La CNIL « fête » l'anniversaire du RGPD en annonçant avoir envoyé ses premières mises en demeure avec un message : les cookies doivent pouvoir être refusés aussi facilement qu'on peut les accepter. La mise en conformité doit intervenir sous un mois, faute de quoi des sanctions pourront suivre.
La Commission nationale de l'informatique et des libertés a le sens du timing. Alors que le RGPD est en application depuis très exactement trois ans, elle tape – enfin diront certains – du poing sur la table sur un sujet sensible : « La Présidente de la CNIL a adressé le 18 mai 2021 une vingtaine de mises en demeure à des organismes ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter ».
En avril, elle avait prévenu que la période de « grâce » était terminée et que des vérifications allaient débuter pour de bon concernant les pratiques de gestion des cookies et autres dispositifs de pistage. Le résultat ne surprendra personne : des manquements ont été identifiés. Si le bouton pour « tout accepter » est généralement bien visible et facilement cliquable, celui pour refuser joue parfois à cache-cache, ce qui est contraire au RGPD.
La Commission précise qu’il « s’agit de la première campagne de vérifications et de mesures correctrices depuis l’expiration du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies ». Les acteurs concernés « sont principalement d’importantes sociétés de l’économie numérique », explique la gardienne des libertés. Aucun nom n’est par contre donné.
On apprend néanmoins que parmi les organismes mis en demeure, « figurent également des acteurs publics », là encore sans plus de précision. Ils ont désormais « un mois pour se mettre en conformité et encourent des sanctions pécuniaires pouvant aller jusqu’à 2 % de leur chiffre d’affaires si ce délai n’est pas respecté ».
Bien évidemment, la CNIL ne compte pas en rester là et prévient : « des actions similaires seront conduites au cours des prochains mois, ce sujet étant l’une des thématiques prioritaires de contrôles de la CNIL en 2021 ».
Commentaires (38)
#1
Donc certains n’ont pas eu assez de 3 ans pour se mettre en conformité.
#1.1
J’en connais qui se sont réveillé assez tard parce que leur applicatifs était en flash ;)
#2
allez, je râle : je déteste ce que cette histoire est en train de devenir pour les utilisateurs. C’est super compliqué de s’y retrouver, on a des demandes d’acceptation de partout, avec parfois un “ah, si tu refuses, faut payer 2€/mois”, ou des boutons de couleur induisant en erreur. J’ai peur que le remède ne soit en train de devenir pire que le mal :(
#2.1
À moins d’imposer un standard qui puisse être paramétré dans les navigateurs pour accepter ou refuser par défaut tout cookie non-essentiel, ou d’exiger légalement que ces cookies soient en opt-in par défaut, ça va continuer à être le bazar…
#2.2
Ha parce que tu préfère qu’on te piste ? Si c’est le cas, la solution n’a jamais été aussi simple, tu clic sur tout accepter, tu peux pas louper le bouton…
Quand aux sites qui demande de payer si on refuse, je les ai tout simplement bani !
#2.3
J’ai fait pareil pour les paywall j’ai d’ailleurs vu des sites faire marche arrière suite à ça. (parce que je pense qu’ils ont vu leur audience se réduire drastiquement
#2.5
Il ne faut pas qu’ils oublient que sans visiteurs ils ne sont rien…
#2.4
C’est sûr et certain, on a voulu régler un problème en créant de nouveaux. Un exemple : les CMP gratuites comme Sirdata en profite pour refiler des cookies supplémentaires si vous acceptez ceux du site. Autrement dit, vous êtes encore plus traqué qu’avant…
#3
On apprend néanmoins que parmi les organismes mis en demeure, « figurent également des acteurs publics »,
Pour certains acteurs publics pour refuser les cookies il faut aller au fin fond des mentions légales, on a aucune autre info sur les cookies ailleurs sur le site.
#3.1
Après le risque c’est 2% du chiffre d’affaire. J’aimerai bien savoir quelle définition de chiffre d’affaire est retenue pour un acteur public… D’ailleurs même question pour un site web perso.
#3.2
2% du CA mondial, c’est pour le privé, dans le public, c’est 10 millions d’euros (dans ce cas là, sinon ça peut monter à 20 millions, maximum).
