Le cadre reglementaire des cookies en France
Les cookies et autres traceurs sont soumis a l’article 82 de la loi Informatique et Libertes, qui transpose la directive ePrivacy. La CNIL a adopte des lignes directrices et une recommandation en septembre 2020, devenues la reference pour la mise en conformite des sites web et des applications mobiles.
Le principe est clair : sauf exception limitee, le depot de cookies et l’utilisation de traceurs necessitent le consentement libre, eclaire, specifique et univoque de l’utilisateur. Le simple fait de continuer la navigation ne vaut pas consentement. Les bandeaux cookies de type « En continuant, vous acceptez » ne sont plus conformes.
Les cookies exemptes de consentement
Certains cookies sont strictement necessaires au fonctionnement du site et ne necessitent pas le consentement de l’utilisateur. Il s’agit notamment des cookies d’authentification, des cookies de panier d’achat, des cookies de personnalisation de l’interface (langue, affichage) et des cookies de mesure d’audience sous certaines conditions.
Pour beneficier de l’exemption, les cookies de mesure d’audience doivent avoir une finalite strictement limitee a la mesure de la frequentation du site, ne pas permettre le suivi de la navigation sur d’autres sites, et les donnees collectees ne doivent pas etre recoupees avec d’autres traitements. Matomo configure correctement et AT Internet repondent a ces criteres.
Le bandeau cookies conforme
Le bandeau cookies doit presenter les finalites de maniere claire et comprehensible. L’utilisateur doit pouvoir accepter ou refuser les cookies avec la meme facilite. Un bouton « Tout accepter » doit etre accompagne d’un bouton « Tout refuser » au meme niveau de visibilite et d’accessibilite.
Les cases pre-cochees sont interdites. Le design ne doit pas orienter le choix de l’utilisateur vers l’acceptation (dark patterns). La CNIL a sanctionne plusieurs entreprises pour des interfaces de consentement trompeuses, avec des amendes pouvant atteindre plusieurs millions d’euros.
Le consentement doit etre renouvele periodiquement. La CNIL recommande une duree maximale de 13 mois pour la validite du consentement. A l’expiration de ce delai, le bandeau doit etre affiche a nouveau pour recueillir un nouveau consentement.
Les controles de la CNIL sur les cookies
La CNIL mene des campagnes de controle regulieres sur les cookies. Elle utilise des outils automatises pour verifier la conformite des bandeaux cookies et detecter les traceurs deposes sans consentement. Les controles portent sur tous les types de sites, des grandes plateformes aux PME.
En cas de non-conformite, la CNIL peut prononcer une mise en demeure assortie d’un delai de mise en conformite, ou directement une sanction financiere pour les manquements les plus graves. La transparence et la bonne foi du responsable de traitement sont prises en compte dans la decision.
