Plus de deux ans après l’entrée en vigueur du RGPD, la CNIL renforce ses mesures. De nouvelles lignes directrices ont été publiées début octobre 2020, dans lesquelles le gendarme des données personnelles donne un délai de six mois aux sites pour se mettre en conformité. Cela implique un encadrement plus structuré de l’usage de cookies et d’autres traceurs, pour un web plus respectueux de la vie privée des utilisateurs. D’ici 2021, la commission ne s’interdit pas de poursuivre certains manquements, bien qu’elle privilégiera l’accompagnement sur les contrôles.
Les e-commerçants qui utilisent des traceurs et des cookies au sein de leur plateforme seront directement impactés. Pour assurer la mise en place d’un dispositif conforme aux nouvelles recommandations bientôt applicables, nous vous conseillons de vous tourner vers une solution de gestion du consentement telle que Didomi. De nombreuses directives ont été édictées par la CNIL : à travers cet article, notre objectif est de mettre en lumière celles qui auront un fort impact sur votre plateforme Adobe Commerce (Magento Commerce).
Rappel sur le RGPD
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est la loi européenne de protection des données, appliquée depuis le 25 mai 2018. Elle impacte les entreprises dans leurs façons de procéder à la collecte et l’utilisation des données. Le RGPD s’applique à toutes les entreprises basées dans l’Union Européenne ou ailleurs qui traitent des données en Europe. C’est donc le cas de Adobe Commerce (Magento Commerce), localisé aux Etats-Unis, mais qui possède des plateformes en Europe. Le RGPD applique des normes précises et strictes sur la collecte, la manipulation, l’utilisation et la revente des données. Il implique la transparence, dans le sens où l’utilisateur doit être en mesure d’accéder à ses données et demander de les modifier ou de les supprimer à tout moment. Dans ce cas de figure, la société se voit dans l’obligation de répondre à la demande du client. En cas de faille de sécurité, l’entreprise dispose de 72 heures afin de prévenir l’autorité de contrôle compétente (la CNIL pour la France). Le RGPD concerne toutes les données qui permettent d’identifier directement l’individu :
-
- les données personnelles : prénom, nom, civilité, date de naissance, posts sur les réseaux sociaux, adresse postale, adresse mail, adresse IP, photo, cookies.
- les données dites « sensibles » et les données biométriques : données ethniques, santé, sexualité, croyances religieuses, opinions politiques, ADN, identité mentale, empreinte digitale, économique, culturelle ou sociale.
Les objectifs du RGPD
Le RGPD poursuit 3 objectifs principaux :
1. Uniformiser la réglementation sur la protection des données à l’échelle européenne
Remplacer une directive datant de 1995 et devenir le nouveau texte de loi de référence dans l’Union européenne au sujet des données personnelles. Le RGPD tend à supprimer les différences en matière de protection des données personnelles et à harmoniser la juridiction, pour qu’il n’y ait qu’un seul et même cadre qui s’applique à l’ensemble des États membres.
2. Développer l’auto-contrôle et responsabiliser davantage les entreprises
Renforcer le droit des citoyens concernant le contrôle de leurs données personnelles, tout en simplifiant la compréhension du cadre réglementaire des entreprises. Tous les citoyens sans exception doivent être clairement mis au courant quant à l’usage de leurs données et trouver les réponses à leurs différentes questions : quelles sont les informations recueillies ? De quelle manière ces informations sont-elles utilisées ? Pour quelles raisons sont-elles stockées et pour combien de temps ? Quelle est la marche à suivre pour demander une mise à jour, une correction ou une suppression de ces informations ? Avec le RGPD, chaque citoyen européen dispose d’un droit d’accès, de rectification, d’opposition, d’effacement et d’oubli portant sur les informations le concernant, collectées par un tiers.
3. Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.)
Le troisième objectif du RGPD est de renforcer la responsabilité des acteurs pour permettre aux collecteurs et aux collectés d’avoir une relation de confiance. Tous les acteurs de la donnée doivent construire des sites en conformité avec le RGPD et être en mesure de rendre des comptes à tout moment. La transparence prime car ces derniers doivent cartographier tous les traitements de données personnelles qu’ils déploient en les consignant dans un registre maintenu à jour.
