Qu’est-ce qu’un Cookie ?
Un cookie est un fichier texte informatique qui est déposé sur le navigateur d’un utilisateur dès lors que ce dernier se rend sur une page web.
Collectant toute sortes de données à caractère personnel selon leur type et leur fonction, les cookies sont réglementés depuis la loi « Informatique et Libertés » de 1978.
Mais dans les faits, il a été constaté que les entreprises utilisant leur site web comme vitrine de leur prestation ou service ont pu user de ruses pour contourner les règles au détriment de l’utilisateur ; ce dernier étant alors obligé d’accepter quasiment systématiquement le dépôt des cookies sur son terminal électronique.
Or, les cookies sont, du fait de leur objectif, intrusifs pour la vie privée des utilisateurs d’Internet.
S’agissant dès lors de traitements de données à caractère personnel (des données personnelles étant collectées et traitées), ils sont soumis aux règles imposées par le RGPD et doivent être surveillés avec attention.
Des cookies pour protéger les données
C’est pourquoi le Règlement général pour la protection des données (RGPD) a défini la notion de consentement de l’utilisateur et apporté une force nouvelle à la protection des données.
Forte de cette réglementation, la CNIL a établi un plan d’action centré sur le ciblage publicitaire. Dès l’adoption de ses Lignes directrices du 4 juillet 2019 – qui ont vocation à expliquer le sens des règles qu’elle entend faire appliquer – l’objectif a clairement été de renforcer la conformité du consentement d’un visiteur de site web lorsqu’il est question du traitement de ses données, et ce même s’il ne s’agit pas de données sensibles.
Ces lignes directrices ont été mises à jour le 17 septembre 2020[1] afin de tenir compte de la décision du Conseil d’Etat du 19 juin 2020 annulant de manière catégorique la disposition visant à interdire la pratique des « cookies walls » en estimant qu’une telle disposition ne doit pas être présentée dans un texte de droit souple. Une recommandation sur les modalités pratiques de recueil du consentement de l’utilisateur a également été adoptée en septembre 2020[2].
L’article 6 du RGPD définit précisément les conditions pour qu’un consentement soit valable à travers sa licéité, sa spécificité, et ses caractères éclairé et univoque. Nous vous invitons à prendre connaissance de la notion à travers notre article dédié au sujet. Il est impératif qu’en sus de ces éléments, les utilisateurs aient un droit de regard sur leurs données.
Pour en savoir plus sur les divers droits des personnes concernées (information, portabilité, effacement, droit d’accès …) retrouvez notre article dédié aux droits des personnes physiques.
Les changements majeurs à retenir sont que :
- La poursuite de la navigation ne vaut plus consentement. Cela répond directement à une pratique très répandue des éditeurs de sites, qui voulant être certains de recueillir un minimum de données personnelles des visiteurs de leur site web, se contentaient d’inviter les visiteurs à poursuivre leur visite.
- Tout éditeur de site, en sa qualité de responsable de traitement de données à caractère personnel, doit être en mesure de prouver qu’il a recueilli un consentement valable, et cela peut passer par le biais de cookies ayant cette finalité exclusive.
- L’utilisateur doit avoir la possibilité de refuser les cookies aussi simplement que de les accepter en recourant par exemple à des boutons « tout accepter » et « tout refuser ».
C’est pourquoi avoir un gestionnaire de cookie appliquant ou prévoyant toutes ces règles peut grandement apaiser vos inquiétudes liées à la conformité de votre site web et faciliter la vie de votre entreprise.
En effet, l’utilisation d’un gestionnaire adéquat et respectueux de la vie privée permettra à toute entreprise y ayant recours d’être sereine, notamment en cas de contrôle de la CNIL.
Il est à noter qu’en réalité, la conformité et la praticité d’un tel outil se confondent : l’autorité de protection des données a, à plusieurs reprises, réitéré la nécessité d’une utilisation à la fois intelligible pour l’utilisateur et facilitée du moyen retenu.
[1] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019. Voir le PDF
[2] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs », Voir le PDF
3 critères indispensables pour choisir son gestionnaire de cookies
Un module visible et facile d’accès
Le gestionnaire de cookies doit être visible sur la page consultée, et facile d’accès en toutes circonstances.
Il est à noter qu’un visiteur peut ne pas vouloir donner une réponse immédiate quant à son consentement au dépôt des cookies, ou encore vouloir changer d’avis à n’importe quel moment.
Dans ces deux cas, il ne doit pas se trouver lésé et un moyen facile pour lui de pouvoir exercer son choix ou changer d’avis doit lui être octroyé. Il est donc préférable de laisser l’image de l’outil de gestion en permanence sur le site web visité.
A défaut d’une croix de fermeture de gestionnaire, il suffit de cliquer à nouveau sur cette image pour exercer son choix plus tard.
Des informations précises et détaillées
L’utilisateur doit être informé de différentes mentions avant de pouvoir donner son consentement.
Une mention particulièrement importante est celle de la durée de conservation du cookie, et fait l’objet d’un champ à compléter.
Enfin, un lien cliquable renvoyant à la politique de confidentialité et la politique de cookie de l’entreprise utilisant l’outil est possible, permettant de remplir toutes les obligations d’information pesant sur les entreprises.
