Cookies et traceurs : comment mettre mon site web en conformité ?

01 octobre 2020

Les internautes doivent consentir préalablement au dépôt de certains cookies effectué par des sites web sur leur terminal. A la suite de la publication de ses lignes directrices et de sa recommandation, la CNIL vous aide à mettre vos sites web en conformité.

Lorsqu'ils visitent un site web, les utilisateurs doivent être informés et donner leur consentement préalablement au dépôt ou la lecture de cookies ou autres traceurs, à moins que ces traceurs ne bénéficient d’une des exemptions prévues par l’article 82 de la loi Informatique et Libertés

Quel sont les enjeux au regard de la protection des données ?

Lorsqu'ils naviguent sur le web ou utilisent des applications mobiles, les internautes sont de plus en plus suivis par différents acteurs (éditeurs de service, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l'intermédiaire de différents outils techniques, les « traceurs », dont font partie les cookies.

Qu'entend-on par les termes "cookies" ou " traceurs "?

Les traceurs peuvent être déposés ou lus, par exemple lors de la consultation d'un site web, d’une application mobile, ou encore de l'installation ou de l'utilisation d'un logiciel.

Le terme de traceur peut notamment recouvrir :

  • les cookies et des variables HTTP, qui peuvent notamment transiter par des pixels invisibles ou des "web beacon" ;
  • les cookies « flash » ;
  • les accès aux informations du terminal depuis des API (LocalStorage, IndexedDB, identifiants publicitaires tels que l’IDFA ou l’android ID, l’accès au GPS, etc.),
  • tout autre identifiant généré par un logiciel ou un système d'exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).

La loi s'applique quel que soit le type de terminal utilisé : ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéo connectées à Internet ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public. 

Par commodité, le terme "traceurs" recouvre l'ensemble de ces technologies.

Les différentes typologies de traceurs

Au regard de la législation, il existe deux typologies de traceurs :

  1. Les traceurs qui sont exemptés de consentement

Il s'agit des traceurs strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou bien les traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique. Ces traceurs ne nécessitent pas de consentement des internautes mais vous pouvez cependant les informer de leur utilisation et leur rappeler que des réglages du navigateur peuvent leur permettre de les bloquer, avec des effets potentiellement négatifs pour le fonctionnement du site. Les traitements de données personnelles associés restent néanmoins soumis aux principes du RGPD.

Parmi ces traceurs, on retrouve :

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
  • les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.
  1. Les traceurs nécessitant le recueil du consentement préalable

Ceux-ci peuvent par exemple être liés à l’affichage de la publicité personnalisée ou non personnalisée (dès lors que des traceurs sont utilisés pour mesurer l’audience de la publicité affichée dans ce dernier cas) ou encore à des fonctionnalités de partage sur les réseaux sociaux. En l'absence de consentement  (dans l’hypothèse donc d’un refus de l'utilisateur), ces traceurs ne peuvent être déposés et/ou lus sur son terminal.

Comment recueillir un consentement valide ?

  • Informer l’utilisateur. L’information doit notamment comprendre :
    • l'ensemble des finalités d’usages liées aux traceurs, qui doit être présentée à l'utilisateur au moment de faire son choix. Pour des raisons de clarté et de concision, cette première description peut être limitée à une brève présentation des objectifs poursuivis par les traceurs ; une description plus détaillée peut être fournie à l’utilisateur dans un second temps.
    • une liste, régulièrement mise à jour, des responsables du ou des traitements de données accessible directement ou indirectement (via un lien hypertexte par exemple) sur le premier niveau d’information. 
  • Permettre à l’utilisateur de consentir par un acte positif clair : le silence des personnes, qui peut passer par la simple poursuite de leur navigation, doit désormais s’interpréter comme un refus. En revanche, une demande de consentement effectuée au moyen de cases à cocher, et décochées par défaut, est facilement compréhensible par les utilisateurs. La CNIL recommande de s’assurer que les interfaces de recueil des choix n’intègrent pas des pratiques de design trompeuses : bouton décoloré, barre de défilement (« slide bar ») difficilement compréhensible, etc.
  • Permettre à l’utilisateur de faire un choix par finalité : il est recommandé de permettre à l’utilisateur de donner son consentement de façon indépendante et spécifique pour chaque finalité, par exemple au moyen de cases à cocher. Il est possible de proposer à l’utilisateur de consentir de manière  globale à un ensemble de finalités, en intégrant, par exemple, des boutons « tout accepter » ou « tout refuser », mais uniquement si l’ensemble des finalités est présenté préalablement.
  • Permettre à l’utilisateur d’exercer ses choix avec le même degré de simplicité : par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser ». Les choix de l’utilisateur doivent, en principe, être conservés durant leur navigation sur le site.  La CNIL recommande que le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. Une durée de six mois, tant pour le consentement que le refus est en général appropriée.
  • Permettre à l’utilisateur de revenir sur sa décision à tout moment : l’utilisateur doit avoir la possibilité de retirer son consentement à tout moment, par exemple avec un lien en pied de page ou un autre mécanisme de gestion des cookies accessible à tout moment sur le service concerné.

Concrètement, comment se mettre en conformité ?

La CNIL propose ci-dessous un exemple de bandeau permettant d’assurer le recueil d’un consentement valide de l’utilisateur. Cet exemple s’appuie sur les lignes directrices et la recommandation de la CNIL et a pour seul objectif d’aider les professionnels concernés dans leur démarche de mise en conformité. D’autres méthodes de recueil du consentement peuvent bien évidemment être utilisées, dès lors qu’elles permettent d’obtenir un consentement conforme aux textes en vigueur.

Exemple du bandeau

 

bandeau cookie 1

 

bandeau cookie 2
 

 bandeau cookie 3

 

Dans la mesure où le consentement doit résulter d’un acte univoque, toute autre action (par exemple, la fermeture du bandeau de recueil de consentement) que celle permettant explicitement d’accepter  doit être considérée comme un refus.