✔️CONSENTEMENT✖️
Que dit le taux de consentement du capital-confiance d’une marque ? Pourquoi faut-il y prêter attention ?
La réponse dans le #replay du #webinar d’Antoine Clément ????https://t.co/882KZEvdNo#consentement #cookies #optin #digital #CNIL pic.twitter.com/cxAy8T0nKd— Didomi (@Didomi_io) April 9, 2020
Le RGPD et Adobe Commerce (Magento Commerce)
Les clients de Adobe Commerce (Magento Commerce) sont qualifiés de « data-controllers », c’est-à-dire qu’ils collectent et utilisent les données personnelles de leurs acheteurs. De ce fait, ils en sont responsables vis-à-vis de la CNIL. De son côté, Adobe Commerce (Magento Commerce) est un « data-processor », il collecte les données pour les transmettre à ses clients « data-controllers ». Ainsi, Adobe Commerce (Magento Commerce) déclare toutes les données qu’il collecte et utilise. Comme Adobe Commerce (Magento Commerce), vous êtes « data-processor » dans la mesure où vos clients opèrent sur un marché B2B et que vous traitez des données personnelles pour eux. Cette responsabilité est partagée entre ces différents acteurs et il est primordial pour toute entreprise qui travaille avec des données personnelles (base de données, e-mailing, sites web..) d’avoir un service juridique unique que l’on peut solliciter.
En tant qu’agence, Dn’D est responsable des extensions qu’elle intègre sur les sites de ses clients. De son côté, la société éditrice de l’extension doit préciser l’ensemble des moyens utilisés pour collecter les données. En se basant sur toutes ces informations, nos équipes sont en mesure de déterminer si l’extension en question est conforme ou non avec le RGPD. Une agence web est donc responsable et garante, dès lors qu’elle intègre l’extension sur le site de son client.
Quelles sanctions en cas de non-respect du RGPD ?
Pour vérifier si la réglementation est bien respectée, les sociétés agréées par L’État peuvent mener des audits. En cas de non-application du règlement, les sous-traitants et les responsables de traitement peuvent alors être sanctionnés. En cas de découverte d’une faille, l’entreprise qui a mis en place la protection des données doit en prendre la responsabilité, puisque cette dernière est garante de la donnée, aux côtés de l’entreprise marchande.
Les autorités de protection peuvent appliquer diverses sanctions : avertissement, effacement des données, limitation temporaire ou définitive d’un traitement, mise en demeure de l’entreprise. Selon la catégorie d’infraction, ces amendes administratives peuvent s’élever à 10 ou 20 millions d’euros, ou encore de 2 % à 4 % du chiffre d’affaires annuel mondial pour une entreprise.
Contextualisation des nouvelles mesures de la CNIL
Ce nouveau cadre met l’accent sur l’information des internautes et sur l’importance du consentement. La délibération CNIL du 4 juillet 2019 avait été annulée partiellement par le Conseil d’État. En effet, la Haute Juridiction avait annulé les dispositions interdisant de façon globale et absolue des « cookies wall », c’est-à-dire les cookies qui empêchent l’accès à un site internet si l’internaute refuse le dépôt de cookies, mais a validé la plus grande partie de la délibération. De ce fait, la CNIL a revu ses lignes directrices en tenant compte de cette décision. De nouvelles lignes directrices ont donc été publiées début octobre 2020. Qui est concerné ? Les e-commerçants qui utilisent des cookies et des traceurs pour :
- Adapter leur stratégie de contenu en fonction du parcours client des acheteurs,
- Connaître la navigation de leurs clients sur leur plateforme ou application,
- Pousser de la publicité aux visiteurs ayant déjà visité leur site web,
- Faire le plein d’informations sur le comportement de leurs clients sur d’autres sites, notamment sur ceux de leurs concurrents.
Quelles sont les recommandations de la CNIL applicables en mars 2021 ?
1. Les différentes obligations des e-commerçants
-
- Lors de sa navigation, l’internaute doit connaître préalablement les cookies qui seront utilisés par le site visité, les conséquences de cette utilisation, ainsi que l’identité des utilisateurs de cookies.
