Espace membres

Cookies : quelles pistes pour se mettre en conformité ?

Qu’est-ce qu’un cookie ? 

 

Un cookie est un fichier généré par le serveur du site web visité par les internautes, déposé sur le disque dur de son ordinateur, qui facilite sa reconnaissance lors d’une nouvelle visite, quel que soit le type de terminal utilisé : smartphone, tablette, ordinateur, etc.

Les cookies peuvent être classés en trois catégories :

  1. Les cookies marketing ou publicitaires qui proposent un contenu publicitaire ciblé aux internautes. 
  2. Les cookies fonctionnels nécessaires au bon fonctionnement du site. 
  3. Les cookies analytiques, déposés par des services mesurant les performances d’un site, le plus connu étant Google Analytics. 
 

Quelques éléments de contexte réglementaire

 

L’entrée en vigueur du règlement général pour la protection des données personnelles (RGPD), en 2018, a renforcé les exigences en matière de validité du consentement des utilisateurs et permis aux internautes de mieux contrôler les traceurs. Ces nouvelles obligations sont transposées dans l’article 82 de la Loi informatique et libertés

À la suite de l’adoption de nouvelles lignes directrices en septembre 2020, un délai de six mois a été octroyé aux acteurs afin qu’ils se mettent en conformité. La date limite de mise en conformité face à ces nouvelles réglementations a été fixée au 31 mars 2021

 

En cas de non-conformité à la suite d’un contrôle par la Cnil, les sanctions sont graduelles : 

 

  • Avertissement ou mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
  • Injonction de cesser la violation
  • Limitation ou suspension temporaire des traitements de données
  • Sanctions administratives en cas de non-respect des règles du RGPD après injonction vaine de l’autorité de contrôle

 

Quelles sont les obligations des éditeurs ?

 

Les éditeurs de presse disposant d’un site internet doivent se conformer à ces nouvelles règles. Il n’y a pas de régime dérogatoire pour la presse. 

  • Information

Les utilisateurs doivent être informés clairement et dans un langage simple de toutes les finalités des cookies avant de les accepter. L’information doit être accessible de manière évidente. Les responsables de traitement sont invités à veiller à ce que les interfaces de recueil des choix n’intègrent pas d’éléments de graphiques ou de design potentiellement trompeurs susceptibles de biaiser le consentement des utilisateurs. Il convient de leur indiquer également les conséquences d’une acceptation ou d’un refus. 

Les utilisateurs doivent être informés de l’identité de tous les acteurs susceptibles d’accéder aux traceurs soumis au consentement. 
 

  • Le recueil d’un consentement valide 

Les sites exploitant des traceurs doivent recueillir le consentement par un acte clair des internautes afin de stocker des cookies sur leur appareil, par exemple via un clic sur un bouton “J’accepte”. Une non-réponse vaut refus du stockage de cookies sur l’appareil de l’utilisateur. Un site peut redemander le consentement, mais il ne faut pas que cela s’apparente à un harcèlement de l’utilisateur. 

Les gestionnaires de site doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Les utilisateurs ont la possibilité de consentir en fonction de différentes finalités. La Cnil recommande de permettre à l’utilisateur de donner son consentement de façon indépendante et spécifique pour chaque finalité, par exemple au moyen de cases à cocher. Il est possible de proposer à l’utilisateur de consentir à un ensemble de finalités, en ajoutant, par exemple, des boutons « tout accepter » ou « tout refuser », mais uniquement si l’ensemble des finalités est également présenté pour que l’utilisateur comprenne ce que signifie son choix.

La possibilité de refuser les cookies doit être aussi simple et accessible que le refus. Des options graphiques sombres ou peu lisibles sur le bouton de refus des cookies sont déconseillées, car elles influencent le recueil du consentement.

Enfin, l’utilisateur doit avoir la possibilité de retirer son consentement à tout moment et aisément. 
 

  • Exemption de recueil du consentement 

Tous les cookies ne sont pas concernés par l’obligation de recueil du consentement. En effet, certains cookies sont nécessaires au fonctionnement d’un site internet. Les traceurs stockant la valeur du consentement sont nécessaires, les traceurs de personnalisation (langue, par exemple), de panier ou d’authentification, sont exemptés du recueil de consentement. 

De manière générale, les cookies exemptés d’obligation de recueil du consentement répondent aux conditions suivantes :

  • Ils doivent avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur. 
  • Ils servent à produire des données statistiques anonymes uniquement.
 
  • Les cookies de mesure d’audience sont-ils concernés par l’exemption de consentement ?

Oui, sous certaines conditions. La mesure d’audience peut être considérée comme nécessaire au fonctionnement d’un site. 

La Cnil pose plusieurs conditions pour l’exemption de consentement des cookies d’audience  :

  • être strictement limités à la seule mesure d’audience sur le site pour le compte exclusif de l’éditeur ;
  • servir uniquement à produire des données statistiques anonymes ;
  • ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
  • ne pas permettre le recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers.

Google Analytics n’est pas considéré comme respectant ces conditions. La Cnil considère en effet que les « cookies [Google Analytics] n’ont pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture du service ».

Pour l’instant, la seule solution de mesure d’audience pouvant bénéficier d’une exemption de consentement validée par la Cnil est Analytics Suite Delta de AT Internet.  La Cnil a prévu de communiquer une liste de prestataires agréés.

