Le cadre legal des cookies en France
La reglementation des cookies repose sur deux textes complementaires : le RGPD et la directive ePrivacy, transposee en droit francais par l article 82 de la loi Informatique et Libertes. La CNIL a publie des lignes directrices et une recommandation specifique sur les cookies et autres traceurs, mises a jour en 2020. Ces regles s appliquent a tous les sites web et applications mobiles accessibles depuis la France.
Un cookie est un petit fichier depose sur le terminal de l utilisateur (ordinateur, smartphone, tablette) lors de la visite d un site web. Les traceurs incluent egalement les pixels invisibles, les empreintes numeriques (fingerprinting) et tout autre mecanisme permettant de collecter des informations sur le terminal de l utilisateur.
Les cookies exempts de consentement
Certains cookies sont strictement necessaires au fonctionnement du site et ne requierent pas le consentement de l utilisateur. Il s agit notamment des cookies d authentification, des cookies de panier d achat, des cookies de personnalisation de l interface (langue, affichage) et des cookies de mesure d audience, sous certaines conditions. Pour beneficier de l exemption, les cookies de mesure d audience doivent servir uniquement a produire des statistiques anonymes, ne pas permettre le suivi de la navigation sur d autres sites et les donnees doivent etre conservees 25 mois maximum.
Les regles du consentement pour les cookies
Pour tous les autres cookies (publicitaires, reseaux sociaux, certains cookies analytiques), le consentement prealable de l utilisateur est obligatoire. Ce consentement doit respecter les exigences du RGPD : il doit etre libre, specifique, eclaire et univoque. Concretement, cela signifie que la poursuite de la navigation sur un site ne constitue pas un consentement valide. De meme, les cases pre-cochees sont interdites.
L utilisateur doit pouvoir accepter ou refuser les cookies avec la meme facilite. Un bouton « Tout accepter » doit etre accompagne d un bouton « Tout refuser » place au meme niveau et avec la meme visibilite. L utilisateur doit egalement pouvoir personnaliser ses choix par categorie de cookies (analytiques, publicitaires, reseaux sociaux).
Les obligations d information
Avant de recueillir le consentement, l organisme doit informer l utilisateur de maniere claire et complete. L information doit preciser l identite du ou des responsables de traitement, la finalite de chaque categorie de cookies, les consequences d un refus et la possibilite de retirer son consentement a tout moment. Cette information est generalement fournie via la banniere cookies et completee par une politique cookies detaillee accessible a tout moment sur le site.
La conservation des preuves de consentement
L organisme doit etre en mesure de prouver que le consentement a ete valablement recueilli. Les solutions de gestion des cookies (CMP) doivent conserver un registre des consentements comprenant la date et l heure du consentement, l identifiant de l utilisateur (anonymise), les choix effectues et la version de la banniere affichee. Ces preuves doivent etre conservees pendant toute la duree de validite du consentement.
La duree de vie des cookies et du consentement
La CNIL recommande une duree de vie maximale de 13 mois pour les cookies. Au-dela, un nouveau consentement doit etre recueilli. Le consentement lui-meme a une validite limitee : la CNIL considere qu il doit etre renouvele au minimum tous les 6 mois pour les cookies publicitaires. Les cookies techniques necessaires au fonctionnement du site peuvent avoir une duree de vie adaptee a leur finalite.
Les sanctions en matiere de cookies
La CNIL controle activement la conformite des sites web en matiere de cookies. Depuis 2021, de nombreuses sanctions ont ete prononcees pour des manquements aux regles de consentement. Les amendes peuvent atteindre 2 % du chiffre d affaires mondial. Les manquements les plus frequemment sanctionnes sont l absence de mecanisme de refus aussi simple que celui d acceptation, le depot de cookies avant le recueil du consentement et l absence d information complete sur les finalites des traceurs.
Les bonnes pratiques pour une conformite durable
Pour assurer une conformite durable, realisez un audit regulier des cookies deposes sur vos sites. Verifiez que votre CMP fonctionne correctement et que les cookies ne sont pas deposes avant le consentement. Testez regulierement le parcours utilisateur pour vous assurer que le refus est aussi simple que l acceptation. Mettez a jour votre politique cookies a chaque modification des traceurs utilises et formez vos equipes marketing aux regles applicables.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
