L’utilisation des cookies est de plus en plus encadrée. Le RGPD est très clair à ce sujet et nous allons vous guider afin d’être conforme à la loi. Nous allons découvrir le RGPD & Cookies.
Depuis 2021, la CNIL réalise des contrôles de conformité de façon automatique
La mise en conformité des entreprises en matière d’utilisation des cookies est quelque chose de relativement simple, mais le RGPD implique des bouleversements en matière de gestion des cookies.
L’autorité administrative française a d’abord cherché à accompagner les entreprises dans leur changement de culture vis-à-vis des cookies. C’est ce dont témoigne notamment la publication des lignes directrices de la CNIL au sujet des traceurs depuis 2019.
Aujourd’hui votre site internet n’a pas d’autre choix que d’être conforme au RGPD. En cas de manquements aux règles du RGPD, les entreprises fautives encourent une sanction pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Les règles sur la gestion des cookies RGPD & Cookies
La principale règle est simple : les internautes doivent pouvoir contrôler la manière dont sont utilisés les cookies les concernant.
Les sites web qui déposent des cookies pour tracer les internautes, que ce soit à des fins analytiques ou marketing, doivent obligatoirement recueillir le consentement des utilisateurs. Matériellement, cela se traduit par l’apparition d’une bannière de consentement pour l’utilisation des cookies, qui apparait sur de nombreux sites internet.
Il est à noter que le terme de “cookies” n’est mentionné nulle part dans le RGPD. Et pourtant, la règle du consentement aux cookies est l’une des mesures les plus visibles et impactantes imposées par le nouveau cadre juridique.
Il faut comprendre que l’un des principaux principes du RGPD est la notion de consentement à la collecte et à l’utilisation des données personnelles. Or, les données collectées grâce aux cookies sont considérées comme des données à caractère personnel. Il est donc normal que les cookies fassent partie à part entière du respect du RGPD. Vous êtes responsable des données que vous collectez et responsable du fait que l’on puisse collecter des données par votre intermédiaire.
Le consentement, pour être valable, doit être libre, spécifique et éclairé, comme le précise la définition de l’article 4 du règlement RGPD.
Il est donc illégal de déposer un cookie avant d’avoir obtenu le consentement d’un utilisateur. Par conséquent, tout ce que fait un internaute avant de donner son consentement ne peut, légitimement, être tracé et enregistré.
Par ailleurs, les internautes doivent pouvoir retirer ce consentement de manière aussi simple qu’ils l’ont accordé. La CNIL a apporté les précisions suivantes : afin de garantir ce droit des personnes, les sites web doivent donner accès à un centre de gestion des préférences permettant aux internautes de gérer la manière dont sont utilisés les cookies les concernant. L’accès à cette interface de gestion est généralement proposé dans le pied de page des sites. Il n’est plus possible d’avoir un simple bouton d’accord de consentement.
Quels sont les cookies concernés par le RGPD ?
Pour quel motif avez-vous besoin d’installer ce cookie ? La réponse à cette question va vous permettre de savoir si vous devez encadrer le cookie. Attention cependant : il existe des cookies qui peuvent être présents alors que vous l’ignorez, les cookies “tiers”.
Le RGPD encadre en effet les cookies qui ont une finalité publicitaire, c’est-à-dire les cookies utilisés pour proposer des publicités personnalisées, ciblées et pour faire du retargeting. En général, ces cookies publicitaires sont des cookies “tiers” installés par les services publicitaires utilisés par l’éditeur du site web : régies, Adwords…
Le RGPD règlemente également les cookies des réseaux sociaux, par exemple ceux générés lors du clic sur un bouton de partage, télégram, Facebook, Instagram…
En revanche, les cookies utilisés pour faciliter une communication par voie électronique ou les cookies nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ne sont pas concernés par le RGPD, comme pour le tchat.
Voici une courte liste de cookies qui ne sont pas concernés par une acceptation de l’utilisateur :
- Les cookies qui servent à conserver les choix exprimés par les internautes dans les bannières de cookies… afin d’éviter une redondance et un choix systématique,
- Les cookies qui servent à l’authentification de l’internaute sur votre site internet,
- Les cookies permettant de conserver en mémoire le contenu d’un panier e-commerce,
- Les cookies utilisés pour personnaliser un site web, par exemple pour enregistrer les préférences, en matière de choix de langue par exemple ou les préférences produits,
- Certains cookies analytics (= utilisés pour faire des analyses d’audience) sont également exemptés de consentement…s ous certaines conditions seulement.
Afin se mettre en conformité avec le RGPD concernant les cookies, la seule chose à réaliser est de mettre en place :
- Un dispositif de collecte du consentement lors de la première visite sur le site web,
- Un centre de préférences permettant à l’internaute de modifier à tout moment ses choix en matière de cookies ou de retirer son consentement.
