Audits de mise en conformité réglementaire cookies CNIL
AUDITS DE MISE EN CONFORMITE A LA RECOMMANDATION CNIL SUR LES COOKIES ET TRACEURS
Objet
Les établissement publics sont soumis à la recommandation de la CNIL sur les cookies et autres traceurs du 1er octobre 2020 (dans le cadre de la Loi informatique et liberté), notamment pour leurs sites web.
Le responsable du domaine applicatif « Communication » à la Direction des Systèmes d’Information et des Usages Numériques souhaite s’appuyer sur une société spécialisée pour effectuer un recensement des actions à effectuer pour une mise en conformité des sites web et application smartphone par rapport aux lignes directrices et à la recommandation de la CNIL sur les cookies et autres traceurs du 1er octobre 2020 (incluant la conformité aux conditions RGPD du consentement et, plus largement, à l’article 82 de la Loi Informatique et Liberté).
La présente prestation n’inclut pas d’audits finaux, après correction des non-conformités relevées lors des audits initiaux. Les corrections seront planifiées à l’issue des audits initiaux.
Expression des besoins
Les prestations à réaliser par le titulaire sont :
- audits initiaux (par rapport à la recommandation de la CNIL sur les cookies et autres traceurs du 1er octobre 2020 sur la version la plus récente de chaque site web ou application mobile à auditer, sur un échantillon d’une quinzaine de pages par site en “version ordinateur de bureau” et en “version mobile” ou sur un échantillon d’une dizaine d’écrans par application mobile, détaillant les actions correctives obligatoires à effectuer pour une mise en conformité à la recommandation CNIL, et donnant lieu à une réunion de restitution de 15 à 30 minutes par site ou application (présentation des résultats de l’audit et réponse aux questions des équipes).
- maquette de l’écran de premier niveau de demande de consentement et le contenu de ses textes, liens et autres mentions légales, maquette de l’écran de second niveau de demande de consentement et le contenu de ses textes, liens et autres mentions légales, ainsi que les mentions légales à publier sur la page de politique de confidentialité de chaque site web ou application mobile concernés. Les maquettes, textes, liens et mentions légales fournis seront personnalisés et adaptés à chaque site web ou appli (ou groupes de sites homogènes), selon les cookies et traceurs utilisés sur le site ou l’appli.
- préconisations pour la démarche de mise en œuvre des recommandations issues de l’audit.
Les prestations pourront se faire à distance (notamment par e-mail, téléphone et/ou visioconférence pour les échanges). En particulier, la “restitution” des audits initiaux pourra se faire sous forme d’une réunion téléphonique ou en visioconférence et d’un échange de questions-réponses par courriel.
Les livrables demandés sont les suivants, pour chacun des sites web ou application smartphone (un livrable de chacun des types ci-dessous par site ou application) :
- la proposition de l’échantillon de pages ou d’écrans à auditer, dans un délai de deux jours ouvrés à compter de la commande. La DSIUN validera la proposition dans un délai d’une journée.
- un rapport d’audit initial au format Word ainsi qu’une grille LibreOffice Calc ou Excel comprenant les critères audités et comportant le résultat de l’évaluation pour chacun des critères sur la quinzaine de pages ou la dizaine d’écrans de l’échantillon défini.
Le rapport comprendra :
- le relevé des non-conformités ;
- les recommandations de corrections ;
- la priorisation des corrections ;
- l’élaboration d’éventuelles dérogations ;
- une note technique (explications détaillées pour les non-conformités complexes à résoudre), le cas échéant.
- la maquette de l’écran de premier niveau de demande de consentement et le contenu de ses textes, liens et autres mentions légales, la maquette de l’écran de second niveau de demande de consentement et le contenu de ses textes, liens et autres mentions légales, ainsi que les mentions légales à publier sur la page de politique de confidentialité du site web ou de l’application mobile concerné. Les maquettes, textes, liens et mentions légales fournis seront personnalisés et adaptés à chaque site web ou appli (ou groupes de sites homogènes), selon les cookies et traceurs utilisés sur le site ou l’appli.
- un document de préconisations pour la démarche de mise en œuvre des recommandations issues de l’audit, notamment :
- avantages et inconvénients de la mise en place d’un gestionnaire de tags faisant l’interface entre le site web et le tag du « bandeau cookies » ou de la plateforme de gestion des consentements (CMP) et le tag du système de mesure d’audience. Recommandation d’une solution de gestionnaire de tags économique et adaptée au besoin minimal. Procédure de paramétrage du gestionnaire de tags et de configuration des tags dans le code source.
- avantages et inconvénients de l’utilisation de la solution « Tarteaucitron » ( ; couplée à une sauvegarde régulière du code source du site avec, par exemple, la « wayback machine » pour répondre au point de la « preuve de consentement » et de la solution de CMP qui sera recommandée par l’auditeur pour le besoin minimal et économique. Procédure de paramétrage de la CMP.
- choix d’affichage, de présentation graphique et de positionnement de l’interface de recueil de consentement (et de son contenu) au vu des retours d’expérience disponibles à la date de l’audit pour viser la meilleure balance bénéfices/risques entre l’expérience/la gêne utilisateur et le taux de consentement obtenu.
- la possibilité d’opter pour une solution de mesure d’audience exemptée de consentement CNIL.
- choix de catégorisation des cookies pour le regroupement de ceux-ci lors de leur présentation au consentement des internautes.
- une estimation de la charge de la réalisation de la mise en conformité.
Le pouvoir adjudicateur pourra, dans un souci économique et d’efficacité, demander au titulaire de ne fournir qu’un seul livrable global, par groupe de sites web homogènes, pour les deux avant-derniers livrables de la liste ci-dessus (les maquettes d’écrans de consentement et les pages de politique de confidentialité d’une part, ainsi que les documents de préconisations pour la démarche de mise en œuvre des recommandations issues de l’audit, d’autre part).