Cookies, RGPD et protection des données personnelles

LinkedIn
Cookies Protection des Données Personnelles

Dans cet article, vous retrouverez la notion de cookies, le cadre légal et des préconisations pour être conforme à la réglementation. Pour mémo, la CNIL a fait des cookies l'une de ses thématiques prioritaires de contrôle pour 2021.  

Cookie : définition  

La CNIL définit un cookie comme “un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine”.

Comment ça marche ? Le serveur à qui vous faites une demande peut vous envoyer une valise remplie d’outils (le fameux cookie). 

Votre navigateur va ouvrir cette valise et utiliser ce qui est à l’intérieur. Par exemple : un cookie qui permet de prendre en compte la taille de votre écran. 

Une fois que le client (votre navigateur) récupère cette information, il dépose les informations pertinentes dans la valise et la renvoie au serveur ; qui, une fois cette valise récupérée vous renvoie de nouveau une image avec la taille exacte de votre écran. 

Pourquoi le Cookie est-il encadré par les règles de la protection des données personnelles ? 

Il existe des cookies avec différentes finalités notamment ceux qui récoltent des données personnelles pour personnaliser votre contenu, vous afficher un contenu personnalisé. 

Comment ? Prenons l’exemple des cookies ayant une finalité publicitaire

Imaginons des ’’valises’’ (cookies) avec des outils permettant de récupérer des informations sur vos tendances. Par exemple : je ‘‘surf’’ sur un site de vente en ligne, je suis dans la rubrique « chaussure » d’un site web de e-commerce. Je visite la catégorie de chaussures de la marque que j’affectionne. L'information sera collectée dans la valise puis transmise au serveur web (pour analyse). En fonction des informations récoltées, il me sera proposé un contenu adéquat (par exemple des publicités pour des chaussures de ma marque préférée). 

Il existe aussi des cookies récupérant vos identifiants, le nombre de temps que vous allez passer sur une page internet (plutôt qu’une autre), comparant les pages internet sur lesquelles vous naviguez, récupérant votre adresse IP, ou permettant de reconnaître votre système d’exploitation, votre géolocalisation, etc…

Le RGPD s’applique à partir du moment où des données sont collectées et font l’objet de traitement (automatique ou non) permettant d’identifier de manière directe ou indirecte des personnes physiques résidant dans l’Espace Économique Européen. En ce sens, les cookies entrent dans le cadre du RGPD et également dans le cadre de la directive ePrivacy et de la Loi Informatique et Libertés.

La CNIL a publié en date du 1er octobre 2020 des recommandations et des lignes directrices destinées aux sites internet déposant des cookies. Il est à noter que l’application de ces lignes directrices et recommandations feront l’œuvre d’un contrôle poussée par la CNIL à partir du 31 mars 2021. Dans une note du 2 mars dernier, la CNIL a fait de la Cybersécurité, des données de santé et des cookies les thématiques prioritaires de contrôle en 2021.

Cookies : préconisations pour être conforme 

Les mots d’ordre pour être conforme : un consentement libre, spécifique, éclairé et univoque. Pour ce faire, la manifestation de ce consentement appelle à ce que l’information essentielle soit distillée à l’utilisateur du site web par catégorie d’importance/pertinence (dit « en granularité »). 

Le bandeau de cookie :

  1. Quatre types d’informations à afficher à l’utilisateur :

Le bandeau de cookie (sans entrer dans les détails) doit être en mesure d’indiquer à l'utilisateur quelles finalités de traitement sont associées aux cookies déposés. L’utilisateur sait qu’en acceptant il aura de la publicité personnalisée, permettra de partager du contenu sur les réseaux sociaux etc… Doit ressortir du bandeau de cookie la durée de dépôt des cookies et la durée de conservation des données. De plus, celui-ci doit être en mesure de donner le nombre de sociétés exploitant les cookies. En dernier lieu doit-être accessible (via un lien URL) la politique de confidentialité du site internet.

  1. Trois actions envisageables pour l’utilisateur :

Voici trois actions que l’utilisateur doit pouvoir mettre en œuvre pour manifester son consentement :

Tout accepter : Accepter tous les cookies nécessitant un consentement. Il s’agit d’un acte positif clair. Est à bannir la pratique consistant à faire faire accepter à l’utilisateur tous les cookies par le biais d’un scroll down de la page web, ou en quittant la bannière de cookies d’une quelconque manière que ce soit. Si une telle action est faite par l'utilisateur, aucun cookie ne doit-être déposé.

Tout refuser : Refuser tous les cookies nécessitant un consentement. Par contre, le refus peut se manifester par le scrolling de la page. Cette information doit être indiquée sur le bandeau de cookie. Il est recommandé de ne pas faire réapparaitre de manière intempestive le bandeau de cookie en cas de refus (de l’utilisateur).