#4
Non, ça ne doit pas l’être, c’est le cas uniquement parce que les boites ne veulent pas permettre à l’utilisateur un choix simple, entre autre via l’utilisation de dark pattern (en lien justement : https://www.nextinpact.com/lebrief/47188/dark-patterns-aidez-ong-a-documenter-interfaces-truquees)
Quand tu vois l’article d’hier de MacG, tu pleures:
https://www.macg.co/macgeneration/2021/05/macgeneration-et-le-rgpd-trois-ans-de-progres-et-de-frustrations-121211
“Sur douze finalités, nous déclarons huit intérêts légitimes, comme celui de mesurer notre audience ou d’afficher des publicités personnalisées.”
Donc… ils n’ont rien compris au principe même de la protection des données personnelles…
#5
Tout le monde n’as pas non plus des armées de juristes et d’ingé pour se mettre en conformité.
C’est clairement compliqué pour les PME/TPE etc qui sont déja pas mal à la ramasse VS les mastodon du web.
Dans la pratique ça métonnerait même pas que ça favorise encore les GAFAS.
#5.1
Compliqué ?? As tu fait un tour sur l’interface pour pro de la CNIL ? De ma vie, je n’ai jamais vu une administration expliqué autant comment se mettre en conformité de manière simple et facile.
C’est pas parce que le sujet touche le juridique qu’il faut avoir bac +5 en droit pour appliquer.
Le RGPD est vraiment pas compliqué à mettre en œuvre avec un minimum de bonne volonté. Ce qui empêche souvent les entreprises la mise en conformité est bien souvent l’apriori qu’elles ont sur la réglementation. De plus, si l’activité demande un service juridique c’est que la boite est assez grande pour en avoir. S’en plaindre reviendrai à dire que pour être un médecin/taxi/aéroport/tout ce que tu veux… c’est trop compliqué parce que les règles sont compliquées or c’est juste la base pour se lancer dans l’activité.
#6
Il y a peu de contrôles, donc personne ne veut mettre de l’argent pour se mettre en conformité. Les entreprises voient les coûts plutôt que les sanctions.
#6.1
Pour moi une TPE/PME est sensé avoir beaucoup plus de souplesse (aka moins d’inertie) pour modifier des choses aussi simple.. si tant est qu’elle en ont le contrôle (pas d’utilisation de multiples frameworks à la con qui t’empêchent d’avoir pleinement la main sur ce que tu fais..)
Perso si je bossais dans une boite pas en règle, je la dénoncerai illico à CNIL! (en plus ça me donnerai du taf… si j’étais “dev” oueb
)
#7
Tant que c’est pas trop tard il y a plus urgent, d’autant plus du fait du faible nombre de contrôles et sanctions (pour l’instant).
Impossible pour le volet “tout accepter par défaut”, le consentement ne serait pas valide aux yeux du RGPD car pas éclairé ni spécifique. Côté “tout refuser par défaut” il y a le header Do Not Track qui existe depuis des années, mais il n’est pas imposé juridiquement donc la plupart des sites l’ignore…
Ils ont très bien compris mais ça ne les arrange pas du tout, d’où les dark patterns et autres procédés pour te pousser à accepter. Tout ça est illégal d’ailleurs, le consentement ainsi obtenu n’est pas valide aux yeux du RGPD car pas libre.
#8
Surtout que le groupe de travail du W3C a été arrêté et le support est supprimé de certains navigateurs, cas de Safari qui a mis en place une autre méthode pour bloquer le suivi.
Car “do not track” c’est un peu comme bloctel, ce n’est utilisé que par les structures honnêtes (et/ou qui utilisent des modules avec dnt activé par défaut).
#9
#10
Si ces cookies sont glissés avec les autres sans possibilité de s’opposer spécifiquement à eux c’est contraire au RGPD et ton consentement est invalide car non-spécifique/non-libre. Y a peut-être même moyen d’y trouver à redire également côté article 7.4 du RGPD.
#11
Surtout que la plupart des choses devaient déjà être faites depuis “toujours”, la loi informatique et libertés avait déjà énormément de choses du RGPD depuis très longtemps, bien avant la création de la plupart des sites web concernés !
#12
C’est pourtant détaillé dans le cas d’un site perso :
“est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.”
https://www.cnil.fr/fr/les-sanctions-penales
Pour les structures publiques, ça doit être calculé par rapport au budget annuel de la structure.
#13
ou les pubs anti pirates sur les DVD que tu n’avais pas sur les DVIX
#13.1
Autant pour la pub que les DivX, tu viens de m’envoyer une bonne bouffée de nostalgie
#14
Naaaaan!
