04 91 33 79 23
Espace client
Les actualités
Les bonnes pratiques en matière de cookies

Les bonnes pratiques en matière de cookies

Publié le : 27/08/2021 27 août août 08 2021

Depuis le 1er avril dernier, les internautes ont pu constater certains changements lors de leur navigation en ligne, en particulier s’agissant des bandeaux cookies proposés à chaque nouvelle consultation d’un site internet. Non sans hasard, cette date correspond à la fin du délai de mise en conformité à la nouvelle règlementation sur les cookies accordé par la Commission Nationale de l’Informatique et des Libertés (CNIL). Au vu des récents positionnements et rappels de l’autorité de contrôle, il importe donc plus que jamais pour les acteurs concernés de veiller à leur mise en conformité.

Qu’est-ce qu’un cookie ?

Aussi appelé « traceur », un cookie est un petit fichier au format texte déposé sur le terminal (ordinateur, mobile, etc.) de l’utilisateur. Celui-ci est alors associé à un nom de domaine, et sera renvoyé de manière automatique à chaque reconnexion. 

Il existe différents types de cookies pouvant revêtir plusieurs fonctionnalités, dépendant notamment du type de site, de son activité, ou encore des choix effectués par son exploitant.

Il faut distinguer les cookies dits « nécessaires » au fonctionnement d’un site, qui permettent par exemple d’enregistrer le contenu d’un panier d’achat, ou encore des identifiants de connexion, des cookies dits « non nécessaires », tels que les cookies publicitaires, les cookies de mesure d’audience dans certains cas, ou encore les cookies tiers. 

Quels sont les cookies soumis au recueil du consentement ? 

Les cookies nécessaires à la navigation et cookies non nécessaires à la navigation ne sont pas soumis au même régime juridique, en particulier en matière de recueil du consentement. 
Les cookies dits « nécessaires » ne nécessitent pas de recueil du consentement préalable à leur dépôt, tout comme certains cookies de mesure d’audience notamment s’ils s’avèrent strictement nécessaires à la bonne administration du site.

En revanche, les cookies publicitaires, les cookies de mesure d’audience non strictement nécessaires à la bonne administration du site, les cookies tiers ou encore les cookies de réseaux sociaux nécessitent, pour pouvoir être déposés sur le terminal de l’utilisateur, son consentement préalable. 

Quand le consentement de l’utilisateur doit-il être recueilli ? 

Comme le rappelle la CNIL dans les récentes sanctions infligées à l’encontre de Google et Amazon, le recueil du consentement doit nécessairement s’effectuer avant le dépôt des cookies. En d’autres termes, le dépôt d’un cookie sur le terminal de l’utilisateur ne peut être effectué dès la connexion sur le site internet si son consentement n’a pas été préalablement obtenu.

Il s’agit précisément des manquements reprochés à Google et Amazon dans les délibérations de la CNIL du 7 décembre 2020. En effet, lorsqu’un internaute se rendait sur google.fr ou amazon.fr, des cookies publicitaires étaient automatiquement déposés sur son terminal, sans que celui-ci ait donné son consentement. Ce travers peut être constaté, encore aujourd’hui, sur de nombreux sites. La CNIL a également sanctionné l’insuffisance de l’information délivrée sur ces cookies, notamment via les bandeaux cookies présents sur les sites, mais aussi la non-effectivité du refus que pouvait exprimer l’internaute via ces derniers.

Quelles sont les modalités de recueil du consentement de l’utilisateur ? Focus sur le bandeau cookies 

Les bandeaux cookies constituent le cœur du dispositif de recueil du consentement. En effet, ils apparaissent lors de la consultation du site par l’internaute, au moment où celui-ci doit manifester ses choix en matière de dépôt. Il est également essentiel de lui ménager la possibilité de revenir sur ses choix, en prévoyant par exemple un centre de confidentialité facilement accessible où il pourra aisément retirer son consentement a posteriori.

Afin de satisfaire à une obligation d’information, le bandeau cookies doit de prime abord informer l’utilisateur de la finalité des cookies déposés de manière simple et concise. Il est bien sûr nécessaire d’adapter la formulation aux cookies effectivement déposés sur chaque site internet. Ces finalités devront être plus amplement détaillées dans la Politique de cookies du site.

De plus, le consentement de l’utilisateur doit se manifester par un acte positif clair, comme par exemple cliquer sur un bouton « J’accepte ». En d’autres termes, son silence ne vaudra pas acceptation. S’il poursuit sa navigation ou ferme le bandeau cookies sans accepter le dépôt, cela devra être interprété comme un refus de sa part. 

La possibilité de refuser le dépôt des cookies  doit être facilitée et accessible aussi facilement que la possibilité de l’accepter. Cela peut par exemple se manifester par l’insertion d’un bouton « Tout accepter » et d’un bouton « Tout refuser ». La présence des seuls boutons « Tout accepter » et « Gérer mes préférences » ne suffit donc pas à mettre les deux options au même niveau d’accessibilité. 

Un enjeu juridique et technique

En matière de cookies, l’enjeu est aussi bien juridique que technique. La rédaction de politiques de confidentialité et de bandeaux cookies conformes est un vœu pieux si elles ne sont pas suivies d’une mise en conformité technique. En effet, seul le développeur du site internet, d’une plateforme ou d’une application à une vue exhaustive des cookies employés, nécessaires ou non nécessaires à la navigation. Les prestataires réalisant des sites internet doivent proposer des outils conformes à leurs clients, sous peine d’engager eux-mêmes leur responsabilité, et doivent alerter immédiatement le responsable de traitement si une instruction leur semble contraire à la règlementation. 

Un sujet à suivre

La réglementation relative aux cookies est en perpétuelle évolution, ce qui nécessite un suivi et des mises à jours régulières afin de ne pas courir le risque de se trouver en non-conformité. 

L’autorité de contrôle française intervient régulièrement dans le cadre de recommandations et de  lignes directrices relatives à ce sujet. A noter, le respect des règles applicables en matière de cookies fait partie des trois axes de contrôle prioritaires de la CNIL pour l’année 2021. Ces contrôles peuvent déboucher sur des sanctions considérables comme en témoignent les 100 millions et 35 millions d’euros d’amende infligées respectivement à Google et Amazon. 

Le 25 mai dernier, dans un communiqué, la CNIL annonce également avoir adressé une vingtaine de mises en demeure à l’encontre d’organismes français, aussi bien publics que privés, ne permettant pas aux utilisateurs de refuser les cookies aussi facilement que de les accepter. Elle poursuit sa croisade puisqu’elle a, le mois dernier, adressé une quarantaine de mises en demeure pour les mêmes motifs. D’autres sanctions récentes démontrent qu’en matière de données personnelles, les amendes ne sont pas l’apanages des géants du web. 

Un projet de règlement dit « ePrivacy » est également en cours d’élaboration au niveau européen, afin d’harmoniser les réglementations en la matière. 

Les avocats du Cabinet Manenti&Co vous assistent dans votre mise en conformité RGPD, notamment pour la rédaction de vos politiques de confidentialité, la vérification et la mise à jour de vos bandeaux cookies. 

Kamila Crisan, Avocat
Certifiée DPO AFNOR

Amalia Gaydon, Juriste


 

Historique

<< < 1 2 3 4 5 6 > >>