II de l’article 3 de cette même loi, elle s’applique aux Responsables de traitements et Sous-traitants établis en France, ou ceux établis à l’étranger lorsque la personne concernées réside en France. Les règles sont donc théoriquement les mêmes quel que soit le site, dès lors que l’internaute habite en France.

Didomi :

Oui, dès lors que ce site (ou cette application, ou cette enceinte connectée…) collecte et traite des données de citoyens français, il doit se soumettre aux recommandations de la CNIL.

Axeptio :

Oui, la loi s’applique systématiquement pour tous les visiteurs européens, peu importe où est positionné l’éditeur du site.

Qu’en est-il pour les sites gérés par des particuliers ?

Question :

Quelles sont les conséquences/risques pour les non professionnels (sites de particuliers) ?

SFBX :

Le RGPD concerne en premier lieu les organismes privés et publics, quelle que soit la taille de la structure.
Donc un particulier ayant un statut d’auto-entrepreneur pour gérer son site internet ou application y sera soumis. En outre, l’introduction du RGPD déclare :
“Le présent règlement ne s’applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l’échange de correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités.”
Mais ajoute cette précision :
“Toutefois, le présent règlement s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.”
Le RGPD et donc les lignes directrices ainsi que la recommandation de la CNIL s’appliquent à tous les sites ou applications qui collectent, stockent et utilisent des données à caractère personnel. Donc si un particulier donne les moyens via son site ou son application d’échanger des informations ou les collecte pour un usage non strictement personnel alors il est considéré comme le responsable de traitement.
Si il traite des données pour le compte d’autres particuliers ou entreprises alors il est considéré comme sous traitant.
Donc en cas de non respect du règlement européen, le particulier reconnu responsable de traitement ou sous traitant s’expose aux sanctions suivantes :

  • un rappel à l’ordre ;
  • Injonction de mettre le traitement en conformité, y compris sous astreinte ;
  • Limitation temporairement ou définitivement d’un traitement ;
  • Suspension des flux de données ;
  • Ordonnance de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
  • Prononciation d’une amende administrative.

Sirdata :

Les particuliers sont soumis au RGPD et à la Loi Informatique et Libertés au même titre que les entreprises. Le RGPD définit à l’article 4 que les Responsables de Traitement, Sous-traitants et Destinataires peuvent être une personne physique ou morale, une autorité publique, un service ou un autre organisme. La Loi Informatique et Liberté prévoit cependant à l’article 2 une exception pour les particuliers dans le cadre d’activités strictement personnelles ou domestiques, mais un revenu tiré de la publicité n’entre pas dans cette définition, même sur un site personnel. Les sanctions à titre personnel en cas d’infraction à une disposition de la Loi Informatique et Libertés peuvent atteindre 300.000€ d’amende et 5 ans d’emprisonnement : Art. 226-16 : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Didomi :

Il y a 3 risques :

  • la perte de la confiance des utilisateurs,
  • le dommage en termes de réputation
  • et évidemment celui de se voir infliger une amende.

Pour le moment, seules des grandes entreprises ont été sanctionnées pour manque de consentement, à savoir Carrefour (3 millions d’euros), Amazon (35 millions d’euros) et Google (100 millions d’euros).

Axeptio :

Contrairement au RGPD (consentement marketing), la loi est identique pour les sites BtoC et BtoC. Il s’agit donc là de valoriser les services utilisés par l’éditeur, en privilégiant la transparence et la pédagogie, pour recueillir le consentement éclairé de ses utilisateurs.

ConsentManager :

Les sites de particuliers ne sont pas exemptés, ils doivent respecter les mêmes règles.

Preuve du consentement

Question :

J’ai lu qu’on devait être en mesure de prouver le recueil du consentement. En dehors de l’incapacité à naviguer sur le site sans consentement, existe-t-il un fichier généré ? Si oui, où est-il ?

Sirdata :

Ainsi que vous pouvez le lire à l’article 4- 48 de la Recommandation Traceurs de la CNIL (voir PDF), s’agissant de la preuve de validité du consentement, la Commission recommande notamment et non exclusivement que les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP, pour «Consent Management Plateform») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions. C’est évidemment ce que nous mettons en œuvre, aussi, en cas de contrôle nous vous aiderons à fournir cette preuve : Sirdata CMP opère dans le cadre du TCF (Transparency and Consent Framework) V2 de l’IAB Europe, stocke un signal de consentement (TC string chargées dans les pages) et peut fournir ces preuves sur demande en cas de besoin/contrôle. Attention à bien garder en tête qu’il s’agit de démontrer que le consentement est valide, et pas uniquement qu’il a été recueilli, donc nous comptons sur vous pour mettre en œuvre les tâches qui vous incombent et en particulier conditionner les tags pour attendre le choix de l’utilisateur et lui donner la possibilité de les modifier ultérieurement.

