Cookies : comment mettre mon site web en conformité ?


Les éditeurs de sites internet ont l'obligation de recueillir le consentement des utilisateurs préalablement au dépôt de certains cookies (de publicité ciblée, de réseaux sociaux ou de mesure d’audience sous conditions) et de leur fournir un moyen de s'y opposer.

Lorsqu'ils visitent un site ou utilisent une application, les internautes doivent être informés et donner leur consentement préalablement à l'insertion ou la lecture de cookies ou autres traceurs

Qu'entend-on par les termes "cookies" ou " traceurs "?

Le terme de cookies est à prendre au sens large et couvre l'ensemble des traceurs déposés et / ou lus, par exemple, lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile.

La loi s'applique quel que soit le type de terminal utilisé et concerne par exemple, les traceurs déposés sur les ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéos connectées à Internet. 

Par commodité, nous utilisons le terme de "cookie" qui recouvre l'ensemble de ces technologies.

Quel est le problème au regard de la protection des données ?

Lorsqu'ils naviguent sur le web ou utilisent des applications mobiles, les utilisateurs sont de plus en plus suivis par différents acteurs (éditeurs de service, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l'intermédiaire de différentes technologies, dont la plus répandue est aujourd'hui celle des cookies.

Les obligations légales en matière de cookies

Avant de déposer ou lire un cookie, les éditeurs de sites ou d'applications doivent :

  • informer les internautes de la finalité des cookies
  • obtenir leur consentement 
  • fournir aux internautes un moyen de les refuser. 

La durée de validité de ce consentement est de 13 mois maximum. 

L'obligation de recueil du consentement s'impose aux responsables de sites, aux éditeurs d'applications mobiles, aux régies publicitaires, aux réseaux sociaux, aux éditeurs de solutions de mesure d'audience qui ont l'entière responsabilité de se mettre en accord avec la loi. 

Certains cookies sont cependant dispensés du recueil de ce consentement.

Cookies exemptés de consentement

Il s'agit des cookies et des traceurs strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur.

Ainsi, par exemple, les traceurs suivants ne requièrent pas de consentement :

  • les cookies de " panier d'achat " pour un site marchand ;
  • les cookies " identifiants de session ", pour la durée d'une session, ou les cookies persistants limités à quelques heures dans certains cas ;
  • les cookies d'authentification ;
  • les cookies de session créés par un lecteur multimédia ;
  • les cookies de session d'équilibrage de charge (" load balancing ") ;
  • certaines solutions d'analyse de mesure d'audience (analytics) ;
  • les cookies persistants de personnalisation de l'interface utilisateur (choix de langue ou de présentation).

Cookies nécessitant le recueil du consentement préalable

Les cookies nécessitant une information préalable et une demande de consentement, sont, par exemple :

  • les cookies liés aux opérations relatives à la publicité ;
  • les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux lorsqu'ils collectent des données personnelles sans consentement des personnes concernées ;
  • certains cookies de mesure d'audience.

Tant que la personne n'a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur son terminal.

L'internaute doit être informé par l’apparition d’un bandeau :

  •  des finalités précises des cookies utilisés ;
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien" en savoir plus et paramétrer les cookies" présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal.

 

Conditionner le dépôt de cookies au consentement.

Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton " rechercher ").

Sauf consentement préalable de l'internaute, le dépôt et la lecture de Cookies ne doivent pas être effectués :

  • si l'internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche par exemple) et ne poursuit pas sa navigation : une simple absence d'action ne saurait être en effet assimilée à une manifestation de volonté ;
  • s'il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuse le dépôt de cookies.

Dans tous les cas, l'internaute doit pouvoir refuser les cookies à tout moment

En fonction des technologies utilisées et des fonctionnalités, il peut proposerr une page "en savoir plus"  contenant  :

  • un renvoi vers des outils d'opposition au traçage mis en place par les solutions de mesure d'audience, de publicité ou les réseaux sociaux. Ces solutions doivent cependant être opérationnelles sur tous les terminaux et navigateurs. Aucune information relative aux internautes ne doit être collectée préalablement à leur consentement ou en cas de refus.
  • un paramétrage des navigateurs utilisés par les visiteurs de leur site, sous certaines conditions.

Focus sur certains outils permettant de s'opposer aux cookies http

Les paramètres du navigateur pour les cookies HTTP

Le recours aux paramètres du navigateur peut, dans certaines hypothèses, permettre aux internautes d'exercer valablement leur choix.

Les paramètres du navigateur être utilisés pour s'opposer aux cookies tiers uniquement si : 

  • L'internaute a été informé avant le dépôt des cookies, de leurs finalités
  • l'ensemble des cookies déposés sur votre site sont des cookies HTTP : Les paramètres du navigateur ne permettent pas, en l’état actuel de la technique, de gérer des technologies autres que les cookies HTTP. Ils ne pourraient donc être regardés comme satisfaisants en cas d’utilisation d’autres technologies que les cookies HTTP, tels que les pixels invisibles, les cookies flash, ou les techniques de fingerprinting.
  • l'ensemble des cookies déposés sur votre site sont des cookies tiers  : c'est à dire, des cookies placés par le serveur d'un domaine distinct de celui du site visité. Dans le cas contraire, vous devrez mettre en place un autre mécanisme pour gérer les choix de vos utilisateurs. 
    Si vous utilisez la solution de mesure d'audience de Google (ou une autre solution s'appuyant sur des "first party" cookies), il vous faudra donc ajouter le script de demande de consentement disponible ici

Il n'est pas concevable de proposer aux internautes de bloquer tous les cookies dans les paramètres de son navigateur. En effet, certains "first party" cookies (cookies déposés et lus pas le site web consulté par l'internaute) sont essentiels au fonctionnement des sites web. Le refus de ces cookies peut avoir pour conséquence de priver l'internaute d'un accès à certains services. En ce sens, cette hypothèse est à exclure.

L’option DoNotTrack

Le paramètre DoNotTrack offert par certaines versions récentes des navigateurs n'est pas, pour le moment, interprété par tous les acteurs comme une opposition au traçage par les régies publicitaires et n'est donc pas suffisante pour refléter le choix de l'utilisateur.

La Commission considère que lorsqu'un internaute décide d'activer une option de type " do not track ", aucun profil ne devrait être réalisé sur cet internaute et sur son terminal. Cette position a été reprise par le G29 dans son avis 04/2012 du 7 juin 2012 sur les cookies exemptés de consentement. La Commission recommande donc, en cas d'activation de cette option, qu'aucune information ne soit collectée pour établir un profil de l'internaute et que ce dernier, comme son terminal, ne soient pas tracés.

 

Les mots clés associés à cet article