Accueil Actu

Collecte de données personnelles: la Cnil veut un "acte" des internautes pour prouver leur consentement

Informer les internautes de la présence de traceurs sur un site n'est pas suffisant, ils doivent effectuer un "acte" pour montrer qu'ils acceptent la collecte de leurs données personnelles, selon une recommandation de la Cnil publiée jeudi au Journal officiel.

Les traceurs ou "cookies" qui nécessitent un recueil du consentement ne peuvent être utilisés "tant que l'utilisateur n'a pas manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair", écrit la Commission nationale informatique et libertés (Cnil) dans une délibération présentant ses nouvelles directives.

Continuer à naviguer sur un site, à utiliser une application ou faire défiler une page ne sont pas "des actions positives claires", estime le gendarme des données personnelles. De même, l'utilisation de cases pré-cochées, l'acceptation globale de conditions générales d'utilisation ne sont pas non plus valables. "Des systèmes adaptés doivent donc être mis en place", conclut la Cnil.

Elle précise par ailleurs que le consentement n'est valable que si l'internaute "est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement".

Les traceurs ou "cookies" sont des fichiers invisibles qui se greffent sur l'ordinateur, la tablette ou le portable à chaque visite d'un site internet, pour capter différents types de données personnelles. Certains sont fonctionnels et permettent par exemple de se souvenir de la langue utilisée, d'autres - les plus controversés - sont employés à des fins de ciblage publicitaire.

Ces recommandations de la Cnil fixent une norme permettant à ceux qui l'appliquent d'être en conformité avec le règlement européen de protection des données personnelles (RGPD) et des dispositions françaises.

Le règlement européen, en vigueur depuis mai 2018, a renforcé les droits des citoyens européens et établi une série d'obligations pour les entreprises, variables selon leur taille et l'usage qu'elles font des données.

La Cnil précise que "ces lignes directrices seront complétées ultérieurement par des recommandations sectorielles ayant notamment vocation à préciser les modalités pratiques du recueil du consentement".

À lire aussi

Sélectionné pour vous