OK fait comme ici. Matomo (piwik… ça enclenche plus comme nom). Et tu desactives après recherche parce que conformé cnil… Après pour les cookies pourris tu les colles en zone logguée parce que LA meufe du SEO bosse avec fesses de book et que le chat saykool et hop acceptation enregistrement pour pas qu’ils acceptent.
Il faut rendre tout ça le plus merdique possible pour Jamais les tracker à plus de 2 bits ip
Et niker la meufe du SEO qui si elle a ce qu’elle veut va te coller plus de merde sur le dos.. Du cookie Twitter pinter et tout ce qui zone en mode mst sur le Web. Le SEO est ton démon intérieur qui va te faire manger le mur de la cnil
#14.1
Essaie de dessiner ce que tu veux dire
#15
Comment on fait pour entrer sur les sites de Google sans “tout accepter” ? C’est eux les pires que je connaisse actuellement.
#16
C’est déjà un peu le cas, le RGPD prévoit des sanctions y compris pour les développeurs : Donc si ton client ne souhaite pas respecter le RGPD tu as le choix entre fermer les yeux et risquer des sanctions à tout niveau (client, boite d’info et personnelle pour le développeur). Refuser de suivre et se faire probablement virer (a minima perdre ce client)…
#17
Je ne suis pas persuadé que ce soit le monde du Web qui soit le plus impacté par le RGPD, je pense que c’est la vision GAFAM de la chose qui pousse ça. N’importe quelle boîte qui a des données nominatives ou des métadonnées est impactée. Même ton médecin de quartier, ton agence immobilière, le syndic de ton immeuble, une asso avec des adhérents, bref énormément de monde est concerné.
Même un simple fichier Word avec une liste de noms de personnes est concerné par le RGPD, c’est dire…
Au sujet de la facilité de faire les modifs adéquates, je suis probablement biaisé, mais je te garantis que sur un SI qui a plus de 10 ans, c’est la misère. Il y a des systèmes complets qui ont besoins de littéralement d’années d’infos de ventes (la BI), et la vie privée n’a jamais été pensée là dedans.
Quitte à perdre ton intéressement parce que le projet coûtera une blinde à la boîte, voire pourrait même couler ton entreprise ?
#18
Arf, faudrait peut-être que je parle de mes listes de téléphones client (avec nom / prénom et parfois numéro de tel privé) à ce qui me sert de DPO
Alors là je ne le nie pas. Il faudrait d’ailleurs qu’à l’occasion je jette un œil aux bdd de notre ERP.. ce jour là mon DPO risque de pleurer, mais au moins ça me donnera du taf
D’ailleurs petite question que je me pause : l’historique du plannings professionnel des employés (nommés dans le fichier, bien évidement), c’est dont sujet au RGPD?
Ben en l’occurrence avec le covid l’intéressement a déjà sauté, j’suis plus à ça près
Edit : Dans mon propos de base, je visualisais vraiment la boite qui maintient des sites web non conformes (pas de demande de consentement et/ou dark patern). Ça c’est techniquement assez facile à corriger, et s’ils ne veulent pas le faire pour continuer à fumer les visiteurs ben moi je veux pas bosser pour eux..
#19
Euh, je veux bien plus d’information, car le RGPD ne prévoit de sanction qu’à l’encontre du (ou des
selon les cas) responsable de traitements. Même le DPO ne risque rien !
Derrière, un responsable de traitement peut éventuellement se retourner derrière un presta pour défaut de conseil ou autre, mais rien à voir avec le RGPD !
#20
Le traitement par la CNIL de ses plaintes est une vaste blague. Tout le travail était pré-mâché. Je ne sais pas la conclusion de la QdN est la bonne (décision politique) mais elle reste crédible, et je ne vois pas d’autre raison (je ne pense pas que les juristes de la CNIL soient incompétents, mais si on leur demande de ne pas bosser sur ce dossier, ils ne peuvent pas le faire). Il faudrait que quelqu’un chez eux puisse l’expliquer, anonymement.
#21
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants page 12
Ou encore l’article 82
Si ton client te demande quelque chose d’interdit tu deviens responsable à part égale si tu le fais (précédemment il suffisait de se couvrir avec le devoir de conseil, mais tu ne risquais rien en tant que presta)
#22
Merci, je vois mieux à quoi tu fais référence ;)
Non, je ne suis pas d’accord. Avant, tu étais tout aussi responsable. Le RGPD ne fait que rappeler un fait (en tout cas, en France). Si un presta fait sciemment quelque chose d’illégal, il est également responsable, RGPD ou non.
