Alors que les initiatives françaises et européennes s’intensifient en matière de protection des données personnelles, quel impact pour le recueil du consentement par les entreprises se dessine des récentes délibérations adoptées et concertations ouvertes par la CNIL ?
- Evolution des conditions applicables au consentement en matière de cookies
La CNIL a publié le 19 juillet dernier, des lignes directrices sur les cookies et autres traceurs, qui visent à remplacer sa recommandation de 2013. La CNIL considère en effet que l’entrée en application du RGPD est venue renforcer les exigences en matière d’expression et de validité du consentement et nécessite de mettre à jour l’application de l’article 82 de la loi « Informatique et Libertés ».
Ces lignes directrices prévoient notamment l’obligation, sauf exception, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs. Cela doit se traduire par l’obligation de communiquer aux internautes la liste des responsables de traitement et l’obligation de recueil du consentement pour chacune des finalités distinctes associées aux cookies déposés sur le terminal de l’internaute. En outre, les cookies walls, c’est-à-dire le fait de conditionner l’accès à un site au consentement à l’utilisation des cookies à des fins publicitaires, sont désormais considérés comme non conformes au RGPD.
La CNIL a indiqué que ces lignes directrices seront suivies d’une nouvelle recommandation qui devrait préciser les modalités pratiques de recueil du consentement et d’information sur les finalités et destinataires. Ce projet de recommandation doit voir le jour début 2020 à l’issue d’une concertation avec les professionnels, qui inclut notamment la Fevad, ainsi que d’une consultation publique. Les entreprises bénéficieront d’une période transitoire de 6 mois car les lignes directrices prendront pleinement effet au plus tard en juin 2020. D’ici là, le scroll et le clic dans une page resteraient des modes de consentement valide, mais les contrôles continueront dans l’intervalle et pourront engendrer des sanctions en cas d’infraction au droit en vigueur et notamment sur le moment de dépôt du cookie qui ne doit pas précéder un scroll ou un clic.
A l’heure où les travaux sur le règlement ePrivacy sont toujours en cours au sein du Conseil de l’UE, l’interprétation par le régulateur français pose question, de même que l’imbrication qui en est faite entre les textes relatifs à la protection des données personnelles et à la vie privée dans le secteur des communications électroniques.
La Fevad, aux côtés d’autres associations professionnelles dans le domaine du marketing et de la publicité, participe à plusieurs ateliers organisés par la CNIL pour traiter des thématiques du « consentement éclairé » et du « consentement spécifique », ainsi que des solutions techniques existantes. Parallèlement, elle suit également avec la plus grande attention les nouvelles avancées sur le projet de règlement e-Privacy, aux côté d’Ecommerce Europe.
- Référentiel sur la gestion des activités commerciales
S’agissant du référentiel sur la gestion des activités commerciales, la Fevad regrette que la consultation publique initiée le 28 novembre 2018 avec une date de clôture des contributions au 11 janvier 2019, à laquelle la FEVAD, tout comme un certain nombre d’autres organisations ont répondu dans les temps, n’ait donné lieu à aucun retour ni réponse aux nombreuses interrogations soulevées par les entreprises.
Parmi les points soulevés par la Fevad dans sa contribution, figure celui de l’obligation de communiquer et de tenir à jour la liste des destinataires (partenaires commerciaux) qui paraît outrepasser les exigences de l’article 13 du RGPD, lequel prévoit l’obligation d’information des destinataires ou catégories de destinataires. De même en prévoyant d’interdire de manière systématique les cas où l’accès gratuit à un service (par exemple l’accès à du contenu) serait conditionné à l’accord révocable d’utiliser certaines données à des fins de publicité), le référentiel semble aller au-delà des dispositions du RGPD. Pour plus d’information sur la position FEVAD cliquez ci-dessous (Réservé aux adhérents) :
Désolé ce contenu est reservé aux adhérents
Si vous êtes adhérent vous pouvez y accéder simplement en vous connectant à votre compte MyFEVAD. Si vous n'êtes pas adhérent et que vous souhaitez obtenir des informations sur l'adhésion à la FEVAD, n'hésitez à nous contacter contact@fevad.com.
Ainsi, nous regrettons que la CNIL ait rejeté la proposition, partagée par d’autres organisations professionnelles, d’inclure les points les plus sensibles du projet de référentiel gestion commerciale, dans la concertation actuelle avec les représentants des professionnels concernés.
La CNIL a en effet confirmé son intention de procéder à l’adoption imminente de ce référentiel, après que le Comité Européen de la Protection des Données (CEPD) se soit prononcé dessus.
Enfin, la Fevad a alerté la CNIL quant aux dérives observées en matière de droit à la portabilité et l’usage préoccupant qui est fait de ce droit par certaines sociétés se livrant à des activités de revente de données. Lors d’une récente réunion avec la Présidente Marie-Laure Denis, la Fevad, accompagnée d’une délégation d’e-commerçants, a exposé la problématique des conditions de mise en œuvre du droit à la portabilité qui pouvaient s’avérer contraires à l’esprit et à la finalité de ce droit prévu par le RGPD et porter atteinte de manière irrévocable à la santé de nombreuses entreprises. La CNIL a indiqué qu’une réflexion était menée en son sein sur la question de l’éventuelle réutilisation des données ainsi obtenues et a fait part de son intérêt à examiner plus en détails ces pratiques. La Fevad se tient donc à la disposition des services de la CNIL afin d’avancer sur les réflexions en cours.
