La CNIL accentue la pression pour que les organismes se mettent en conformité avec les nouvelles règles de gestion des cookies. Elle fixe la prochaine échéance au 31 mars 2021. Au-delà elle commencera à sévir.

La recommandation définitive portant sur l’usage des cookies a été publiée 1er octobre 2020. La CNIL a donné un délai de 6 mois pour son adoption. Nous y arrivons.

Ces recommandations sont l’adaptation du texte européen de l’e-privacy. Il s’agit d’une loi spéciale qui suit la loi générale du RGPD. Son impact est important, tant pour les fournisseurs d’accès que pour les acteurs de l’IdO (Internet des objets), les éditeurs d’applications de messagerie (Whatsapp, Skype, Facebook Messenger, etc.), les services d’accessoires d’accès à Internet (bornes WiFi), les éditeurs de sites Internet et applications, etc. Elle impose des obligations plus strictes à tous les acteurs précédemment cités pour le recueil du consentement des internautes quant à l’utilisation des cookies (et plus généralement de tous les traceurs utilisés sur l’ensemble des plateformes digitales faisant transiter de l’information numérique personnelle).

Petit rappel de ce qu’est un cookie :

Le cookie est l’équivalent d’un fichier texte de petite taille, stocké sur le terminal de l’internaute. Existant depuis les années 1990, ils permettent aux développeurs de sites web de conserver des données utilisateur afin de faciliter la navigation et de permettre certaines fonctionnalités. Les cookies ont toujours été plus ou moins controversés, car ils contiennent des informations personnelles résiduelles pouvant potentiellement être exploitées par des tiers. Ces informations censées être privées ne le sont pas vraiment, puisqu’elles sont accessibles à un certain point.
Source : Wikipedia

Évolution de la législation

Il existait déjà une réglementation européenne transposée en France, en 2009, dans la loi informatique et libertés qui encadrait l’utilisation des cookies. C’est à elle que l’on doit les bandeaux que vous voyez apparaître lors de votre première visite sur un site vous informant du dépôt de cookies tout en vous permettant de vous y opposer. Il est d’ailleurs bon de rappeler que cela ne concerne pas tous les cookies. Les cookies techniques (ex. : gestion du panier d’achats) peuvent être utilisés sans votre agrément.

La nouvelle directive impose que l’internaute dise clairement oui ou non. Et aucun accord tacite n’est possible. C’est la fin du soft opt-in. En effet, auparavant, si vous continuiez votre navigation sans avoir cliqué sur le « Accepter » du bandeau d’information sur les cookies, ces derniers pouvaient être utilisés.

Voici du coup ce qui change et ce qui est maintenu par apport au règlement précédent :

Exigences maintenues

  • Obligation de recueillir le consentement avant tout dépôt de cookies
  • Exception au recueil du consentement pour certaines catégories de cookies
  • Pas de cases d’acceptation pré cochées et pas de consentement via l’acceptation des CGU
  • Obligation d’informer l’utilisateur de chaque finalité et de lui permettre d’accepter ou de refuser, finalité par finalité de cookies
  • Interdiction de bloquer l’accès au site internet ou à l’application pour les utilisateurs qui ne consentent pas au dépôt de cookies (=interdiction de la pratique dite du « cookie wall ») exceptions faîtes de cas d’utilisations très spécifiques

Nouvelles exigences

  • Exigence d’une action positive de la part de l’utilisateur pour exprimer son consentement : aucun accord tacite n’est possible et la poursuite de sa navigation ne suffit plus
  • L’éditeur peut choisir de recueillir un consentement global (même s’il reste tenu de permettre à l’utilisateur de donner son consentement pour chaque finalité de cookies)
  • Obligation de mettre à disposition de l’utilisateur la liste des partenaires ayant recours aux cookies
  • Il ne suffit pas d’offrir à l’utilisateur la possibilité de paramétrer son navigateur pour s’opposer aux cookies
  • Règles plus strictes concernant les cookies de mesure d’audience même s’ils sont exemptés du recueil préalable de consentements
  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
  • Refuser les traceurs doit être aussi aisé que de les accepter.
  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Source : Maddyness et CNIL

Téléchargez le calendrier Marketing Digital 2024 de Goodness.

 Retrouvez mois après mois les citations préférées des collaborateurs de Goodness !

Je télécharge mon calendrier !

La mise en œuvre

La mise en œuvre ne sera pas toujours évidente. Voici un exemple d’interface permettant à l’utilisateur de choisir sciemment les types de cookies qu’il accepte :

D’aucuns disent que ce système va profiter aux espaces identifiés (Chrome, Gmail, Facebook, YouTube, Whatsapp…). En effet ces sites ou applications n’ont pas besoin de cookies pour adapter leur contenu à l’utilisateur.

Consentement cookies

Toujours est-il qu’il est maintenant plus que nécessaire de vous pencher sur la question si vous ne l’avez pas encore fait. Si vous possédez un site qui utilise des cookies (rares sont les sites n’en faisant pas usage), il faut l’équiper d’un système qui permette le recueil du consentement de l’utilisateur quant à l’utilisation des traceurs. Ce que ces systèmes font ou devraient faire :

  • Permettre de lister les cookies que vous utilisez sur votre site. Certains services automatisent cette étape.
  • Permettre de catégoriser les cookies (cookies techniques, de performance, de ciblage publicitaire, etc.)
  • Optionnellement, gérer la localisation de l’utilisateur pour adapter l’interface de consentement (ex : opt-in pour les Européens, opt-out pour les Américains)
  • Customiser l’interface de consentement (logo, texte, couleur, position, lien vers votre page de politique de protection des données personnelles, etc.)
  • Générer le script à positionner sur votre site pour afficher l’interface de consentement, la liste des cookies, le bouton de rappel de l’interface de consentement et pour gérer le blocage des cookies en fonction du choix de l’utilisateur
  • Optionnellement, afficher des statistiques sur l’utilisation des l’interfaces de consentement

Un point important sur lequel vous pourriez vous interroger concerne les cookies utilisés pour la connaître la fréquentation de votre site. Que dit la CNIL là-dessus :

Mesures d’audience

Concernant les cookies et traceurs utilisés pour les mesures d’audience, la CNIL rappelle que ceux servant uniquement à produire des statistiques anonymes et strictement nécessaires au bon fonctionnement du service, et limités à ce seul usage par le seul éditeur du site ou de l’application mobile, ne sont pas soumis à l’exigence du consentement préalable (voir l’article 5 des lignes directrices « cookies et autres traceurs »).

Il sera donc possible de faire passer ces cookies de suivi statistique dans les cookies techniques. Mais pour cela il faut configurer vos outils d’analyse statistique pour qu’ils travaillent sur des données anonymisées (cf. RGPD et Google Analytics, comment concilier les deux ?)

Si vous êtes un peu perdu avec tout cela, sachez que nous pouvons vous aider dans le choix de l’outil le plus adapté à votre cas et dans la mise en place de la solution retenue. N’hésitez pas à nous interroger sur ce sujet, nous serons heureux de vous conseiller.

Nous vous offrons un audit Opquast gratuit !

Vous êtes intéressé par une AMO globale ou à la carte? Contactez-nous et bénéficiez d’un audit Opquast gratuit.