La différence aujourd’hui repose sur le caractère “état de l’art”, notamment en terme de sécurisation. Avant, un simple devoir de conseil suffisait. Aujourd’hui, la responsabilité du sous-traitant peut (et j’insiste sur le peut) être engagé dans ce cas. J’insiste dessus car le recours à de la sous-traitance ne dédouane pas le responsable de traitement de veiller au grain.
C’est une différence entre faire quelque chose d’illégal et manquer à une obligation. Le premier point à toujours été sanctionné. Le second non.
Il est aussi délicat de savoir ce qui est ou n’est pas illégal lors d’un traitement pour un sous-traitant (et pour le responsable de traitement aussi parfois
). Par exemple :
autant de points qu’un sous-traitant aura du mal à apprécier dans un cadre contractuel.
Maintenant, il faut aussi lire le paragraphe 4 en complément du paragraphe 5 :
Grosso-modo, l’article 82, pris dans sa globalité, signifie que pour une personne ayant subit un dommage, qu’il soit moral ou matériel, suite à un traitement, doit être indemnisé. Qu’importe que ce soit par le sous-traitant, le responsable de traitement, etc qui effectue cette “réparation”… Il doit l’être. Charge ensuite au sous-traitant ou au responsable de traitement, de s’entendre avec les autres parties pour la répartition des responsabilités.
Notons également que dans le cas qui nous concerne ici (les cookies), le RGPD n’indique pas tout. Il prévoit juste que le consentement doit être libre, spécifique, éclairée et univoque. Mais pas grand chose sur le comment le mettre en oeuvre.
Il a fallu attendre juillet 2019 pour avoir un premier guide post RGPD, complété en 2020. Il a donc fallu 4 ans à la CNIL (le RGPD, bien qu’en application depuis 2018, est en vigueur depuis 2016 !) pour avoir un texte plus ou moins précis sur ce qui est autorisé ou non.
Donc quand je vois le délai qu’il a fallu à la CNIL pour définir les règles (4 ans, c’est que cela ne doit pas être simple), mais que les organismes mis en demeure ont juste un mois pour se mettre en conformité, je me dis qu’il y a peut être une légère distorsion quelque part.
#23
Mais pas du tout ! :) Précédemment la loi locale s’appliquait et c’est un juge qui devait apprécier le caractère légal ou pas de tous les intervenants. Maintenant le RGPD s’applique si le service est rendu en europe peu importe d’où le dev / propriétaire du site est originaire.
En gros Facebook a eu le droit de se lancer vers 200x en respectant pas du tout la loi informatique et liberté, car ils appliquaient le droit d’un des États-Unis. Je me rappelle à mon inscription que les conditions indiquait que tout commentaire / photo posté sur le site devenait la propriété exclusive de facebook qui avait le droit d’utiliser ces données (commentaires et images) comme bon leur semble, y compris pour la revendre à des fins publicitaires.
#24
Mais pas du tout ! :) (oui, je me permets de te paraphraser :p)
Le RGPD ne vient pas remplacer la loi locale. Il vient en plus de la loi locale. Et depuis le début (avant le RGPD), il y a la responsabilité devant la CNIL et la responsabilité devant la loi. La CNIL peut très bien dire “responsable” et la loi “non responsable”, ou inversement.
Par contre, la responsabilité vis-à-vis de la CNIL ne concerne que les données à caractère personnel.
La différence, par rapport à avant, c’est que le RGPD :
Maintenant, si la boite / le dev n’a rien en Europe (pas de siège social, pas de sous-traitant, etc.), bon courage pour faire appliquer le RGPD
La responsabilité du sous-traitant, c’est aussi (et surtout ?) pour pouvoir faire appliquer le RGPD dans le cas où le responsable de traitement serait non-européen et le sous-traitant européen. La, le sous-traitant ne pourrait pas se dédouaner face à la CNIL, mais il peut ensuite se retourner contre son donner d’ordre (mais c’est à lui de gérer ça)
#25
Pareil, j’ai lâché l’affaire au bout de 10 clics. J’ose espérer qu’ils feront partie des premiers mis en demeure.
#26
Je n’ai jamais dis le contraire !
C’est un cas très important et j’ai l’impression que tu écrivais l’inverse il y’a deux messages ?
Il y’a souvent un montage farfelu pour les gros clients qui peuvent faire appel à de petits acteurs européen, ou à l’inverse une PME qui fait appel à un gros presta non-européen. Dans ces deux cas tout le monde est responsable et (au moins l’européen) paye en cas d’erreur.