Rappel des nouvelles obligations concernant les cookies et des démarches à effectuer en cas de violation de données
Corinne Thiérache et Alice Marie
31 mars 2021 : date limite de la mise en conformité en matière de cookies
Pour rappel, le délai raisonnable accordé par la CNIL pour mettre en conformité vos sites web et applications mobiles aux nouvelles règles en matière de cookies et autres traceurs contenues dans ses lignes directrices et sa recommandation publiées le 1er octobre 2020 expire le 31 mars 2021 au soir.
Compte tenu de ce calendrier, la CNIL a indiqué qu’elle procédera à des contrôles formels à compter du mois d’avril 2021 et qu’elle n’hésitera pas à prononcer des sanctions en cas de non-conformité.
Il est donc vivement conseillé aux acteurs de procéder à un audit des cookies et autres traceurs utilisés afin, le cas échéant, de prendre les mesures nécessaires pour respecter les exigences de la réglementation.
Pour mémoire, certains cookies ne nécessitent pas le recueil du consentement comme les cookies fonctionnels et certains cookies de mesure d’audience si ces derniers respectent les conditions rappelées récemment par la CNIL le 8 mars 2021.
Pour les cookies nécessitant le recueil du consentement, notamment utilisés pour le marketing ciblé, les principes suivants doivent notamment être respectés :
• Principe 1 : la simple poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement de l’utilisateur.
• Principe 2 : les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte »). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
• Principe 3 : les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
• Principe 4 : refuser les traceurs doit être aussi aisé que de les accepter.
• Principe 5 : les personnes doivent être clairement informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs.
• Principe 6 : les personnes doivent également être informées de l’identité de tous les acteurs utilisant des traceurs (y compris les cookies tiers) soumis au consentement.
• Principe 7 : les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Ces principes doivent être suivis scrupuleusement par les acteurs car les sanctions en cas de non-conformité peuvent être particulièrement lourdes.
Ainsi, le 7 décembre 2020, la CNIL a condamné respectivement Amazon et Google à une amende de 35 millions pour la première et 100 millions d’euros pour la seconde en raison de manquements constatés notamment à leurs obligations de recueil du consentement et d’information préalables au dépôt de cookies publicitaires. Malgré un recours formé par Google devant le Conseil d’Etat, ce dernier a validé le 4 mars dernier la légalité de la décision de la CNIL, renforçant ainsi son pouvoir de sanction.
Notification d’une violation de données personnelles
Par ailleurs, l’incendie du datacenter de la société OVH à Strasbourg survenu le 10 mars dernier et ses conséquences potentielles sur les données personnelles traitées (perte, endommagement) sont l’occasion de rappeler les obligations posées par le Règlement général sur la protection des données (RGPD) dans ce genre de situation, lequel impose aux responsables de traitement, entre autres, de :
• notifier dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, les violations présentant un risque pour les droits et libertés des personnes à la CNIL (article 33) et, lorsque le risque est élevé, directement aux personnes concernées (article 34),
• documenter, en interne, les violations de données personnelles, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier.
Pour sa part, le sous-traitant doit notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
Dès lors, la situation diffèrera en fonction du rôle de chacun dans le traitement des données à caractère personnel (responsable de traitement, sous-traitant ou responsable conjoint de traitement). A titre d’illustration, les contrats conclus avec des sous-traitants contiennent généralement des dispositions relatives à la gestion des incidents et des données personnelles qui traitent de cette question en pratique.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
• Prononcer un rappel à l’ordre ;
• Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
• Prononcer une amende administrative.
Dans le cas du non-respect de l’obligation de notification, la formation restreinte de la CNIL peut condamner le responsable de traitement et/ou le sous-traitant à des amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Les avocats d’Alerion du Département Protection des données personnelles peuvent accompagner et assister leurs clients pour le respect de leurs obligations au titre de la mise en conformité au RGPD, plus particulièrement avec la réglementation sur les cookies et autres traceurs avant le 1er avril prochain.
Corinne Thiérache, Associée, et Alice Marie, Avocat du Département Droit des technologies et du numérique.