Axeptio :

Certaines CMP comme Axeptio génèrent automatiquement des registres de consentement. Accessible depuis le back office de l’outil, ce fichier au format CSV est exportable à tout moment et synchronisable facilement avec ses outils (CRM, marketing automation, data warehouse …)

ConsentManager :

Il faut conserver l’historique de tous les consentements et pouvoir fournir cette trace de consentement en cas de demande. Nous stockons plus de 20 SFBX :

La preuve du consentement ou du refus est un élément central du RGPD.Toutes les CMP vous permettent d’apporter la preuve du consentement mais avec des formats différents.
Il n’existe pas de type de fichier normé.
Nous utilisons une blockchain privée ancrée dans une blockchain publique (Bitcoin) qui nous permet de conserver de façon immuable le consentement de votre visiteur mais également le contexte dans lequel il a été pris, à savoir la granularité de ses choix par finalités et partenaires, la version de la notice qui a permis de recueillir le consentement, la source, l’heure et le jour. Nous conservons également l’historique des modifications du consentement par l’utilisateur avec tous ces éléments.
La preuve et l’historique sont directement disponibles dans le back office de notre solution donc consultable et exportable à tout moment en cas de contrôle ou de demande d’exercice des droits par vos visiteurs.

Cela concerne-t-il uniquement les cookies ?

Question :

Tout le monde ramène cela aux « cookies », mais alors, lorsqu’un navigateur bloque les cookies tiers, plus besoin de recueillir un consentement (si on n’utilise pas de cookies soi-même bien entendu)? Et quid des LocalStorage, SessionStorage, WebSQL et TrustTokens? Personne ne semble en parler.

Didomi :

Si un site n’utilise pas de cookies (ou autre traceurs, comme des pixels ou des techniques de fingerprinting), ou si seuls des cookies exemptés de consentement sont utilisés, il n’y a effectivement pas besoin de recueillir un consentement. Le site Nextimpact assure cette posture (voir ce tweet), et il est probable que davantage de sites fassent de même dans les prochains mois et années. C’est une posture saine, même si cela restreint beaucoup les possibilités de mesure, d’optimisation ou de monétisation pour les éditeurs.

Axeptio :

De nombreux articles de presse ont pu vous laisser penser que les navigateurs les bloqueront désormais tous. Du coup, plus besoin de bandeau ou d’interface de consentement. Et pourtant non, car vous utiliserez d’autres technologies de traçage ou des cookies first parties qui restent soumis aux exigences de la CNIL. LocalStorage, SessionStorage, WebSQL et TrustTokens => En fonction des évolutions des navigateurs, le cookie sera en effet remplacé par d’autres technologies de traçage. Local storage, device fingerprinting… L’utilisation publicitaire de ces traceurs nécessitera le consentement de vos internautes.

ConsentManager :

Effectivement, lorsqu’un navigateur est paramétré pour bloquer tous les cookies tiers et que le site ne crée pas ses propres cookies, il n’est pas nécessaire d’afficher une demande de consentement. Et nous ne le faisons pas, pour ne pas déranger le visiteur inutilement. Nous considérons que l’utilisateur a refusé tous les cookies. Cependant, si des pixels de tracking sont utilisés ou des publicités ciblées affichées, même sans définir de cookies, il faudra tout de même afficher une demande de consentement et obtenir un consentement avant de le faire.
Oui, toutes les méthodes de stockage requièrent un consentement. Nous détectons automatiquement les cookies, LocalStorage et SessionStorage. »

SFBX :

En effet, il n’y a pas que les cookies qui sont concernés. Toutes les technologies ayant pour effet de lire ou écrire des données dans le terminal de l’utilisateur sont soumis au RGPD : Fingerprinting, Pixels de tracking, Cookies, Cookies Flash, Stockage HTML5, LocalStorage, IndexedDB, IDFA, Web beacon, etc.

