L’objectif de la Cnil, à travers l’adoption de cette nouvelle norme simplifiée 48 (1), a été de mettre en conformité l’ancienne norme aux nouvelles méthodes de prospection et aux grandes évolutions du e-commerce.
Pour ce faire, de nouvelles finalités de traitement ont été définies, telles que notamment la réalisation d’enquêtes de satisfaction et l’organisation de loteries publicitaires et de jeux concours.
La Cnil a également ajouté comme nouvelle finalité « la gestion d’avis des personnes sur des produits, services ou contenus », de manière à anticiper l’adoption prochaine d’une norme Afnor ayant pour objectif d’encadrer les processus de traitements des avis des consommateurs sur internet. En effet, cette nouvelle norme devrait mettre à la charge des éditeurs de sites internet la mise en place de traitements impartiaux et de bonne foi des avis des consommateurs.
Par ailleurs, conformément à la position adoptée par le groupe de l’article 29, la Cnil vise expressément la possibilité de recourir aux implémentations de cookies d’analyse et de statistique de fréquentation des sites internet à des fins de mesure d’audience, sans avoir à recueillir préalablement le consentement des personnes concernées, sous réserve du respect de certaines conditions.
Protéger la vie privée des consommateurs reste la priorité de la Cnil, ainsi la nouvelle norme encadre précisément les traitements, en précisant les durées de conservation, les modalités pratiques d’information des personnes, les mesures de sécurité assurant la confidentialité des données, et les différents cas dans lesquels les transferts de données hors de l’Union européen sont permis.
Par ailleurs, la Cnil accentue ses exigences en matière de recueil du consentement préalable et du droit d’opposition. En effet, la Cnil spécifie que ces droits doivent pouvoir s’exprimer par un moyen simple et spécifique, elle cite à titre d’exemple une case à cocher. De même, en précisant que l’acceptation des conditions générales d’utilisation n’est pas une modalité suffisante du recueil du consentement des personnes, la Cnil réaffirme que le consentement exprimé doit être une manifestation de volonté libre, spécifique et informée.
Concernant l’exercice du droit d’opposition à la collecte des données personnelles par l’intermédiaire de cookies, la Cnil précise que l’outil permettant de désactiver la traçabilité mise en œuvre par l’outil d’analyse de fréquentation doit être accessible aisément par tous les internautes, et doit assurer l’absence totale de collecte de données.
Enfin, afin de lutter contre la fraude bancaire et l’usurpation d’identité, la Cnil détermine des mesures de sécurité renforcées, telles que l’authentification des personnes accédant aux données, la traçabilité de tout accès aux données dans le cas d’accès illégitime, ou encore l’utilisation de clé secrète lorsqu’il y a stockage des numéros de carte bancaire.
La Cnil fixe un délai de 12 mois à compter de la publication de la norme à tous les organismes privés et publics ayant effectué une déclaration simplifiée en référence à l’ancienne norme pour se mettre en conformité avec la nouvelle norme.
(1) Cnil, Délibération n° 2012-209 du 21-6-2012
(2) Groupe de l’article 29, Avis 04/2012 WP 194 du 7-6-2012