Si leur nom est principalement utilisé pour désigner des biscuits aux pépites de chocolat, sur le web, leur définition est bien différente !
Apparu au milieu des années 1990, l’objectif des cookies était de garder en mémoire votre comportement en ligne. Aujourd’hui, ils sont utilisés pour faciliter la navigation sur un site web et à des fins publicitaires. Mais qu’est-ce qu’un cookie réellement ?
Les cookies sont des petits fichiers textes envoyés par différents serveurs sur votre appareil (mobile, ordinateur, etc.) lorsque vous naviguez sur le net.
Depuis le 31 mars 2021, les agences et services de communication et marketing doivent être en conformité avec la réglementation de la CNIL (Commission nationale de l’informatique et des libertés de France), relative au cookie.
Alors, que préconise cette nouvelle réglementation ? Comment informer de manière transparente et recueillir le consentement des utilisateurs ? Et comment mettre en place un bandeau cookie réglementaire ?
Deux experts du cabinet Scan avocats : Alexandre Nappey, avocat à la Cour, associé fondateur et Matthieu Mazaré avocat spécialisé en protection des données personnelles, interviennent lors de la 4e conférence Erepday 2021 pour répondre à toutes nos questions.
Les cookies sont des traceurs qui sont aptes à lire et à écrire sur tous types de terminaux capables de consulter internet (ordinateurs, smartphones, tablettes, consoles de jeux en ligne, etc.) ainsi qu’à tous les équipements connectés à un réseau de télécommunication ouvert au public.
La loi s’applique à tous les cookies utilisés tels que :
La réglementation concerne également l’éditeur du site dans le cas des cookies utilisés à des fins publicitaires : les cookies tiers.
Les cookies tiers représentent tous les cookies déposés sur un terminal qui ne sont pas générés par l’éditeur du site web ou l’agence en charge du site web, mais par un tiers utilisant la publicité.
Ces cookies collectent des informations marketing telles que l’âge, le sexe, le comportement de l’utilisateur, dans le but d’utiliser de la publicité personnalisée.
Lorsque vous naviguez sur un site web, si les cookies sont vendus à des fins publicitaires ou commerciales, vous verrez apparaître des publicités.
En tant qu’éditeur de site web, vous êtes responsable de la bonne conformité RGPD (Règlement général sur la protection des données de 2016) ; même si les cookies qui sont placés sur le site bénéficient à des tiers.
Le cadre juridique imposé depuis le 1er avril 2021 repose sur des lignes directrices de la CNIL, en rapport aux textes applicables RGPD et la directive E-privacy (protection de la vie privée dans le secteur des communications électroniques de 2002).
Elles se traduisent par des recommandations portant sur l’usage de cookies et autres traceurs.
Les éditeurs de site sont tenus d’appliquer ces recommandations. Maître Nappey nous confirme :
« Tout ce qui a été mis en place à partir du 1er avril 2021 sur les cookies qui reposent sur des recommandations de la CNIL doit être considéré comme obligatoire aujourd’hui. »
Alexandre Nappey, Avocat
La CNIL se base sur ses recommandations lorsqu’elles prononcent des sanctions. Lorsqu’il y a un contentieux entre la CNIL et un éditeur de site, le juge compétent est le Conseil d’État.
Pour rappel : le RGPD est un règlement européen. Dès lors, le site internet d’un opérateur non européen visant un public européen est soumis aux réglementations françaises.
Les deux axes stratégiques permettant de sécuriser la mise en conformité sont :
1) La maîtrise de l’information avec :
Pour informer l’utilisateur, l’information doit comprendre « l’ensemble des finalités d’usages liées aux traceurs qui doit être présenté à l’utilisateur au moment de faire son choix ».
2) Le recueil du consentement assure aux personnes concernées un contrôle sur leurs données qui leur permet de :
Maître Mazaré souligne : « Selon le RGPD, le consentement est une manifestation de volonté libre, spécifique, éclairée, univoque. C’est une déclaration ou un acte positif clair ».
Dans la mesure où le consentement doit être libre : il ne faut pas influencer l’acte de l’internaute de donner (ou non) son accord.
Il convient alors d’éviter les darks patterns qui consistent à influencer l’internaute à cliquer sur le bouton d’acceptation.
La CNIL précise : « Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité. »
Cette solution ne permet pas à l’internaute de configurer ou de refuser les cookies. Ce type de bandeau est obsolète.
Le design du bouton accepter se distingue des deux autres options. Le texte de présentation des cookies est court et n’informe pas suffisamment l’internaute. L’utilisateur accepte ou quitte le site. Il n’a pas la possibilité de refuser.
Ce type de bandeau met en évidence les boutons : tout accepter et réglages. L’internaute a la possibilité de continuer sans accepter.
Tout comme le bandeau n°3, celui-ci permet de continuer sans accepter les cookies. Il présente un contenu informationnel et une nuance au niveau du design : les boutons ont des couleurs différentes.
Ce cookie wall est une manière de forcer les internautes à accepter tous les cookies et traceurs – sous peine de ne pas avoir l’accès au site web ou de devoir payer un coût supplémentaire.
« Le démarrage du contrôle à partir du 1er avril 2021 nous permettra de savoir si la CNIL considère certaines de ces solutions conformes. » , explique Maître Mazaré.
Tous les cookies ne sont pas soumis au même traitement. Il existe certaines exceptions au recueil du consentement :
Tous les cookies ne sont donc pas soumis au consentement. Toutefois, ils sont tous soumis à l’obligation d’information des personnes.