Il est apprécié de pouvoir créer autant de pages de catégories de cookies et de pouvoir les classer comme on le souhaite, ainsi que de pouvoir changer d’avis de manière à adapter la lisibilité et la compréhension de la présentation de l’utilisation faite des cookies.
Des boutons disponibles pour accepter, refuser ou sélectionner
L’exercice du consentement ou de refus de l’utilisateur.
Trois mentions devraient être laissées à l’utilisateur du site : « J’accepte », « Je refuse », et « Je choisis ». Le design doit être le même de manière à ne pas inciter l’utilisateur à choisir une option plus qu’une autre.
Enfin, un bouton pour tout accepter et tout refuser est possible et est entièrement conforme aux volontés de la CNIL tant que l’action opérée par l’utilisateur provoque l’effet conforme à sa volonté.
Comment choisir son gestionnaire de cookies ? Nous avons testé !
Didomi : pour des connaisseurs aguerris et experts juridiques
A la première visite du site Didomi, le gestionnaire de cookies apparaît pleinement pour que l’utilisateur exerce son choix. Ce n’est malheureusement pas le cas à l’occasion de la seconde visite, où le gestionnaire n’apparaît plus et n’est donc plus aisément accessible pour le visiteur.
En revanche, le gestionnaire dispose d’un beau design agréable et ergonomique. En outre, les informations apportées sur les finalités précises des cookies sont largement détaillées, même si l’utilisateur profane peut ne pas toutes les comprendre.
D’autres points positifs sont à soulever : l’accès aux partenaires via le gestionnaire est simple et mis en évidence. Cette information est suffisamment détaillée pour que l’utilisateur comprenne la portée de son acceptation ou de son refus, choix ce qu’il peut exercer directement sur le tableau des partenaires qui lui est présenté.
Par ailleurs, les boutons présentés sont entièrement conformes aux attentes de la CNIL.
Enfin, la présence d’un dashboard des consentements sous forme de graphiques est intéressante et constitue une réelle plus-value pour analyser le taux d’acceptation et de refus des cookies.
En conclusion, ce gestionnaire de cookie est très complet et performant si les utilisateurs sont sensibilisés à l’importance des informations disponibles pour la gestion de leur consentement.
Axeptio : crush pour des cookies sains et nutritifs
Des 4 gestionnaires, il s’agit de l’outil le plus facile à utiliser et le plus user friendly. Grâce à son design et son approche segmentée, ce gestionnaire s’avère particulièrement agréable à utiliser en tant que visiteur.
Il est pensé pour être accessible sur toutes les pages de votre site, offre un bon niveau d’information de manière intelligente et respecte les grandes lignes des recommandations de la CNIL. Par exemple Axeptio permet de laisser un bouton d’accès au gestionnaire de cookies en permanence, à un endroit précis de la page web.
Du point de vue technique, la documentation présente en ligne remplit parfaitement son rôle et permet effectivement de gérer avec précision le dépôt de cookies, en s’interfaçant notamment avec Google Tag Manager.
Il est également à noter qu’il s’agit d’un outil français, pensé avec une approche « française » de la mise en conformité et donc proche des préoccupations de la CNIL.
Petit bémol, pour le moment, la gestion du consentement particulier concernant les mesures d’audience n’est pas prise en compte. Par ailleurs, lors de certains tests effectués sur l’interface mobile, le CMP (Consent Management Platform) n’apparaît pas toujours.
Il convient de noter que Data Legal Drive utilise actuellement cet outil sur son site internet.
Cookiebot : techniquement irréprochable, graphiquement à améliorer
Cookiebot permet de laisser un bouton d’accès au gestionnaire de cookies en permanence, à un endroit précis de la page web.
Les informations spécifiques à chaque cookie sont transmises par l’intermédiaire d’un tableau, efficace grâce à ses fonctionnalités et complet en ce qui concerne les informations transmises. Il repose toutefois sur une structure qui manque de visuels graphiques et ergonomiques.
La section « A propos des cookies » permet de modifier et personnaliser le texte à sa guise afin d’insérer tous les éléments utiles à la poursuite de sa mise en conformité, et notamment l’information claire et précise des utilisateurs du site.
Ce gestionnaire dispose donc d’une force technique importante en se conformant de près aux attentes de la CNIL, mais son graphisme gagnerait à être amélioré, afin de garantir une expérience utilisateur plus agréable.
Tarteaucitron : une recette prometteuse, mais à agrémenter avec les ingrédients de la CNIL
Ce gestionnaire est développé sous une licence libre, ce qui permet à tout contributeur de développer l’outil. Si la tâche est très intéressante, il est à noter que certaines informations, par exemple liées aux partenaires ou à la durée de validité des cookies, manquent ou sont incomplètes. Les informations juridiques et notamment relatives au RGPD ne semblent pas assez précises pour que l’utilisateur ayant implémenté Tarteaucitron soit parfaitement serein vis-à-vis de son obligation d’information claire à destination des visiteurs.
Le design, qui, bien qu’accessoire, constitue une part non négligeable de la vitrine d’un site web et inspire la confiance aux visiteurs, pourrait être amélioré sur le côté graphique afin de rendre l’utilisation de l’outil plus fluide.
En revanche, les cases fonctionnelles sont conformes, car elles permettent d’accepter ou de refuser l’ensemble des cookies ; ou encore de faire le choix de les accepter ou de les refuser un à un.