Principales règles à respecter concernant le recueil du consentement.
Le bandeau cookies doit être précis et compréhensible par tous. Le dispositif de collecte prend la forme de ces fameux bandeaux cookies qui s’affichent lorsque l’on arrive sur un site web pour la première fois et qui :
- Informent sur les cookies utilisés,
- Pourquoi votre site utilise des cookies ? Leur finalité,
- Précisent l’identité du ou des responsable(s) de traitement,
- Demandent le consentement à l’internaute.
Les textes contenus dans le bandeau cookies doivent être clairs et compréhensibles par tous. Le RGPD et la CNIL exigent que les sites fassent preuve de transparence vis-à-vis des internautes. C’est la condition sine qua non pour que le consentement soit donné par l’internaute de manière libre et éclairée. il n’y aura probablement pas de stockage de ce consentement, il convient de porter une attention particulière à son installation.
Pour parvenir à être à la fois concis et précis, il est recommandé d’utiliser 2 niveaux d’information :
- Un premier niveau qui décrit brièvement l’objectif des traitements,
- Un deuxième niveau qui entre dans les détails et indique le responsable de chaque traitement.
C’est en effet le meilleur moyen de concilier ces deux exigences apparemment inconciliables : la concision et la précision.
Le consentement doit être granulaire
Les consentements doivent être granulaires, c’est-à-dire que les utilisateurs doivent pouvoir activer certains cookies plutôt que d’autres et ne pas être obligés de consentir à tous ou à aucun. En clair, les options proposées ne doivent pas se résumer à “tout” ou “rien”.
Le consentement doit être explicite
L’internaute doit donner son consentement, ou y répondre, pour continuer sa visite sur le site.
Un consentement obtenu de manière “implicite”, n’est plus valable. L’internaute doit consentir aux cookies de manière “positive”, c’est-à-dire en cliquant sur le bouton “J’accepte”. Le silence vaut un refus.
Les cookies walls – RGPD & Cookies
L’expression « mur de traceur », ou « cookie wall » en anglais, désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal (ordinateur, smartphone, etc.). Certains sites ont recours, en cas de refus des traceurs par les internautes, à la mise en place d’un choix alternatif consistant pour ces derniers à devoir fournir une autre contrepartie.
Les éditeurs de ces sites cherchent par ce biais à compenser la perte de revenus publicitaires résultant de l’absence de traceurs par un autre mode de rémunération. Dans la majeure partie des cas, la contrepartie est financière, on parle alors de « paywall » : l’internaute qui refuse d’accepter les cookies est obligé de fournir une somme d’argent pour accéder au site.
Dans l’attente d’une législation ou d’un positionnement de la Cour de justice de l’Union européenne, la CNIL a estimé nécessaire de publier des critères permettant d’évaluer la légalité de telles pratiques. Ces critères se concentrent sur les pratiques les plus couramment constatées : ils doivent être utilisés dans le cadre d’une analyse au cas par cas.
Cookies “Paramétrer” Vs “Tout refuser”
L’internaute doit avoir la possibilité d’accepter le dépôt et la lecture de cookies, en cliquant sur un bouton “J’accepte” par exemple. Mais il doit aussi avoir la possibilité de refuser. Il faut donc au minimum deux boutons dans un bandeau cookies.
La première possibilité consiste à ajouter un bouton “Paramétrer”, “Préférences” ou autre à côté du bouton d’acceptation. Cependant, la CNIL estime que ce n’est pas une bonne pratique. Le bouton “Paramétrer” sert en général à dissuader l’internaute de refuser. Certaines personnes, en effet, n’ont pas envie de perdre leur temps à paramétrer les préférences cookies.
Donc, la bonne pratique consiste à proposer un bouton simple de refus aussi clair et accessible que le bouton d’acceptation. Par exemple, un bouton “Je refuse” ou “Tout refuser”.
Le centre de préférences est aussi une obligation
Un internaute qui a donné son consentement doit pouvoir le retirer à tout moment et facilement.
En effet, comme l’explique le RGPD : “Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice”.
Pour garantir ce droit, votre site web doit proposer aux internautes une solution permettant de mettre à jour les préférences en matière de cookies.
RGPD & Cookies se mettre en conformité
Juridiquement parlant, il serait conseillé de faire appel à un professionnel du droit, à un avocat expert en droit de l’internet ou à un Data Protection Officer (DPO). Les règles encadrant l’utilisation des cookies sont suffisamment complexes et le diable se niche souvent dans de petits détails… qui peuvent avoir de graves conséquences financières. DPO Partagé pourra répondre à toutes vos questions.