Comment avoir une CMP conforme au RGPD ?

Si le RGPD n’impose pas le recours à une CMP ou Consent Management Platform, son utilisation est fortement recommandée. L’outil permet en effet de gagner un temps précieux et de s’assurer de la conformité de votre site web en matière de recueil et de gestion du consentement de vos utilisateurs.

Une CMP sert à remplir deux obligations du RGPD : premièrement, le recueil du consentement, avec toutes les règles que celle-ci engendre et dont on va parler dans cet article. Deuxième, le stockage de la preuve de consentement, qui permet à votre entreprise de prouver que vous l’avez bien obtenu en bonne et due forme, notamment en cas de contrôle de la CNIL.

Penchons-nous donc sur le CMP, ses fonctionnalités principales et surtout sur comment bien le paramétrer pour répondre aux critères d’exigence du RGPD.

Qu’est-ce qu’une CMP ?

Une CMP ou Consent Management Platform est un outil, en général intégré à votre site web, permettant d’une part de collecter le consentement de vos utilisateurs (ou de prendre en compte les refus) et d’autre part de stocker et de conserver la preuve de consentement.

Concrètement, une CMP comprend donc plusieurs facettes. D’abord, le bandeau cookies est sans doute la partie la plus visible du dispositif. C’est avec elle que les visiteurs interagissent. Elle donne des informations sur les traitements de données que vous envisagez et permet à vos utilisateurs de choisir leurs préférences en matière de cookies, notamment.

Ensuite, un deuxième module peut permettre à tout moment à vos usagers de modifier leurs préférences de communication ou en matière de cookies.

Enfin, la CMP stocke ces informations, permet leur application lors de connexions ultérieures et conserve la preuve de consentement, fameux sésame à présenter à la CNIL si besoin.

A noter que l’installation d’une CMP n’est pas une obligation légale : le RGPD ne l’exige pas. Cependant, au vu des services rendus par la CMP et dont on vient de parler, on comprend qu’il est conseillé de s’équiper.

CMP et RGPD : comment bien obtenir le consentement de vos utilisateurs

Installer une CMP n’est pas tout : encore faut-il bien la choisir et surtout bien la paramétrer pour effectivement respecter les exigences du RGPD.

La première règle à respecter est celle de l’information. En effet, vous devez fournir à votre visiteur une information claire sur les traceurs et cookies que vous comptez utiliser ainsi que sur la finalité du traitement de données envisagé. En clair, vous devez lui dire quelles données vous voulez collecter et pourquoi. Cette information doit être accessible, c’est-à-dire lisible et rédigée dans un langage simple. A noter qu’il est possible de recourir à deux niveaux d’information : un premier niveau concis sur le bandeau de cookies lui-même et un deuxième niveau plus fourni par ailleurs, via une page de politique de confidentialité par exemple.

Le deuxième point d’attention concerne le recueil du consentement lui-même. Celui-dit doit être éclairé, c’est ce qu’on a vu avec l’exigence d’information, mais aussi libre, spécifique et univoque. Au niveau d’un bandeau de cookies, le critère de liberté repose principalement sur la facilité du refus. Il doit être aussi facile de refuser le dépôt de cookies que de l’accepter.

Le critère de spécificité renvoie à la possibilité d’accepter ou de refuser tous les cookies, mais aussi de choisir des traitements précis pour lesquels je souhaite donner mon accord.

Enfin, un consentement univoque aux cookies se fait par une action positive. Il ne suffit pas de scroller ou de continuer à naviguer sur le site pour donner son accord. Au contraire, cocher une case ou cliquer sur un bouton d’acceptation sont des actions positives qui permettent de valider le consentement.

Pour aller plus loin, il faut noter que cet espace du bandeau de cookies est aussi une occasion de proposer un message personnalisé à votre audience. Après tout, il s’agit d’un des premiers contacts qu’elle a avec votre site !

Le stockage de la preuve de consentement : une fonctionnalité des CMP essentielle au RGPD

Une fois le consentement reçu via votre CMP, encore faut-il pouvoir le prouver ! Le principe de responsabilité (vous rencontrerez aussi le terme d’accountability) impose aux entreprises d’être en mesure de prouver qu’ils ont mis en place les dispositifs nécessaires pour assurer leur conformité au RGPD.

Le recueil du consentement est une des situations qui relèvent de cette logique. Il vous faut être capable de démontrer que vous avez bel et bien reçu l’accord des utilisateurs concernés avant de déposer et d’activer des cookies (par exemple) sur leur ordinateur.

C’est aussi le rôle de la CMP ! Elle a pour fonction de stocker les préférences de consentement des utilisateurs et de collecter les tokens de preuve de ce consentement. Elle permet aussi de noter la date à laquelle le consentement a été donné, ce qui a son importance, notamment en matière de durée de conservation des données.

Plus spécifiquement, le consentement aux cookies doit être renouvelé tous les 13 mois au maximum.

Autrement dit, une CMP est un allié RGPD précieux, à condition de bien la choisir et de bien la paramétrer. Vous pouvez tester gratuitement l’outil Witik qui garantit le plus haut niveau de conformité au RGPD, notamment grâce au dispositif légal conçu par le cabinet spécialisé de référence Haas Avocats.