En lançant une concertation sur les modalités de recueil du consentement des internautes, la CNIL fait prendre un nouveau virage au RGPD en France.
Le 18 juillet dernier, la CNIL (Commission nationale et l’informatique et des libertés) annonçait l’adoption de nouvelles lignes directrices concernant le recueil du consentement des internautes - rendu obligatoire par le RGPD (Règlement général sur la protection des données). Sont en particulier visées les modalités de consentement au dépôt de cookies, qui restent aujourd’hui, plus d’un an après la mise en application du RGPD, encore extrêmement floues pour les acteurs du marché.
Si cette annonce a reçu un accueil mitigé, notamment auprès de certaines associations de défense des consommateurs, elle témoigne toutefois d’une volonté de la CNIL d’aller plus loin dans ses recommandations, afin de fournir aux opérateurs un cadre de références plus précis, plus fiable et plus tangible.
Il faut dire que depuis son entrée en vigueur en mai 2018, le RGPD a catalysé les inquiétudes de tout un marché, tout particulièrement celles du marché publicitaire. Dans un contexte de domination croissante de Google et Facebook et à l’ère de l’hyper-personnalisation de l’offre publicitaire, le RGPD est ainsi venu bouleverser tout un business model, dont la collecte des données personnelles, et notamment les cookies, constitue un maillon essentiel. Face à cette nouvelle contrainte réglementaire et à son impact potentiel sur les recettes publicitaires, nombre d’entreprises du secteur ont choisi la voie de la résistance, en s’acquittant du minimum requis légalement. Le marché a mis du temps à accepter que le RGPD allait faire durablement partie du paysage et finalement même l’initiative de l’IAB avec le Transparency & Consent Framework n’est apparue que dans les dernières semaines du compte à rebours. Du côté des annonceurs, on estime ainsi aujourd’hui que seuls 37% des consentements sont collectés de manière explicite, les organisations ayant largement préféré la mise en œuvre de consentements dits « softs », moins contraignants d’un point de vue technique, et moins impactants d’un point de vue économique. Cette attitude a été renforcée par l’annonce sans cesse repoussée des détails du règlement e-privacy.
Mais derrière ces « conformités de façade » se cache aussi une certaine défaillance du texte, qui a d’ailleurs été largement reprochée à la CNIL. Faute de recommandations véritablement précises et concrètes quant aux modalités de mise en œuvre des principes édictés par le RGPD, le texte a laissé le champ libre à des interprétations très différentes d’une organisation à une autre, en termes de niveau de contrainte et de degré de liberté. Cette zone de flou a ainsi entraîné une certaine désinvolture de la part des entreprises, qui n’ont pas vraiment pris au sérieux les travaux des régulateurs. Ce flou a été amplifié par les logiques compétitives entre acteurs où le plus vertueux en termes de réglementation regardait la non-conformité de ses concurrents avec une certaine surprise.
La CNIL a, semble-t-il, entendu les reproches qui lui ont été adressés au cours des derniers mois, tout en mesurant les dissonances existant à l’échelle européenne, les recommandations émises par les différents organismes régulateurs variant d’un pays à un autre. Consciente du manque d’exhaustivité du texte et d’homogénéité des modalités de mise en œuvre avec ses partenaires européens, la CNIL a donc lancé pendant l’été une grande concertation avec des professionnels et des associations de l’écosystème marketing, ainsi qu’avec des représentant de la société civile, afin d’aboutir à une définition et des critères plus clairs de mise en œuvre du RGDP. Autour de cette table, une place a été faite au secteur naissant des Consent Management Platform puisqu’elles sont en première ligne face aux marques qui souhaitent se mettre en conformité.
En s’appuyant ainsi sur des professionnels au plus proche du terrain, la CNIL se donne les moyens de formuler des spécifications plus détaillées et plus en phase avec la réalité du marché et des équipes opérationnelles. La CNIL a bien compris qu’il ne suffisait pas d’édicter de grands principes : elle doit les rendre actionnables et donner aux entreprises des clés de compréhension et des directives transparentes quant à la marche à suivre pour être réellement en conformité avec la loi.
Et avec ces nouvelles directives, vient aussi une plus grande fermeté. Le règlement faisant désormais partie du paysage, la pression qui s’exerce sur la CNIL est triple : celle des associations de consommateurs, celle des marques et celle de l’écosystème qui s’est construit autour du cookie. C’est donc la fin de la période de tolérance que la CNIL avait accordée aux entreprises pour leur laisser le temps de prendre les mesures nécessaires. Désormais, les contrôles vont s’intensifier et les sanctions se systématiser envers celles qui ne répondront pas aux critères de conformité. Critères qui, eux-mêmes, sont amenés à se durcir, à l’instar ce qui a été mis en place chez nos voisins européens.
Parmi les travaux entrepris par la CNIL, un groupe se penchera notamment sur les modalités de collecte et de conservation de la preuve du consentement et de la durée du consentement. Il s’agira notamment de définir les modalités d’un consentement éclairé et explicite, et des informations à porter directement à la connaissance des utilisateurs à cette fin.
La CNIL partagera ses recommandations sur l’ensemble des thèmes abordés avant la fin 2019 et le marché aura jusqu’au mois de Juillet 2020 pour se placer définitivement en conformité.
Ce qui attend les acteurs du marché :
D’abord, elles doivent se rendre à l’évidence : la CNIL entend bien être prise au sérieux et faire appliquer strictement la réglementation. Et tant que le terme de « mouchards » sera utilisé dans le grand public, il y a à craindre que la fermeté soit au rendez-vous.
Ensuite, le RGPD traduit finalement une certaine maturité du web, et constitue la première version d’un cadre normatif, criticable, optimisable mais dont l’économie digitale avait aussi besoin pour continuer à se professionnaliser et à se développer sainement. Dans une économie globale et digitale, la captation et la circulation des données, comme celles des biens ou des personnes sera soumis à une réglementation.
Avec l’expansion du digital et du tout-connecté, la protection des données personnelles est un enjeu fondamental, à l’échelle non seulement de l’économie, mais aussi de l’entreprise elle-même. A défaut de conformité, les organisations s’exposent désormais à des risques majeurs en termes de sanctions financières, mais aussi d’image de marque.
Cette mise en conformité devient en outre d’autant plus incontournable que le RGPD a progressivement fait tache d’huile partout dans le monde. Le CCPA (California Consumer Privacy Act) entrera ainsi en vigueur en Californie en janvier 2020. D’autres initiatives similaires, inspirées par le RGPD, sont en train de voir le jour en Asie, au Moyen-Orient... A terme, les entreprises devront se conformer à chaque règlementation en vigueur dans les pays dans lesquels leurs sites seront consultés. Il faut donc s’attendre à une accumulation de réglementations qui nécessitera de gérer une multi-conformité.
Le temps n’est donc plus à la résistance ni au déni : il faut que les entreprises envisagent aujourd’hui leur conformité règlementaire comme une dimension à part entière de leur activité, et une variable de leur performance. Car du consentement obtenu dépendra désormais leurs résultats marketing. Les équipes marketing doivent donc s’emparer rapidement du sujet et l’intégrer à leur stratégie, en l’envisageant comme une opportunité plutôt que comme un frein.