Information, consentement et refus.
Comme rappelé par les lignes directrices du 17 septembre 2020, lorsqu'aucune des exceptions prévues à l'article 82 de la loi « Informatique et Libertés » n'est applicable, les utilisateurs doivent, d'une part, recevoir une information conforme à cet article, complétée, le cas échéant, par les exigences du RGPD, et, d'autre part, se voir indiquer les conséquences de leur choix.
Au sein de la présente recommandation, l'absence de consentement des utilisateurs est désignée par le terme « refus ». Toute inaction ou action des utilisateurs autre qu'un acte positif signifiant son consentement doit être interprétée comme un refus de consentir ; dans ce cas, aucune opération de lecture ou d'écriture soumise au consentement ne peut légalement avoir lieu.
De manière générale, afin d'être compréhensible et de ne pas induire en erreur les utilisateurs, la Commission recommande aux organismes concernés de s'assurer que les utilisateurs prennent la pleine mesure des options qui s'offrent à eux, notamment au travers du design choisi et de l'information délivrée.
Par ailleurs, la Commission encourage le développement d'interfaces standardisées, fonctionnant de la même manière et utilisant un vocabulaire uniformisé, de nature à faciliter la compréhension des utilisateurs dans leur navigation sur les sites ou applications mobiles.
2.1. Information sur les finalités des traceurs
Comme rappelé dans les lignes directrices, les finalités des traceurs doivent être présentées aux utilisateurs avant que ceux-ci ne se voient offrir la possibilité de consentir ou de refuser. Elles doivent être formulées de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent.
Afin d'en faciliter la lecture, la Commission recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d'un bref descriptif. Des exemples permettant de se conformer aux règles applicables sont présentés ci-dessous, de manière non exhaustive :
- si le ou les traceurs sont utilisés afin d'afficher de la publicité personnalisée, cette finalité peut être décrite de la manière suivante : « Publicité personnalisée : [nom du site / de l'application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d'afficher de la publicité personnalisée en fonction de votre navigation et de votre profil » ;
- si le ou les traceurs ne sont utilisés que pour mesurer l'audience de la publicité affichée, sans la sélectionner sur la base de données à caractère personnel, le responsable du traitement peut utiliser la formulation suivante : « Publicité non personnalisée : [nom du site / de l'application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs dans le but de mesurer l'audience de la publicité [sur le site ou l'application], sans vous profiler » ;
- si la publicité est adaptée en fonction de la géolocalisation précise, cette finalité peut être décrite de la manière suivante : « Publicité géolocalisée : [nom du site / de l'application] [et des sociétés tierces/ nos partenaires] utilise / utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation » ;
- si les traceurs sont utilisés pour personnaliser le contenu éditorial ou les produits et services fournis affichés par l'éditeur, les formulations suivantes pourraient être affichées : « Personnalisation de contenu : Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser le contenu éditorial [de notre site / application] en fonction de votre utilisation », ou « Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser l'affichage de nos produits et services en fonction de ceux que vous avez précédemment consultés [sur notre site / application] ») ;
- si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux, leur finalité peut être décrite de la manière suivante : « Partage sur les réseaux sociaux : Notre site / application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site / application] ». Si l'éditeur a choisi de mettre en place un mécanisme permettant de ne déclencher ces traceurs que lorsque les utilisateurs souhaitent effectivement partager des données avec les réseaux sociaux concernés (et qu'ils interagissent avec la fonctionnalité ou le bouton permettant cette interaction), l'information et le recueil du consentement pourraient apparaitre lorsque les utilisateurs décident de déclencher ladite fonctionnalité de partage.
La Commission recommande en outre de faire figurer, en complément de la liste des finalités présentées sur le premier écran, une description plus détaillée de ces finalités, de manière aisément accessible depuis l'interface de recueil du consentement. Cette information peut, par exemple, être affichée sous un bouton de déroulement que l'internaute peut activer directement au premier niveau d'information. Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d'information.
Le contenu de cette information additionnelle peut, par exemple, venir préciser que l'affichage de la publicité englobe différentes opérations techniques concourant à la même finalité. Celles-ci incluent également le plafonnement de l'affichage (parfois appelé « capping publicitaire », consistant à ne pas présenter à un utilisateur une même publicité de manière trop répétitive), la lutte contre la « fraude au clic » (détection d'éditeurs prétendant réaliser une audience publicitaire supérieure à la réalité), la facturation de la prestation d'affichage, la mesure des cibles ayant plus d'appétences à la publicité pour mieux comprendre l'audience, etc.
