DPO, pour la rentrée RGPD, n’oubliez pas les cookies avec le thé

Cher DPO,

Après avoir célébré les noces de coton de l’entrée en application du Règlement Général sur la Protection des Données (RGPD), la rentrée de septembre incite à être d’attaque pour affronter les défis de cette année qui s’annonce déjà bien chargée. Certes, vos collègues des directions métiers ou des autres directions supports ont leur lots de bonnes nouvelles également, mais votre tâche est peut être plus ardue car vous devez les persuader que vos priorités sont également les leurs. Et, curieusement, tous ne sont pas d’accord avec ce raisonnement.

Quoi qu’il en soit, vous avez au programme de la rentrée deux actualités, le Brexit et votre recueil de consentement en matière de cookie.

Si ces deux actualités ne sont pas, à proprement parler, des nouveautés, il convient de s’assurer que vous les avez bien anticipées pour éviter toute mauvaise surprise.

Brexit & RGPD : are you ready ?

« It’s easy peasy » pourrait-on dire : si le Royaume-Uni sort de l’Union européenne sans accord, le RGPD ne sera plus d’applicabilité directe. Les entreprises britanniques ainsi que les entreprises traitant des données à caractère personnel à partir du Royaume-Uni, devront respecter les règles concernant les transferts hors UE des données à caractère personnel.

Une nouvelle passe sur toutes les fiches de traitement.

Les DPO devront vérifier, pour toutes les fiches de traitement, si des données à caractère personnel traversent la Manche et ajuster leur registre en conséquence, si celui-ci ne le fait pas automatiquement bien sûr.

En effet, le Royaume-Uni  est un Etat membre de l’UE, il n’y a donc nul besoin de justifier quoi que ce soit lorsqu’une fiche de traitement fait état d’un transfert de données vers ce pays. Néanmoins, en cas de sortie de notre ami britannique, ces mêmes fiches de traitement seront alors incomplètes car n’intégrant ni le type de garantie censé protéger les données à caractère personnel sortant de l’Union Européenne , ni les justificatifs prouvant l’existence de cette garantie.

Des nouvelles garanties à contractualiser, et donc à négocier.

Il vous faudra également encadrer vos relations contractuelles. De la même manière que vous avez encadré vos relations avec vos sous-traitants ou si c’est vous qui l’êtes, avec vos responsables de traitement, il faudra encadrer vos relations spécifiquement avec vos sous-traitants et/ou responsables de traitement britanniques. Sans rappeler que l’article 28 du RGPD exige que les sous-traitants doivent présenter des garanties suffisantes quant à leur mise en œuvre de mesures techniques et organisationnelles appropriées, lorsque vos sous-traitants britanniques traiteront pour vous des données à caractère personnel, soyez sûr que vos contrats soient suffisamment clairs sur les garanties en terme de protection de ces données à caractère personnel.

Sur ce sujet, l’Information Commissioner’s Office (ICO), l’homologue de la CNIL au Royaume-Uni, se démène pour démontrer que, sortie de l’Union Européenne ou non, elle entend maintenir un niveau élevé de protection des données à caractère personnel dans les entreprises et favoriser une collaboration avec le Comité européen pour la protection des données (CEPD). Est-ce que ces efforts suffiront à dispenser les entreprises de la mise en place de garanties supplémentaires ? On peut le penser sur le long terme. En revanche au moment du Brexit, les entreprises ne les ayant pas prévues seront vraisemblablement non conformes.

Réglementation sur les cookies:  on y va, on n’y va pas ?

Alors même que le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies – et autre traceurs – ne date pas du RGPD, tous les DPO connaissent l’article 7 du RGPD : le consentement pour le traitement de données à caractère personnel doit être donné de manière claire et simple, univoque et aisément accessible. Il ne doit plus exister, en théorie, de consentement implicite suivant le fameux adage juridique français qui voudrait que « le silence vaut acceptation ». Or, la CNIL tolère encore une exception à cette règle.

En juin dernier, la CNIL s’est positionnée annonçant que, pour une période transitoire de 12 mois, une tolérance était accordée pour un simple bandeau annonçant la présence de cookies mais sans demander le consentement explicite des internautes. Dit autrement, pas besoin de demander à cocher une case pour obtenir le consentement au dépôt de cookie, et ce pendant un an.

Autant vous dire que du côté du Marketing, on était plutôt content de cette décision. C’était sans compter sur la Quadrature du Net et Caliopen qui, début août, ont décidé de saisir en référé-suspension le Conseil d’Etat afin de suspendre la décision de la CNIL dans les plus bref délais.

Quelque soit l’attendu, ayez pour objectif d’être prêt le 30 septembre.

Alors que les deux associations soutenaient que cette décision encourageait “l’utilisation illicite des cookies pour surveiller les personnes sans leur consentement explicite”, le Conseil d’Etat, dans une décision du 14 août 2019, a rejeté la requête en référé. DPO et équipes marketing ont pu profiter de la fin de leurs vacances tranquillement.

Mais pas de fausse joie. Ce rejet n’est pas une approbation du délai de transition, mais seulement une partie remise. Le Conseil d’Etat souligne en ce sens, que le fait que la date de l’audience au fond était proche (très proche quand on connaît le Conseil d’Etat), le 30 septembre prochain, il n’apparaissait pas que la décision d’un délai de transition portait atteinte à l’intérêt public de manière urgente.

Fin septembre donc, le Conseil d’Etat pourrait recadrer la CNIL sur son propre terrain en imposant une application immédiate de l’article 7 du RGPD aux cookies.  En cas de suppression du délai transitoire, certains acteurs ont déjà préparé le terrain et leur Consent Management Platform sont prêtes à être déployées. Et vous, serez-vous prêt ?