06 Déc Nouvelles recommandations de la CNIL sur les CMP
01 – Informé
Informer de façon transparente et claire. Les termes complexes sont à proscrire.
02 – Spécifique
Informer de l‘identité des sociétés, responsables du traitement des données des utilisateurs de la première page.
03 – Exprimer
Exprimé par une action positive Une facilité d‘utilisation peut être proposée par un bouton d‘acceptation ou de refus global.
Dans le cadre de la mise en demeure de la société Vectaury, le 9 novembre 2018, la CNIL a donné ses premières recommandations sur les CMP.
Cette mise en demeure est l‘occasion pour la CNIL de réaffirmer le fait que les partenaires qui déposent des SDK sur l‘application mobile d‘un éditeur sont considérés comme Responsables de traitement dès lors qu‘ils déterminent dans une large mesure les finalités et les moyens des traitements mis en oeuvre dans le cadre de l‘utilisation du SDK.
La CNIL a ainsi fait part de ses premières recommandations sur le contenu des CMP – un consentement informé, spécifique et exprimé par une action positive de l‘utilisateur :
– Le consentement doit être informé dans un langage adapté permettant de comprendre sur quoi porte le consentement et quelles sont les finalités du traitement. Cette information doit être claire, suffisamment visible et directement communiquée aux personnes concernées;
L’utilisateur doit avoir accès à la liste des Responsables de traitement à l‘affichage de la première page, sur laquelle figurent les boutons cliquables « J‘accepte« , « Je refuse » et « J‘affine mes préférences >>;
– Une facilité d‘utilisation peut être proposée par un bouton d‘acceptation ou de refus global, mais cette fonctionnalité ne peut pas lui être présentée avant que les différentes finalités du traitement ne lui soient exposées;
– Un onglet « Personnalisation » permet d‘améliorer l‘information de l‘utilisateur. Cependant le fait que l‘ensemble des finalités de collecte soient pré–acceptées par défaut ne saurait aboutir à l‘expression d‘un consentement de la part de l‘utilisateur. En parallèle, les mises en demeure des sociétés Singlespot et Fidzup ont été cloturées le 29 novembre 2018. La CNIL a considéré que les sociétés s‘étaient mises en conformité avec le RGPD.