Cookies & traceurs : que dit la loi ?


En application de la directive européenne dite " paquet télécom ", les internautes doivent être informés et donner leur consentement préalablement à l'insertion de traceurs. Ils doivent disposer d'une possibilité de choisir de ne pas être tracés lorsqu'ils visitent un site ou utilisent une application. Les éditeurs ont donc l'obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.

Que recouvre le terme de « cookies » ou de « traceurs » ?

Sont concernés les traceurs déposés et lus par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé tels qu'un ordinateur, un Smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet. S'ils répondent à certaines conditions, certains traceurs dérogent à cette obligation 

A ce titre, le terme de "cookie" recouvre par exemple :

  • les cookies HTTP
  • les cookies "flash",
  • le résultat du calcul d'empreinte dans le cas du " fingerprinting " (calcul d'un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage),
  • les pixels invisibles ou " web bugs ",
  • tout autre identifiant généré par un logiciel ou un système d'exploitation, par exemple.

Ces obligations s'appliquent que les cookies collectent des données à caractère personnel ou non.

 

Que dit la loi ?

 

En modifiant l'article 5(3) de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, le législateur européen a posé le principe : 

  • d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées.
  • sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

L'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.

En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.

A qui s'impose cette obligation ?


Quels cookies nécessitent le consentement préalable des utilisateurs ?


Le cas des cookies de solutions de mesures d'audience (analytics)


Comment recueillir valablement le consentement ?


Les durées de vie des cookies 

Le consentement à être suivi peut être oublié par les personnes qui l'ont manifesté à un instant donné, la CNIL estime nécessaire de limiter dans le temps la portée de ce dernier.

  • Elle recommande que le délai de validité du consentement au dépôt des Cookies soit porté à 13 mois au maximum. À l'expiration de ce délai, le consentement devra être à nouveau recueilli. 
  • En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l'équipement terminal de l'utilisateur (faisant suite à l'expression du consentement)
  • leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.
13 mois
C'est la durée de vie maximale d'un cookie

Concrètement, comment se mettre en conformité ?

Dans la première étape, l'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l'apparition d'un bandeau :

  • des finalités précises des cookies utilisés ;
  • de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Par exemple, en cas d'utilisation de traceurs à des fins publicitaires et de mesure d'audience, la mention peut être la suivante :

Modèle de bandeau d'information préalable

Voici un modèle à utiliser pour des cookies publicitaires et de mesure d’audience. Il doit être adapté en fonction de la finalité des cookies utilisés.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs ]pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites].

Pour en savoir plus et paramétrer les traceurs.

 

Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton " rechercher ").

Sauf consentement préalable de l'internaute, le dépôt et la lecture de Cookies ne doivent pas être effectués :

  • si l'internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche par exemple) et ne poursuit pas sa navigation : une simple absence d'action ne saurait être en effet assimilée à une manifestation de volonté ;
  • s'il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuse le dépôt de cookies.

Dans cette étape, en cas de clic sur " En savoir plus / paramétrer les traceurs ", les personnes doivent disposer de solutions leur permettant de refuser l'insertion des cookies. Le choix offert à l'usager d'accepter ou de refuser :

  • Doit être possible pour l'ensemble des technologies de traçage utilisées par l'éditeur (cookies, cookies flash, fingerprinting, les plugins, certaines images stockées dans le navigateur, les espaces mémoires spécifiques aux différents navigateurs, etc) ;
  • Il doit permettre à l'usager d'accepter ou de refuser les cookies par finalités (tel que la publicité, les réseaux sociaux, la mesure d'audience).

Les modalités permettant à l'usager d'exercer ses choix peuvent varier, il peut s'agir :

  • d'un mécanisme de paramétrage des cookies directement disponible sur le site ou dans l'application ;
  • du renvoi vers les outils d'opposition au traçage proposés par les solutions de mesure d'audience, de publicité ou de réseaux sociaux ; à condition que ces solutions soient conviviales et opérationnelles sur tous les terminaux et navigateurs. Aucune information relative aux internautes n'ayant pas consenti ou ayant décidé d'exercer leur droit d'opposition ne doit être collectée.
  • dans certaines conditions, des paramètres du navigateur.

Cette cinématique en deux étapes peut être déclinée dans d'autres contextes, tels que les applications mobiles. Le message pourrait alors être affiché lors de la première utilisation de l'application ou de son installation.

Autres modalités de recueil du consentement

Les modalités de recueil de l'accord préalable peuvent également revêtir différentes formes, telles que par exemple :

  • l'affichage d'une bannière décrivant les finalités des cookies utilisés, demandant explicitement à la personne si elle accepte le dépôt par familles de cookies , tout en lui précisant les moyens dont elle dispose pour retirer ultérieurement son consentement ;
  • une zone de demande de consentement en surimpression ;
  • des cases à cocher lors de l'inscription à un service en ligne lui permettant d'accepter le dépôt de cookies par catégories de finalités ;
  • des boutons permettant d'activer les fonctionnalités d'un service déposant des cookies (par exemple, les plugins des réseaux sociaux).

Les mots clés associés à cet article