Sirdata :

Par soucis de simplification sans doute, l’ensemble de la profession et le régulateurs parlent de cookies. Mais la Loi Informatiques et Liberté, et en particulier l’article 82 qui impose un consentement préalable, précise en réalité que l’utilisateur doit consentir à toute action non exempté tendant à accéder à des informations déjà stockées dans son terminal, ou à inscrire des informations dans cet équipement. Pour nous aider à y voir plus clair la CNIL a publié une synthèse, des Lignes Directrices (voir PDF) et une Recommandation Traceurs (voir PDF). Elle y rappelle clairement que le consentement est nécessaire pour les cookies, mais également d’autres technologies telles que les «local shared objects» ou «cookies Flash», le «local storage», les identifications par calcul d’empreinte du terminal ou «fingerprinting», les identifiants générés par les systèmes d’exploitation (IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc.

Consentement pour OpenStreetMap

Question :

J’utilise openstreetmap pour afficher une carte sur un site (via une iframe). Est-ce que je dois obtenir le consentement des visiteurs ? Et en cas de refus ne pas leur afficher la carte ? Ou est ce que la mise à jour devra être réalisée au niveau d’openstreetmap ?

ConsentManager :

La question à se poser est toujours la même : est-ce que ce traitement est indispensable et essentiel au fonctionnement du site ou répond à une demande/volonté de l’utilisateur ? Si une carte est affichée dès la page d’accueil, il sera difficile de justifier cela comme une fonctionnalité essentielle, sauf sur un site spécialisé dont c’est l’objet, comme Google Maps. Si la carte est affichée seulement sur la page « Où nous trouver », on pourra plus facilement expliquer que la carte est indispensable sur cette page.

SFBX :

Oui vous devez obtenir le consentement de vos visiteurs. Si le visiteur refuse, vous ne pouvez pas afficher la carte sauf si l’affichage de la carte est strictement indispensable à la fourniture du service mais vous ne pourrez pas utiliser ses données à caractère personnel pour l’enrichir. La mise à jour ne peut pas se faire au niveau d’Open Street Map.

Sirdata :

A notre connaissance (et après avoir mené de nombreux audits), Openstreetmap n’utilise pas de cookie, ou bien des cookies strictement nécessaires qui peuvent entrer dans le champ d’application de l’exemption, car n’étant pas utilisé pour d’autres activités comme de la publicité ou de la personnalisation de contenu. Des données personnelles semblent traitées mais dans la mesure où vous affichez leur site dans l’iframe, ils peuvent établir leurs obligations de transparence et établir leur base légale s’ils l’estiment nécessaire. Nous prenons donc le risque de vous dire que s’ils ne changent pas leur mode opératoire en matière de cookies, vous pouvez continuer d’afficher leur carte en iframe sans action particulière.

Axeptio :

Si le service de cartographie utilise des données personnelles, un consentement est nécessaire (comme une vidéo YouTube ou un lien de partage Facebook). Dans ce cas, le consentement contextuel peut être une alternative intéressante. Au lieu de masquer le service, on affiche une copie image du service (capture écran de la map, d’une vidéo, ou d’une bulle de chat par exemple), et on avertit l’internaute au clic que cette fonctionnalité requiert son consentement pour le service X. Si on obtient le consentement, la CMP donne l’autorisation au service de se lancer. Voir un exemple ici avec un formulaire de contact Hubspot.

Cet article vous a-t-il plu ?

Note : 5.0 (3 votes)
Cliquez pour voter !

Laisser un commentaire

Remarques :

  • Si vous souhaitez poser une question ou détailler un problème technique, il ne faut pas utiliser le formulaire ci-dessous qui est réservé aux avis. Posez votre question directement dans le forum Gmail de WebRankInfo. L'inscription est gratuite et immédiate.

  • En postant un avis, vous acceptez les CGU du site WebRankInfo. Si votre avis ne respecte pas ces règles, il pourra être refusé. Si vous indiquez votre adresse email, vous serez informé dès que votre avis aura été validé (ou refusé...) ; votre adresse ne sera pas utilisée pour vous envoyer des mailings et ne sera pas revendue ou cédée à des tiers.

10 commentaires

ced

Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Je ne comprends pas cette partie, sachant que le consentement est un acte anonyme pour les cookies et le paramétrage (acceptation ou. non) reste dans le cookie local de l’internaute.
Pourquoi stocker quelque chose d’anonyme et d’inutile ?
c’était plus sécurisé de ne rien stocker dans les bases avant non ?

Répondre
ced

Autre point !
Déjà très bon article !