Enfin, afin d'accroître la transparence, un responsable de traitement peut également préciser les catégories de données collectées en les associant aux finalités qu'elles permettent d'atteindre.
2.2. Information sur la portée du consentement
Lorsque des traceurs soumis au consentement, déposés par d'autres entités que l'éditeur du site ou l'application mobile, permettent un suivi de la navigation de l'utilisateur au-delà du site ou de l'application mobile où ceux-ci sont initialement déposés, la Commission recommande fortement que le consentement soit recueilli sur chacun des sites ou applications concernés par ce suivi de navigation, afin de garantir que l'utilisateur soit pleinement conscient de la portée de son consentement.
2.3. Information concernant l'identité du ou des responsables du traitement
Les utilisateurs doivent pouvoir prendre connaissance de l'identité de l'ensemble des responsables du ou des traitements, y compris les responsables de traitement conjoints, avant de donner leur consentement ou de refuser. Ainsi, comme explicité dans les lignes directrices du 17 septembre 2020, la liste exhaustive et régulièrement mise à jour des responsables du ou des traitements doit être mise à la disposition des utilisateurs au moment du recueil de leur consentement.
En pratique, afin de concilier les exigences de clarté et de concision des informations avec la nécessité d'identifier l'ensemble des responsables du ou des traitements, les informations spécifiques sur ces entités (identité, lien vers leur politique de traitement des données à caractère personnel), régulièrement mises à jour, peuvent par exemple être fournies à un second niveau d'information. Elles peuvent ainsi être mises à disposition depuis le premier niveau via, par exemple, un lien hypertexte ou un bouton accessible depuis ce niveau. La Commission recommande en outre d'utiliser une dénomination descriptive et utilisant des termes clairs, telle que « liste des sociétés utilisant des traceurs sur notre site / application ».
Enfin, la Commission recommande qu'une telle liste soit également mise à la disposition des utilisateurs de manière permanente, à un endroit aisément accessible à tout moment sur le site web ou l'application mobile. Ainsi, le mécanisme permettant de prendre connaissance de la liste à jour des responsables de traitement devrait de préférence être placé dans des zones de l'écran qui attirent l'attention des utilisateurs ou dans des zones où ils s'attendent à le trouver, tout au long de leur navigation. A titre d'exemple, l'éditeur d'un site web peut fournir aux utilisateurs un module de paramétrage accessible sur toutes les pages du site au moyen d'une icône statique « cookie » toujours visible ou d'un lien hypertexte situé en bas ou en haut de page.
Afin d'accroître la lecture de l'information par les utilisateurs, le nombre de responsables du ou des traitements impliqués pourrait être indiqué au premier niveau d'information. De même, le rôle des responsables du ou des traitements pourrait être mis en évidence en les regroupant par catégories, lesquelles seraient définies en fonction de leur activité et de la finalité des traceurs utilisés.
2.4. L'expression du consentement ou du refus
S'agissant du caractère univoque du consentement
Le consentement doit se manifester par un acte positif clair des utilisateurs, répondant aux conditions fixées par le RGPD, interprétées par la Commission dans ses lignes directrices du 17 septembre 2020.
La Commission estime qu'une demande de consentement effectuée au moyen de cases à cocher, décochées par défaut, est facilement compréhensible par les utilisateurs. Le responsable du ou des traitements peut également avoir recours à des interrupteurs (« sliders »), désactivés par défaut, si le choix exprimé par les utilisateurs est aisément identifiable. La Commission recommande d'être attentif à ce que l'information accompagnant chaque élément actionnable permettant d'exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d'efforts de concentration ou d'interprétation de la part de l'utilisateur. Ainsi, il est notamment recommandé de s'assurer qu'elle n'est pas rédigée de telle manière qu'une lecture rapide ou peu attentive pourrait laisser croire que l'option sélectionnée produit l'inverse de ce que les utilisateurs pensaient choisir.
S'agissant du caractère libre du consentement
Le consentement ne peut être valide que si les utilisateurs sont en mesure d'exercer librement leur choix.
Afin de s'assurer du caractère libre du consentement donné, la Commission recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte.
