Cookies et conformité au RGPD
Pour mémo, l'entreprise Brico Privé a été sanctionnée par une amende de 500 000 € pour avoir permis le dépôt de cookies à des fins publicitaires sans le consentement des utilisateurs. Dans cet article, vous retrouverez la notion de cookies, le cadre légal, les durées de conservation des cookies et des préconisations pour être conforme au Règlement Général sur la Protection des Données.
Cookie : définition
La CNIL définit un cookie comme “un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine”.
Pour continuer sur l'exemple avec la taille d'écran : Une fois que le client (votre navigateur) récupère l'information sur la taille de votre écran, il dépose les informations pertinentes dans la valise et la renvoie au serveur ; qui, une fois cette valise récupérée, vous renvoie de nouveau une image avec la taille exacte de votre écran.
Il existe des cookies avec différentes finalités notamment ceux qui récoltent des données personnelles pour personnaliser votre contenu, vous afficher un contenu personnalisé.
Cookies ayant une finalité publicitaire
Imaginons des ’’valises’’ (cookies) avec des outils permettant de récupérer des informations sur vos tendances.
Par exemple : je visite un site de vente en ligne, je suis dans la rubrique « chaussure » d’un site web de e-commerce. Je visite la catégorie de chaussures de la marque que j’affectionne. L'information sera collectée dans la valise puis transmise au serveur web (pour analyse).
En fonction des informations récoltées, il me sera proposé un contenu adéquat (par exemple des publicités pour des chaussures de ma marque préférée). Il existe aussi des cookies récupérant vos identifiants, le nombre de temps que vous allez passer sur une page internet (plutôt qu’une autre), comparant les pages internet sur lesquelles vous naviguez, récupérant votre adresse IP, ou permettant de reconnaître votre système d’exploitation, votre géolocalisation, etc…
Quelle durée de conservation des cookies (données et dépôt) ?
- La durée de conservation du choix de l’utilisateur est de 6 mois.
- La durée pendant laquelle les traceurs peuvent collecter les données en cas d’acceptation de l’utilisateur est idéalement de 13 mois.
Dans les deux cas, il est possible de choisir une durée différente à condition de pouvoir la justifier. En cas de contrôle, il faut donc être en mesure de justifier si vous avez opté pour des délais plus longs.
Cookies : préconisations pour être conforme au RGPD
Les mots d’ordre pour être conforme : un consentement libre, spécifique, éclairé et univoque. Pour ce faire, la manifestation de ce consentement appelle à ce que l’information essentielle soit distillée à l’utilisateur du site web par catégorie d’importance/pertinence (dit « en granularité »).
Le bandeau de cookie :
1. Quatre types d’informations à afficher à l’utilisateur :
Le bandeau de cookie (sans entrer dans les détails) doit être en mesure d’indiquer à l'utilisateur quelles finalités de traitement sont associées aux cookies déposés. L’utilisateur sait qu’en acceptant il aura de la publicité personnalisée, permettra de partager du contenu sur les réseaux sociaux etc… Doit ressortir du bandeau de cookie la durée de dépôt des cookies et la durée de conservation des données. De plus, celui-ci doit être en mesure de donner le nombre de sociétés exploitant les cookies. En dernier lieu doit-être accessible (via un lien URL) la politique de confidentialité du site internet.
2. Trois actions envisageables pour l’utilisateur :
Voici trois actions que l’utilisateur doit pouvoir mettre en œuvre pour manifester son consentement :
Tout accepter : Accepter tous les cookies nécessitant un consentement. Il s’agit d’un acte positif clair. Est à bannir la pratique consistant à faire faire accepter à l’utilisateur tous les cookies par le biais d’un scroll down de la page web, ou en quittant la bannière de cookies d’une quelconque manière que ce soit. Si une telle action est faite par l'utilisateur, aucun cookie ne doit-être déposé.
Tout refuser : Refuser tous les cookies nécessitant un consentement. Par contre, le refus peut se manifester par le scrolling de la page. Cette information doit être indiquée sur le bandeau de cookie. Il est recommandé de ne pas faire réapparaitre de manière intempestive le bandeau de cookie en cas de refus (de l’utilisateur).
Paramétrer : L’utilisateur peut avoir le choix de paramétrer les cookies qu’il veut utiliser. De plus, le paramétrage lui permet d’accéder à un second niveau d’information (plus détaillé).
La case paramétrage
La case paramétrage permet d’avoir accès à une information plus précise sur les traceurs utilisés. Il est pertinent d’y mettre une grille avec chaque cookie, par finalités, leur durée de conservation, leur durée de dépôt. Si le cookie est déposé par un site tiers, il est aussi nécessaire d’y associer un URL vers la politique de confidentialité du tiers. Cette grille est accompagnée de la possibilité d’accepter ou de refuser les cookies au choix de l’utilisateur (sauf cookies ne nécessitant pas leur consentement, (cf. infra).
