Quels sont vos obligations en matière de cookies ? Comment mettre en conformité votre site internet ou votre application ? Les dernières recommandations de la CNIL* indiquent la marche à suivre, en attendant de nouvelles précisions.
* la Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies) publiée au Journal officiel le 19 juillet 2019
En Bref : La présence d’un simple bandeau informant les internautes de la présence de cookies sur le site est révolue. L’application des notions RGPD renforce la protection des données des utilisateurs et par conséquent les obligations des éditeurs de sites web.
QUATRE OBLIGATIONS MAJEURES
Les éditeurs de sites web et d’applications utilisant des cookies doivent désormais être en mesure de satisfaire à 4 obligations essentielles : informer, recueillir le consentement, apporter la preuve de ce recueil, et permettre son retrait aisé.
1. Informer
Les informations suivantes doivent être communiquées aux utilisateurs :
- L’identification de chacun de vos cookies, de façon exhaustive
- La finalité de chacun des cookies
- La possibilité de s’opposer à l’utilisation de cookies
2. Recueillir le consentement
Avant tout dépôt ou lecture de cookies sur le terminal de l’utilisateur, recueillez impérativement son consentement. Le consentement doit impérativement être libre, spécifique, éclairé et univoque par une déclaration ou par un acte positif clair.
Libre : l’utilisateur est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence de consentement.
Attention: Bloquer l’accès à votre site web pour l’utilisateur qui refuse les cookies n’est pas conforme au RGPD. L’impossibilité d’accéder au site consulté constitue une conséquence négative, qui s’oppose au caractère libre du consentement.
Spécifique: Donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. En clair, l’utilisateur doit pouvoir refuser un cookie et en accepter librement un autre. Il est possible de donner son consentement de façon globale seulement s’il peut également être donné de manière distincte pour chaque finalité.
Attention : Des informations sur le paramétrage du navigateur de l’utilisateur en vue de s’opposer à l’utilisation des cookies ou l’acceptation globale d’une politique de confidentialité ne répondent pas à ce critère de « consentement spécifique » et sont par conséquent non-conforme.
Éclairé: L’information qui précède le consentement doit être simple et complète.
Indiquez à minima l’identité du ou des responsables de traitement, la finalité de chaque cookie et l’existence du droit de retirer son consentement.
Attention: N’utilisez pas de termes trop techniques ou juridiques dans le cadre de l’information de vos utilisateurs. Mettez les informations à leur portée.
Univoque: Le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer.
Attention : La poursuite de la navigation, l’acceptation globale de conditions générales d’utilisation et l’utilisation de cases pré-cochées, s’opposent à cette condition.
3. Apporter la preuve du consentement
La notion de consentement énoncée dans l’article 7 du RGPD est précise et déterminante. Cet article impose que le consentement soit démontrable. La charge de la preuve repose donc sur vous pour justifier du fait que vous avez obtenu de chaque utilisateur un consentement conforme avant de déposer ou de lire des cookies sur son terminal. Vous devez pouvoir en justifier sur demande à l’autorité compétente, voire même à un utilisateur en cas de litige sur ce point.
4. Permettre le retrait du consentement
Vous devez mettre en place un dispositif permettant à tout moment à l’utilisateur de retirer son consentement à au dépôt ou à la lecture de cookies sur son terminal. Ce processus de retrait doit être facilement accessible et aisé à mettre en œuvre par l’utilisateur, dès qu’il le souhaite.
UNE EXCEPTION ET DES DISPENSES
Il existe au-delà des dispositions générales et obligatoires visées plus haut, une exception et des dispenses qui tiennent compte de critères précis et aménagent les contraintes des éditeurs de sites web ou d’applications.
Cookies de mesure d’audience : Pas de recueil du consentement, sous conditions.
Vous souhaitez mesurer l’audience de votre site web ou de votre application, tester des versions différentes pour optimiser vos choix éditoriaux ? Les cookies utilisés à ces fins peuvent à certaines conditions être considérés comme « nécessaires à la fourniture du service explicitement demandé par l’utilisateur, sans présenter de caractère particulièrement intrusif pour ceux-ci », et de fait être exemptés de recueil du consentement.
Ils doivent satisfaire aux conditions suivantes :
- Être mis en place uniquement par l’éditeur ou son sous-traitant ;
- Faire l’objet d’une information préalable ;
- La faculté de s’y opposer est facilement offerte à l’utilisateur ;
- Leur finalité** est strictement limitée à l’optimisation de l’ergonomie, de l’audience, ou des choix éditoriaux par la production de statistiques anonymes, sans permettre le ciblage d’une personne unique, ni le recoupement de données personnelles ou non, ni la transmission à des tiers ;
- La géolocalisation de l’internaute via son adresse IP ne doit pas fournir une information plus précise que la ville et doit être supprimée ou anonymisée ensuite.
- Leur durée de vie est de treize mois maximum, et ne peut pas être prolongée automatiquement lors des nouvelles visites. Les informations collectées par leur moyen ne peuvent pas être conservées plus de 25 mois
** L’article 5 de la recommandation de la CNIL fixe strictement l’ensemble de ces conditions exemptant de consentement préalable. Sa lecture est recommandée.
Cookies dispensés de consentement préalable
Il existe 2 critères qui dispensent de consentement préalable :
- le cookie utilisé a pour finalité exclusive de permettre ou faciliter la communication par voie électronique
- le cookie utilisé est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Si l’un de vos cookies répond à un de ces deux critères a minima, vous êtes tenus d’informer les utilisateurs de son existence et de sa finalité, dans votre politique de confidentialité par exemple. En revanche, vous n’êtes pas tenu de demander le consentement préalable, ni de permettre le refus de l’utilisation de ce cookie.