Dès lors que vous utilisez les cookies sur internet, ils sont stockés sur un terminal de navigation. Vous devez donc informer les utilisateurs sur la liste des cookies déposés.
Pour un cookie de mesure d’audience tel que Google Analytics, il est important de recueillir le consentement au dépôt et à l’utilisation de ce cookie.
Pour recueillir un consentement conforme, vous devez être en mesure de recueillir le consentement de l’internaute pour chaque cookie utilisé sur le site web.
Et c’est précisément à cela que servent les fameux boutons réglages ou personnaliser !
Ces boutons doivent permettre de faire apparaître la liste des cookies soumis au consentement des internautes pour que ces derniers puissent faire leur choix. Nous verrons plus loin comment les intégrer.
Un cookie wall est un dispositif à l’arrivée sur un site web qui permet de refuser l’accès aux internautes s’ils ne consentent pas aux cookies. C’est un mur qui représente une barrière à l’accès au contenu.
De plus en plus de sites web pratiquent le « pay wall ». C’est une méthode qui conditionne l’accès à un site web sans cookie – en contrepartie d’une somme ou d’un abonnement mensuel.
La CNIL avait adopté des lignes directrices en 2019 demandant l’interdiction de la pratique des cookies walls. Le Conseil d’État avait invalidé cette interdiction.
Cependant, cette pratique pose de véritables questions sur la notion de consentement. Est-ce un consentement libre ?
C’est sans surprise que les internautes réagissent à l’égard de cette pratique. Sur Twitter de nombreux sites sont remontés par la communauté sur des pratiques « border ».
D’ailleurs, la CNIL est régulièrement interpellée par des utilisateurs qui demandent des informations sur la conformité. Les dispositifs vont être appréciés au cas par cas.
En définitive, que devez-vous mettre en place dans une démarche de conformité à la nouvelle réglementation du 1er avril 2021 ?
Le bandeau d’acceptation des cookies doit obligatoirement :
Aucun cookie ne doit être installé sur le terminal de la personne si l’internaute n’a pas accepté.
Lorsque l’internaute choisit de poursuivre la navigation, il n’a pas choisi spécifiquement d’accepter ou de refuser. C’est pourquoi il convient que le bandeau soit maintenu et qu’aucun cookie ne soit installé sur son terminal.
Ainsi, un bandeau cookie indiquant « En poursuivant votre navigation, vous acceptez l’utilisation de cookies » ne répond pas aux recommandations de la CNIL.
Le bandeau présente aussi généralement un choix global. L’utilisateur a le choix d’accepter les cookies ou de refuser tous les cookies.
Le bandeau peut disparaître et les cookies sont utilisés ou non en fonction du choix global de l’internaute : accepter ou refuser.
Enfin, si l’internaute clique sur le bouton personnaliser, il doit avoir la possibilité de personnaliser les cookies.
L’utilisateur voit la liste de tous les cookies et accepte ou non l’utilisation des cookies qui vont être utilisés.
Pour rappel, il est interdit de pré cocher des choix. « La Commission estime qu’une demande de consentement effectuée au moyen de cases à cocher, décochées par défaut, est facilement compréhensible par les utilisateurs. Le responsable du ou des traitements peut également avoir recours à des interrupteurs (« sliders »), désactivés par défaut, si le choix exprimé par les utilisateurs est aisément identifiable. »
La CNIL recommande de conserver le choix de l’utilisateur pour une durée de 6 mois (qu’il s’agisse de l’acceptation ou du refus) afin de ne pas le solliciter à nouveau durant un certain temps.
Le bandeau ci-dessous permet d’assurer le recueil du consentement conformément aux recommandations et lignes directrices de la CNIL. (D’autres bandeaux de conformité peuvent être utilisés, tant qu’ils sont conformes aux recommandations en vigueur.)
Finalement, que ce soient en matière de sanctions ou de mises en conformité, l’image de l’entreprise reste primordiale. Il est préférable de sécuriser votre position par rapport à un contrôle de la CNIL. Comme nous l’avons vu, la mise en conformité n’est pas si compliquée.
Les internautes auront plus tendance à naviguer sur des sites conformes. Et par conséquent, la réputation de chaque acteur – quelle que soit sa taille – est en jeu.
Il convient de suivre cette politique de contrôle et les décisions qui vont être prises de la part de la CNIL durant les prochains mois pour qualifier les bandeaux de conformité.
C’est l’application de cette nouvelle politique et des contrôles de la CNIL qui nous permettront de savoir si les cookies sont cuits ou non… Affaire à suivre !
Pour aller plus loin, téléchargez la Synthèse des contributions de la consultation publique sur le projet de recommandation « cookies et autres traceurs » publié par la CNIL.
Hier matin, nous avons assisté au Morning E-réputation organisé par notre fidèle partenaire Custplace. L’occasion…
“Votre site est en première page” : voilà ce que bien des entreprises désirent entendre…
Après des mois de préparation, nous sommes fiers d'annoncer le lancement de Blueboat Media, une…
Entre évolutions légales, besoins de transparence auprès des utilisateurs et tentatives d’encadrement de la part…
Avec près de 1,5 milliard d’utilisateurs dans le monde, dont 22 millions en France, Instagram…
Lorsque l'on travaille sur sa stratégie social media, on a souvent tendance à oublier Pinterest.…