La Cnil recommande également :

  • d’informer les utilisateurs de la mise en œuvre des traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;
  • de limiter la durée de vie des traceurs pour permettre une comparaison des audiences dans le temps, par exemple à 13 mois ;
  • de ne pas conserver  les informations collectées par les traceurs d’audience au-delà de vingt-cinq mois ; 
  • de réexaminer régulièrement les durées de vie et de conservation mentionnées afin de les limiter au strict nécessaire.

Par ailleurs, les traitements de mesure d’audience restent, par nature, des traitements de données personnelles qui sont soumis à l’ensemble des obligations du RGPD.

 

  • La responsabilité de l’éditeur en cas de sous-traitance 

L’éditeur d’un site est responsable du traitement. Il a la responsabilité de s’assurer qu’aucun tiers ne respectant pas la réglementation n’intervienne dans la collecte et le traitement des données des utilisateurs. Si c’est le cas, il est tenu d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.
 

Le cas des cookie walls

 

  • Qu’est-ce qu’un cookie wall ? 

Un cookie wall est un moyen, pour les sites web, de refuser l’accès à tout utilisateur refusant de consentir au stockage de tous les cookies et traceurs du site internet ou de lui proposer des solutions alternatives telles que la souscription d’un abonnement payant. 

 

  • Que change la décision du Conseil d’État ? 

En juillet 2019, la Cnil a proposé une série de recommandations pour appliquer le RGPD. Les dispositions proposées par la Cnil incluaient l’interdiction des cookies walls. Dans une décision rendue le 19 juin 2020, le Conseil d’État a jugé que la Cnil ne pouvait pas interdire les cookie walls. Les recommandations de la Cnil ont été ajustées et adoptées le 17 septembre 2020. 

Dans sa décision, le Conseil d’État indique que le RGPD ne s’oppose pas explicitement à un conditionnement de l’accès à un service numérique en échange de la fourniture de données personnelles. 

La décision du Conseil d’État ne constitue pas pour autant une autorisation des cookie walls. En effet, le RGPD reste assez restrictif sur l’appréciation du caractère libre du consentement à la collecte et au traitement des données des utilisateurs. Afin d’affiner sa position sur le sujet, la Cnil a annoncé qu’elle examinerait au cas par cas les cookie walls qui feront l’objet de plaintes de la part d’utilisateurs

 

  • Quelles sont les recommandations du Spiil ? 

La décision du Conseil d’État et l’absence de texte spécifique sur les cookie walls engendrent une véritable incertitude juridique pour les éditeurs qui s’engagent dans cette voie. 

Au vu de ces éléments, le Spiil vous invite à considérer avec beaucoup de précautions le recours à des cookie walls et à attendre les premières décisions qui seront prises par la Cnil et/ou le Conseil d’État suite aux nombreuses plaintes déjà adressées par des utilisateurs. 
 

Foire aux questions

 

  • Comment mettre en œuvre de manière peu onéreuse les recommandations de la Cnil ?

Il existe des solutions telles que « Tarte au citron JS » ou « Orejime » qui sont open source, mais qui nécessitent des compétences techniques. Il existe d’autres outils, plus faciles à mettre en place, mais plus chers : « Consent Manager » ou « Iubenda ». 

 

  • Qu’en est-il du consentement cross-device ?  

Il est possible d’envisager un consentement cross-device (passage d’un appareil à un autre, par exemple, d’une application à un site internet), à condition de ne pas engendrer un déséquilibre dans le recueil du refus ou du consentement de l’utilisateur. Par exemple, il ne faut pas permettre d’accepter tous les cookies sur tous les supports et redemander systématiquement le consentement d’un utilisateur les ayant refusés sur un des supports. 

 

  • Puis-je offrir un article gratuit à mes lecteurs en échange du droit de déposer des cookies ? 

Interrogée à ce sujet en janvier 2021, la Cnil a déconseillé cette solution car cela reviendrait selon elle à contraindre le consentement de l’utilisateur. 

 

  • Quel est le délai acceptable de conservation du consentement des utilisateurs ? 

Le délai de conservation du consentement dépend du secteur et du niveau de fréquentation du site. Selon la Cnil, un délai de six mois de conservation des données d’acceptation ou de refus relève d’une bonne pratique.
 

Quelles sont les recommandations du Spiil pour se mettre en conformité ?

En cas d’imprécision ou d’incompréhension des règles, les membres sont invités à se rapprocher du syndicat. Cette fiche pratique sera mise à jour au fur et à mesure des questions posées et des éclaircissements apportés par la Cnil. 

La première étape consiste à mener un audit de votre site pour identifier les cookies et autres traceurs, leur finalité et leur durée de vie. Pour cela, il existe des outils tels que « BuiltWith » ou « Cookiebot ». 

Il convient ensuite de les classifier et de mettre cette information à disposition des internautes. 

Ensuite, il convient de mettre en place une solution technique de recueil du consentement des utilisateurs. Cette solution peut passer par un pop up ou par un bandeau en haut de page. L’outil de recueil du consentement doit permettre à l’utilisateur de dissocier son consentement en fonction de la finalité d’utilisation. 
 

7. Ressources

 

Pour vous aider à vous mettre en conformité, la Cnil a mis à disposition une foire aux questions très complète pour répondre aux interrogations les plus fréquentes : https://www.cnil.fr/fr/questions-reponses-lignes-directrices-modificatives-et-recommandation-cookies-traceurs 

Si vous avez des questions plus précises à ce sujet, nous vous invitons à écrire à Anne-Claire Marquet, directrice, (acm@spiil.org) qui les transmettra à la Cnil.