Toutefois, la Commission estime que cela ne fait pas obstacle à la possibilité de proposer aux utilisateurs de consentir de manière globale à un ensemble de finalités, sous réserve de présenter, au préalable, aux utilisateurs l'ensemble des finalités poursuivies.
A ce titre, la Commission souligne qu'il est possible de proposer des boutons d'acceptation et de refus globaux au stade du premier niveau d'information, via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser », « j'autorise » et « je n'autorise pas », « j'accepte tout » et « je n'accepte rien » et permettant de consentir ou de refuser, en une seule action, à plusieurs finalités.
Pour permettre aux personnes de choisir finalité par finalité, il est possible d'inclure un bouton, sur le même niveau d'information que les liens ou boutons permettant de tout accepter et de tout refuser, permettant d'accéder au choix finalité par finalité. A titre d'exemple, un bouton « personnaliser mes choix » ou « décider par finalité » permettrait d'indiquer clairement cette possibilité. Les utilisateurs pourraient se voir également proposer d'accepter ou de refuser finalité par finalité directement sur le premier niveau d'information. Ils pourraient aussi être invités à cliquer sur chaque finalité afin qu'un menu déroulant leur propose des boutons « accepter » ou « refuser ».
De manière générale, la Commission recommande d'utiliser une dénomination descriptive et intuitive afin que les utilisateurs puissent avoir pleinement conscience de la possibilité d'exercer un choix par finalité.
S'agissant des modalités du refus
Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d'accepter que de refuser les opérations de lecture et/ou d'écriture avec le même degré de simplicité.
Ainsi, la Commission recommande fortement que le mécanisme permettant d'exprimer un refus de consentir aux opérations de lecture et/ou d'écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d'exprimer un consentement. En effet, elle estime que les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l'utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l'application rapidement.
Par exemple, au stade du premier niveau d'information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser », « autoriser » et « interdire », ou « consentir » et « ne pas consentir », ou toute autre formulation équivalente et suffisamment claire. La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l'utilisateur d'exprimer son refus aussi facilement que son consentement.
L'expression du refus de consentir peut toutefois découler d'autres types d'actions que celle consistant à cliquer sur l'un des boutons décrits ci-dessus. En tout état de cause, la Commission rappelle que les modalités permettant aux utilisateurs de consentir ou de refuser doivent être présentées de façon claire et compréhensible. En particulier, lorsque le refus peut être manifesté par la simple fermeture de la fenêtre de recueil du consentement ou encore par l'absence d'interaction avec celle-ci pendant un certain laps de temps, cette possibilité doit être clairement indiquée aux utilisateurs sur cette fenêtre. En effet, à défaut, l'utilisateur serait susceptible de ne pas comprendre que ces actions conduisent à ce qu'aucune opération de lecture ou d'écriture soumise au consentement ne peut avoir légalement lieu. Un design et une information appropriés devraient lui permettre de bien comprendre les options qui s'offrent à lui.
Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s'assurent que les interfaces de recueil des choix n'intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu'un autre. Il est recommandé d'utiliser des boutons et une police d'écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique.
S'agissant de la conservation des choix
La Commission observe qu'il est, en principe, nécessaire de conserver les choix exprimés par les utilisateurs durant leur navigation sur le site. En effet, à défaut de la conservation de ces choix, les utilisateurs se verraient afficher une nouvelle fenêtre de demande de consentement à chaque page consultée, ce qui pourrait porter atteinte à la liberté de leur choix.
De plus, la Commission recommande que, lorsque le refus peut être manifesté par la poursuite de la navigation, le message sollicitant le consentement (par exemple, la fenêtre ou le bandeau) disparaisse au bout d'un laps de temps court, de manière à ne pas gêner l'utilisation du site ou de l'application et à ne pas, ainsi, conditionner le confort de navigation de l'utilisateur à l'expression de son consentement au traceur.
De manière générale, la Commission recommande que le choix exprimé par les utilisateurs, qu'il s'agisse d'un consentement ou d'un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l'application concernée et des spécificités de son audience.
Par ailleurs, dans la mesure où le consentement peut être oublié par les personnes qui l'ont manifesté à un instant donné, la Commission recommande aux responsables de traitement de renouveler son recueil à des intervalles appropriés. Dans ce cas, la durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs.
Au regard de ces éléments, la Commission considère, de manière générale, que conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.