Dans la continuité de ses lignes directrices sur les règles à appliquer en matière de cookies, la Commission nationale de l’informatique et des libertés (CNIL) a dressé mardi (14 septembre) le bilan de sa seconde campagne de mises en demeure.
80 % des acteurs auxquels la CNIL a adressé une mise en demeure pour non-respect de la législation sur les cookies le 29 juin dernier se sont mis en conformité, a annoncé mardi (14 septembre) le gendarme français des données personnelles.
« À ce jour, 30 organismes se sont mis en conformité, quatre ont sollicité un délai en raison de contraintes techniques ou opérationnelles et quatre n’ont pas encore répondu », précise l’autorité dans un communiqué.
La CNIL avait accordé aux éditeurs de site concernés un délai qui a pris fin le 6 septembre. Les organismes qui n’ont pas encore pris les mesures adéquates pour se mettre en règle risquent des sanctions pécuniaires pouvant aller jusqu’à 2 % de leur chiffre d’affaires.
Il s’agit de la deuxième vague de contrôles — et de mises en demeure — effectuée par les services de la CNIL. En mai dernier, sa présidente avait déjà mis en garde une vingtaine d’organismes dont certains « acteurs internationaux de l’économie numérique et plusieurs organismes publics ». Tous se sont depuis mis en conformité, avait annoncé la CNIL un mois plus tard.
En avril dernier, la CNIL avait annoncé la fin de la période de mise en conformité avec les nouvelles politiques en matière de cookies pour les acteurs du web.
Ces nouvelles règles reposent sur le principe que « la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute » qui doit être recueilli par un « acte positif clair » — comme le fameux bouton « J’accepte » qui apparaît depuis plusieurs mois déjà sur une bannière lorsque vous naviguez sur le web.
Le nouveau cadre initié par la CNIL en octobre 2020 prévoit également que les utilisateurs doivent pouvoir être clairement informés des finalités des cookies recueillis avant d’y consentir. « Il doit être aussi simple de retirer son consentement que de le donner », peut-on également lire dans la délibération portant sur l’adoption en septembre dernier de ces lignes directrices.
Ces précisions sont le prolongement du Règlement général sur la protection des données (RGPD) qui considère que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».
Entre 2020 et 2021, l’autorité de contrôle a adopté près de 70 mesures correctrices — des mises en demeure ou des sanctions — pour non-respect de la législation sur les cookies. « Dans 60 % des cas, il s’agissait d’organismes dont la société mère est située en dehors de la France », souligne-t-elle sur son site internet.
Par ailleurs, la CNIL prévient que de nouvelles campagnes de contrôle verront bientôt le jour et qu’elles « continueront à cibler des acteurs privés nationaux et internationaux, mais également des organismes publics dont les sites web génèrent un trafic important ». Une attention toute particulière devrait également être portée aux sites des partis politiques, précise l’autorité, au regard des élections présidentielles à venir.