Paramétrer : L’utilisateur peut avoir le choix de paramétrer les cookies qu’il veut utiliser. De plus, le paramétrage lui permet d’accéder à un second niveau d’information (plus détaillé). (2)

La case paramétrage : 

La case paramétrage permet d’avoir accès à une information plus précise sur les traceurs utilisés. Il est pertinent d’y mettre une grille avec chaque cookie, par finalités, leur durée de conservation, leur durée de dépôt. Si le cookie est déposé par un site tiers, il est aussi nécessaire d’y associer un URL vers la politique de confidentialité du tiers. Cette grille est accompagnée de la possibilité d’accepter ou de refuser les cookies au choix de l’utilisateur (sauf cookies ne nécessitant pas leur consentement, (cf. infra). 

Cookies ne nécessitant pas le consentement de l’utilisateur :

Quels sont les cookies ne nécessitant pas le consentement de l’utilisateur ? Les cookies à des fins de mesure d’audience du site visité, ainsi que les cookies à finalité statistique et les cookies nécessaires au fonctionnement du site internet tels que les cookies d'authentification. Ces finalités ne doivent pas sortir du cadre strictement établi et interprété. Pour cela, la CNIL recommande que les finalités des traceurs soient présentées aux users avant de consentir ou refuser les cookies. Les finalités doivent être “formulées de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent” (cf. recommandations de la CNIL, paragraphe 13). 

Les cookies ‘’multi-finalités’’

Certains services tiers déposant leurs cookies sur un site internet ont des finalités de mesure d’audience ou d’analyse statistique. De prime abord, ces finalités ne nécessitent pas le consentement de l’utilisateur. 

Néanmoins, pensez à bien étudier la politique de confidentialité du tiers déposant ce cookie. En effet, le service tiers peut à la suite de sa collecte et de son traitement, renvoyer les données (récupérées initialement) à d’autres (tiers) qui auront une finalité différente de celle initialement prévue, telle qu’une finalité publicitaire ou l’analyse comportementale de l’utilisateur, etc. Ici, la seconde finalité de ce service tiers ne fait plus parti des exceptions au consentement de l’utilisateur. Vous devrez donc demander le consentement à l’utilisateur, même si la finalité première est à des fins d’analyses statistiques uniquement.  

En outre, les cookies ‘’multi-finalités’’ doivent pouvoir être acceptés ou refusés. À titre d’exemple, si ces cookies ont une finalité associée à la mesure d’audience du site web (pas de consentement) ainsi qu’une finalité publicitaire (consentement), il sera nécessaire de demander le consentement de l’utilisateur pour ce cookie.

Par soucis de simplicité, il est préférable de faire une grille de cookie par type de finalité. En effet, la finalité conditionne la durée de conservation et la notion de consentement, ce qui facilitera la lecture et la compréhension des différents cookies déposés.

Quelle durée de conservation des données et de dépôt de vos cookies ?

La durée pendant laquelle les traceurs peuvent collecter les données en cas d’acceptation de l’utilisateur est idéalement de 13 mois, néanmoins, il est possible de choisir une durée différente à condition de pouvoir la justifier. La durée de conservation du choix de l’utilisateur (par la CNIL) est de 6 mois. Encore une fois, l'interprétation reste libre. Néanmoins en cas de contrôle, il faut être en mesure de justifier si vous avez opté pour un délai plus long.

Quelle est la possibilité donnée à l’utilisateur de retirer son consentement ?

Cette possibilité a été clairement exprimée par les recommandations et les lignes directrices de la CNIL. Il est précisé que le site internet doit pouvoir proposer à son utilisateur une rubrique (une page web dédiée, et la forme est à libre choix de l’éditeur du site web) permettant de retirer le consentement à tout moment si l’utilisateur avait accepté ces cookies.

Comment justifier que mes cookies respectaient le(s) cadre(s) normatif ?

Pour ce faire, il est préconisé d’horodater vos codes. Ce système permet de prouver qu’à une période « X » votre bandeau de cookie était conforme à la réglementation en vigueur et que ce code permettait le recueil d’un consentement aux normes.

Proposition de présentation des informations et actions sur le bandeau figurent (quatre informations et trois actions)

Informations

  1. les différentes finalités de traitement ; 
  2. la durée de dépôt des cookies ; 
  3. la durée de conservation des données ; 
  4. le nombre de sociétés exploitant les cookies ; 
  5. le lien URL de la politique de confidentialité du site internet

Actions

  1. Tout accepter
  2. Tout refuser 
  3. Paramétrer.

Paramétrage : Grille de cookies (par finalité de préférence), leurs durées de conservation, leur durée de dépôt. Si le cookie est déposé par un site tiers, y associer un URL vers la politique de confidentialité de l’organisme déposant le cookie, les possibilités d’acceptation ou de refus par cookie. 

Préconisations : Horodater vos codes ; durée de cookies 13 mois ou justifier ; durée de conservation du choix de l’utilisateur 6 mois ou justifier ; évitez les cookies multi-finalités ; bien paramétrer vos cookies de mesure d’audience ou à des finalités statistiques pour ne pas déborder du cadre restrictif ; bien étudier les politiques de confidentialité des services tiers déposant des cookies sur votre site.

Sources : Loi informatique et liberté ; RGPD ; Directive ePrivacy ; Loi Informatique et Libertés ; Recommandations de la CNIL relatives aux cookies et traceurs ; Lignes directrices de la CNIL relatives aux cookies et traceurs.

Lien vers le LinkedIn de l'auteur : Dominique Pomykala