Sur votre gestion de cookies le bouton « Tout accepter et continuer » et « Continuer sans accepter » devraient être strictement identique non ?

Répondre
Olivier Duffez

Je ne sais pas si ces boutons doivent forcément être identiques. En tout cas ce que j’affiche provient de Sirdata, qui en a longuement discuté avec la CNIL, donc de mon point de vue c’est OK. C’est déjà infiniment mieux que ce que font les GAFA…

Répondre
consentmanager

Bonjour ced,

« sachant que le consentement est un acte anonyme pour les cookies et le paramétrage (acceptation ou. non) reste dans le cookie local de l’internaute. »
-> Le consentement est rarement anonyme. Il est généralement associé à une adresse IP ou un autre identifiant. Il ne reste pas uniquement dans le cookie de l’internaute, puisque l’organisme a l’obligation légale d’en conserver la trace. Voici les données que stocke consentmanager :
ID or protocol entry
Date
Type of entry
Consent Type
Country
Lang
IP (truncated depending on CMP settings)
Browser string
URL
ConsentData (IAB TCF Consent String/TC String)
Custom Purposes
Custom Vendors
internal ID
external ID 1
external ID 2
external ID 3
CMP ID
Design ID
OS ID
Browser ID
Device ID
Domain ID
Text Version
CMP Version
Design Version
Cookies allowed

« Pourquoi stocker quelque chose d’anonyme et d’inutile ? »
-> Le consentement est rarement anonyme. Si les organismes qui collectent les données personnelles et utilisent des traceurs n’étaient pas obligés de garder la preuve du consentement, il serait plus difficile de contrôler ce qu’ils font, et encore plus d’enquêter en cas de plainte d’un utilisateur. Avec l’historique des consentements on doit pouvoir dire que cet utilisateur a cliqué sur tel bouton, tel jour à telle heure, sur tel type d’appareil et donner la liste des cookies qu’il a acceptés.

« C’était plus sécurisé de ne rien stocker dans les bases avant non ? »
-> Effectivement, cet historique de consentement constitue une base de données personnelles supplémentaires. Cependant les régulateurs considèrent qu’il est nécessaire d’avoir ce moyen de contrôle. De plus, l’accès à cet historique des consentements est réservé à la fourniture de la preuve de consentement. Il ne peut être utilisé pour rien d’autre.

Répondre
serge esteves

Pour l’instant, j’ai vu aucun site conforme, même pas webrankinfo puisque le site envoie des cookies même si on refuse, et le bouton de refus doit être aussi visible que celui pour accepter. Ce commentaire sera surement refusé mais c’était juste pour info et t'(inquiète pas je suis pas conforme non plus et pour l’instant j’ai vu aucun site conforme encore, c’est vraiment la merde

Répondre
Olivier Duffez

Mon site est a priori conforme sur le forum, mais pas sur la partie WordPress à cause du plugin de cache qui s’interpose entre les 2 pour gérer les scripts JS.
Je te confirme que c’est un énorme merdier qui va surtout profiter aux (très) gros, qui peuvent gérer ce genre de contraintes, contrairement aux TPE.

Répondre
philo

Quand on voit le site de la cnil avec son bouton GESTION DES COOKIES dans le top header, ils se foutent du monde

Répondre
Mango

Félicitations pour ce document de référence.

J’ai toutefois un doute sur le fait qu’une publicité sur un site, hors régie, et non contextuelle, c’est à dire ne tenant pas compte de la personne qui le visite, ni de son parcours, ni de sa configuration, ni de sa localisation, soit soumis aux contraintes d’un traceur.

Répondre
Olivier Duffez

Si la publicité ne nécessite aucun traceur, elle est évidemment exemptée de recueil de consentement.

Répondre
Mango

Ouf ! Me voilà rassuré sur ce point.

Plus tard m’est venue une autre interrogation, relative aux iframes. N’est pas cité l’ « embed google maps » mais il s’agit bien d’un instrument tiers qui procure gratuitement une cartographie et diverses cosmétiques. Mais Google intègre ce qu’il veut et aspire probablement des données au moment du chargement, pour son seul profit et à l’insu du développeur web comme de la personne visiteuse.

À votre avis faut-il un consentement, et qui doit le demander ?

Si c’est moi, je préfèrerai enlever GoogleMaps, à moins qu’il existe une version moins « intéractive », juste une image neutre avec un lien classique vers celle Longitude/Latitude.

Répondre