-
- Le bouton « tout refuser » (= complément du bouton « tout accepter ») devient fortement recommandé par la CNIL. En clair, l’internaute doit être en mesure de refuser le dépôt de cookie aussi facilement qu’il peut les accepter. Ainsi, les visiteurs doivent être clairement informés des finalités des traceurs avant de consentir, ainsi que de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
-
- Les titulaires de sites qui conservent pendant une certaine durée les consentements des internautes en matière d’acceptation de cookies pour éviter de leur demander à chaque visite sur le site devront faire de même pour le choix des internautes qui refusent les cookies.
-
- Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
-
- La poursuite de la navigation sur un site ne pourra plus être considérée comme une expression valide du consentement de l’internaute.
- Les sites devront obligatoirement recueillir le consentement de l’internaute en matière de cookies. Mentionnée dans la délibération du 4 juillet 2019, la CNIL maintient sa position et confirme ce nouveau principe. Désormais, l’internaute devra être en mesure d’accepter ou de refuser automatiquement les différentes propositions qui lui seront faites par une action positive telle qu’un clic : le consentement tacite ne sera plus toléré. De ce fait, les propriétaires de site web devront être en mesure d’apporter une preuve du recueil de consentement aux différentes autorités de contrôle compétentes.
2. Quid des « Cookies Wall »
Un Cookie Wall interdit l’accès aux visiteurs d’un site web qui n’acceptent pas les cookies. Si un utilisateur souhaite consulter le contenu du site, il doit accepter les cookies au préalable et désactiver son bloqueur de publicité s’il en a un. Une fois cette opération effectuée, il pourra consulter le contenu du site web et le média peut alors placer des annonces publicitaires. La CNIL estime que sous réserve de leur licéité au cas par cas, cette pratique doit être encadrée par une information très claire sur l’impossibilité d’accéder au service en cas de refus des cookies. L’interdiction globale des Cookies Wall a été annulée par le Conseil d’État, mais cela ne signifie pas que les Cookies Wall sont légaux. Le CEPD (= Comité Européen de Protection des Données Personnelles) estime que cette pratique n’est pas conforme au RGPD. L’annulation par le Conseil d’État de la mesure d’interdiction générale relève plus d’une question de pouvoir réglementaire de la CNIL et de hiérarchie des normes que d’une volonté de légaliser les Cookies Wall.
Calendrier et mise en conformité
1. À compter de la date de publication des recommandations de la CNIL (1er octobre 2020)
Les acteurs ont jusqu’à fin mars 2021 pour se mettre entièrement en conformité. La CNIL fait preuve d’adaptabilité en tenant compte des contraintes des acteurs et en privilégiant l’accompagnement durant cette période transitoire. Le délai de 6 mois à compter du 1er octobre 2020 concerne uniquement les nouvelles mesures édictées par la CNIL. En effet, la commission considère que les entreprises ont déjà pris connaissance des règles à mettre en place et que ces dernières devraient d’ores et déjà être en conformité. Dans les prochains mois, les actions de la CNIL concernant l’entrée en vigueur de ces nouvelles directives se limiteront donc à s’assurer que les règles toujours valides figurant dans ses recommandations de 2013 sont bien appliquées, faute de quoi elle pourra prendre des mesures ou des sanctions.
2. Au terme de la période de 6 mois
Au terme de cette période d’adaptation, la CNIL débutera des contrôles sur l’application du nouveau cadre. Ces contrôles seront principalement axés sur les acteurs qui ont un impact important sur le cycle de vie des citoyens, des associations, et dont les pratiques suscitent des interrogations importantes concernant leur conformité.
Mettre sa plateforme Adobe Commerce (Magento Commerce) en conformité avec Didomi
Qu’est-ce qu’une CMP ?
