La délibération n°2019-093 du 4 juillet 2019 de la CNIL, publiée le 18 juillet au Journal Officiel, signe la mort du soft opt-in et ouvre la voie à un consentement actif des utilisateurs sur les cookies et les traceurs. Pourquoi un tel changement ? Le RGPD est passé par là et les règles de la CNIL datant de 2013 étaient devenues caduques. Ce cadre admettait qu'une interaction quelconque, même un simple scroll, suffisait à enregistrer un consentement. Les principes du consentement au sens du RGPD n'étaient pas respectés.

Or dans le texte, le régulateur explique que « le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». Elle ajoute que « l'utilisation de cases pré-cochées, tout comme l'acceptation globale de conditions générales d'utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement ».

Un couperet à juillet 2020

Consciente de l'impact d'une telle décision, la CNIL a prévu un délai de transition. Les entreprises auront un an pour se conformer à ces lignes directrices et mettre leur politique de cookies et traceurs à jour. Ce délai est contesté par la Quadrature du Net qui indiqué dans un communiqué que la CNIL, « au mépris total du droit européen, souhaite attendre juillet 2020 pour commencer à sanctionner les sites internet qui déposent des cookies sans respecter les nouvelles conditions du RGPD pour obtenir notre consentement. »