Cookies ne nécessitant pas le consentement de l’utilisateur
Quels sont les cookies ne nécessitant pas le consentement de l’utilisateur ? Les cookies à des fins de mesure d’audience du site visité, ainsi que les cookies à finalité statistique et les cookies nécessaires au fonctionnement du site internet tels que les cookies d'authentification. Ces finalités ne doivent pas sortir du cadre strictement établi et interprété. Pour cela, la CNIL recommande que les finalités des traceurs soient présentées aux users avant de consentir ou refuser les cookies. Les finalités doivent être “formulées de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent” (cf. recommandations de la CNIL, paragraphe 13).
Les cookies ‘’multi-finalités’’
Certains services tiers déposant leurs cookies sur un site internet ont des finalités de mesure d’audience ou d’analyse statistique. De prime abord, ces finalités ne nécessitent pas le consentement de l’utilisateur.
Néanmoins, pensez à bien étudier la politique de confidentialité du tiers déposant ce cookie. En effet, le service tiers peut à la suite de sa collecte et de son traitement, renvoyer les données (récupérées initialement) à d’autres (tiers) qui auront une finalité différente de celle initialement prévue, telle qu’une finalité publicitaire ou l’analyse comportementale de l’utilisateur, etc. Ici, la seconde finalité de ce service tiers ne fait plus parti des exceptions au consentement de l’utilisateur. Vous devrez donc demander le consentement à l’utilisateur, même si la finalité première est à des fins d’analyses statistiques uniquement.
En outre, les cookies ‘’multi-finalités’’ doivent pouvoir être acceptés ou refusés. À titre d’exemple, si ces cookies ont une finalité associée à la mesure d’audience du site web (pas de consentement) ainsi qu’une finalité publicitaire (consentement), il sera nécessaire de demander le consentement de l’utilisateur pour ce cookie.
Par soucis de simplicité, il est préférable de faire une grille de cookie par type de finalité. En effet, la finalité conditionne la durée de conservation et la notion de consentement, ce qui facilitera la lecture et la compréhension des différents cookies déposés.
La possibilité de retirer son consentement
Cette possibilité a été clairement exprimée par les recommandations et les lignes directrices de la CNIL. Il est précisé que le site internet doit pouvoir proposer à son utilisateur une rubrique (une page web dédiée, et la forme est à libre choix de l’éditeur du site web) permettant de retirer le consentement à tout moment si l’utilisateur avait accepté ces cookies.
Comment justifier que mes cookies respectent le(s) cadre(s) normatif ?
Pour ce faire, il est préconisé d’horodater vos codes. Ce système permet de prouver qu’à une période « X » votre bandeau de cookie était conforme à la réglementation en vigueur et que ce code permettait le recueil d’un consentement aux normes.
Proposition de présentation des informations et actions sur le bandeau
Informations :
- les différentes finalités de traitement ;
- la durée de dépôt des cookies ;
- la durée de conservation des données ;
- le nombre de sociétés exploitant les cookies ;
- le lien URL de la politique de confidentialité du site internet
Actions :
- Tout accepter
- Tout refuser
- Paramétrer
Paramétrage : Grille de cookies (par finalité de préférence), leurs durées de conservation, leur durée de dépôt. Si le cookie est déposé par un site tiers, y associer un URL vers la politique de confidentialité de l’organisme déposant le cookie, les possibilités d’acceptation ou de refus par cookie.
Préconisations : Horodater vos codes ; durée de cookies 13 mois ou justifier ; durée de conservation du choix de l’utilisateur 6 mois ou justifier ; évitez les cookies multi-finalités ; bien paramétrer vos cookies de mesure d’audience ou à des finalités statistiques pour ne pas déborder du cadre restrictif ; bien étudier les politiques de confidentialité des services tiers déposant des cookies sur votre site.
Application du RGPD et utilisation des Cookies
Le RGPD s’applique à partir du moment où des données sont collectées et font l’objet de traitement (automatique ou non) permettant d’identifier de manière directe ou indirecte des personnes physiques résidant dans l’Espace Économique Européen. En ce sens, les cookies entrent dans le cadre du RGPD et également dans le cadre de la directive ePrivacy et de la Loi Informatique et Libertés. La CNIL a publié en date du 1er octobre 2020 des recommandations et des lignes directrices destinées aux sites internet déposant des cookies. Il est à noter que l’application de ces lignes directrices et recommandations feront l’œuvre d’un contrôle poussée par la CNIL à partir du 31 mars 2021.
Sources : Loi informatique et liberté ; RGPD ; Directive ePrivacy ; Loi Informatique et Libertés ; Recommandations de la CNIL relatives aux cookies et traceurs ; Lignes directrices de la CNIL relatives aux cookies et traceurs.
Lien vers le LinkedIn de l'auteur : Dominique Pomykala