Une CMP (Consent Management Platform) est une plateforme technologique qui permet à l’éditeur d’un site web (médias, e-commerçants, entreprises diverses..) de collecter, enregistrer et restituer les consentements transmis par les visiteurs dans le domaine de la gestion des données personnelles. Dans ses guidelines, la CNIL rappelle que ce consentement doit être libre, spécifique, éclairé et non équivoque. La CMP représente un excellent moyen pour les éditeurs d’être en conformité avec le RGPD et de témoigner de leur exigence en termes de consentement. Elle permet également d’assurer la bonne transmission du consentement à l’ensemble des partenaires utilisateurs des données collectées et pour lesquels la demande d’autorisation a été soumise. La transmission s’opère via le framework de transmission du consentement (TCF) imaginé par l’IAB. Selon une étude menée par Mind, 80 % des principaux éditeurs français étaient équipés d’une CMP un an après l’entrée en vigueur du RGPD.
Présentation de Didomi
Didomi est une société française spécialiste de la gestion du consentement et des préférences utilisateurs. Créée en 2017, Didomi compte 30 collaborateurs et développe une solution permettant de recueillir, distribuer et stocker le consentement dans le cadre de la collecte de données personnelles. Parmi ses clients, on compte notamment Michelin, Orange, Rakuten, L’Équipe, ou encore PeopleDo. La solution est déployée sur plus de 90.000 sites web et applications mobiles, dans une vingtaine de pays.
L’utilité d’un CMP pour mettre sa plateforme en conformité avec les nouvelles réglementations de la CNIL n’est pas obligatoire, mais fortement conseillée. Une CMP comme Didomi vous permet de rester en conformité aux recommandations de la CNIL grâce à 4 apports clés :
- La collecte du consentement
- La présence d’un espace spécifique de gestion des cookies et traceurs
- La gestion du retrait de consentement
- L’apport de la preuve du consentement
4 étapes pour se mettre en conformité avec les nouvelles recommandations de la CNIL avec Didomi
1ère étape : Didomi dispose d’un outil d’audit de conformité qui vous permettra d’avoir une vue d’ensemble des partenaires présents sur votre site, des cookies qu’ils y déposent ainsi que leur durée de vie. De ce fait, vous pouvez réaliser un inventaire complet de tous les outils implémentés sur votre site web qui permettent de collecter des données relatives à vos clients, dans le but de prioriser les différentes actions à mener.
2ème étape : il s’agira ici de cibler vos actions pour ne collecter que les données nécessaires à votre activité et de communiquer vos nouvelles pratiques à vos partenaires, afin de déterminer la base juridique de vos traitements de données sur différents aspects (consentement, exécution du contrat, etc.).
3ème étape : vous devrez analyser votre mécanisme actuel de recueil de consentement, le mettre à jour si nécessaire ou en acquérir un nouveau adaptée aux nouvelles réglementations telle que Didomi.
4ème étape : après avoir mis en place votre mécanisme de recueil de consentement, il vous faudra paramétrer son aspect visuel afin d’optimiser l’expérience utilisateur et rassurer les visiteurs. Cette opération s’effectue depuis la console de votre CMP et vous permettra de déterminer les contenus que vous souhaitez déployer à destination de vos clients (fenêtre pop-in, bannières basses..). Ces mesures impactent de façon positive le taux de consentement, la confiance de vos visiteurs et leur vision de votre entreprise.
Conclusion
Comme le précise la CNIL : « Ces nouvelles lignes directrices marquent un tournant pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne ». Même si elle privilégiera l’accompagnement sur les contrôles, la commission ne s’interdit pas de poursuivre certains manquements liés à l’application de ces nouvelles directives. Les e-commerçants ont désormais 6 mois pour mettre leur plateforme Adobe Commerce (Magento Commerce) en conformité avec ces nouvelles recommandations. Certains changements auront un impact profond sur leurs activités en ligne, nous vous conseillons donc d’entamer ces changements le plus tôt possible, de manière à assurer une transition sereine.
Dn’D x Didomi
Notre agence est spécialisée dans la conception, la maintenance et le développement de plateformes Adobe Commerce (Magento Commerce) depuis plus de 15 ans. Officiellement partenaire de la solution Didomi, nous serions ravis de pouvoir vous apporter nos conseils d’expert pour rendre votre plateforme e-commerce conforme aux nouvelles recommandations de la CNIL. Vous pouvez nous contacter directement via le formulaire de contact ci-dessous.
Un projet ?
Contactez-nous !