Accueil //Blog //RGPD //Cookies //Cookies RGPD : Comment se mettre en conformité ?
Cookie posé sur un ordinateur portable
Crédits photo : Freepik, fait avec IA

Comment mettre ses cookies en conformité vis-à-vis du RGPD

Dans le cadre de la transformation numérique, les cookies et autres traceurs jouent un rôle central dans la collecte et l’analyse des données des utilisateurs. Toutefois, leur utilisation soulève des enjeux majeurs en matière de protection des données personnelles, encadrée par le Règlement Général sur la Protection des Données et la directive « ePrivacy ».

En effet, les cookies et traceurs sont des fichiers ou technologies permettant de stocker des informations sur le terminal d’un utilisateur ou d’accéder à des informations déjà stockées. Ils sont notamment utilisés à des fins de personnalisation, de mesure d’audience ou de ciblage publicitaire. Il s’agit de données à caractère personnel dont le traitement a un impact direct sur la vie des internautes.

Ainsi, conformément au RGPD et à l’article 82 1 de la loi Informatique et Libertés, leur utilisation est soumise à des exigences strictes qu’il est nécessaire de respecter sous peine de lourdes sanctions.

Découvrez dans cet article quelles sont ces exigences et quels dispositifs mettre en place afin de rendre son utilisation des cookies conforme !

Les obligations du RGPD relatives aux cookies et traceurs

Obtenir un consentement préalable

L’une des pierres angulaires de la réglementation est l’obligation d’obtenir un consentement préalable, libre, éclairé et explicite de l’utilisateur avant de déposer ou de lire des cookies non essentiels sur son terminal. Ce consentement doit notamment être :

  • Libre : l’utilisateur doit avoir un véritable choix, sans pression ou désavantage en cas de refus.
  • Spécifique : le consentement doit être donné pour chaque finalité distincte.
  • Informé : l’utilisateur doit comprendre les conséquences de son choix.
  • Non ambigu : il doit résulter d’une action claire (par exemple, cocher une case).

Faire preuve de transparence dans le traitement des cookies

Les responsables de traitement doivent fournir à l’utilisateur des informations compréhensibles et facilement accessibles sur l’usage des cookies. Cela inclut entre autres les finalités des traceurs, les catégories de données collectées et les destinataires de ces dernières.

Outre les informations à transmettre au visiteur, il faut également prêter une attention particulière à la forme dans laquelle elles sont présentées. Pas question de faire de longs pavés de texte sur plusieurs pages. Il faut présenter l’information d’une manière pertinente et simple à lire afin de ne pas décourager les visiteurs de les parcourir.

Limiter la durée de stockage des informations

Comme tout type de données personnelles traitées, les cookies doivent être soumis à une politique de durée de conservation stricte. Ainsi, selon le RGPD et la directive ePrivacy, les cookies doivent être configurés pour ne pas être conservés plus longtemps que nécessaire pour leur objectif. Une durée typique recommandée est de 13 mois maximum 2 pour les cookies utilisés à des fins de suivi par exemple (comme les cookies analytiques ou publicitaires).

Télécharger le livre blanc

RGPD cookies : Comment se mettre en conformité ?

Faire un audit de ses cookies

L’élaboration d’une stratégie efficace commence par un audit complet des cookies utilisés sur le site web.

Il faut identifier les éléments suivants :

  • Le nom de l’intégralité des cookies utilisés sur le site
  • Les types de cookies (fonctionnels, analytiques, publicitaires)
  • Les finalités des cookies
  • Les durées de conservation
  • Les tiers impliqués dans le traitement des données

Conseils de l’expert

De nombreux outils existent afin de cartographier les cookies déposés par les sites web. Nous vous recommandons d’en utiliser un, ainsi que de faire appel à un expert qui pourra faire une vérification manuelle des résultats dans le but de vous assurer de ne louper aucun des cookies.

Pensez également bien à passer en revue l’ensemble des outils externes que vous auriez pu installer sur votre site internet. Certains outils, comme Google Analytics ou autres outils de mesure d’audience, fonctionnent à travers l’utilisation de cookies qui sont déposés automatiquement à chaque visite sur le site. Une simple ligne de code tiers d’apparence anodine peut amener avec elle de nombreux cookies qu’il peut-être ensuite difficile d’identifier.

Concevoir une bannière de consentement fonctionnelle

La bannière de consentement est l’outil central pour recueillir les choix des utilisateurs. Elle doit respecter les principes suivants :

  • Proposer un bouton « Accepter tout » et « Refuser tout » de manière équivalente
  • Permettre à l’utilisateur de personnaliser ses préférences
  • Afficher les informations essentielles de manière succincte avec un lien vers une politique de cookies détaillée

Conseils de l’expert

L’étape du recueil du consentement peut être assez technique. Faites-vous accompagner d’un développeur ou webmaster afin de vous assurer qu’aucun cookie non-essentiel ne soit déposé avant que l’utilisateur n’ait donné son consentement.

Pensez également à faire évoluer votre bannière. Un site web est vivant. Il est très fréquent d’y ajouter de nouvelles fonctionnalités ou de nouveaux outils, qui peuvent amener de nouveaux cookies avec eux.

Échangez avec votre Data Protection Officer lorsque vous songez à faire évoluer votre site. Challengez les évolutions et vérifiez si ces dernières impliquent l’utilisation de nouveaux cookies ainsi que leur nécessité, auquel cas il faudra faire évoluer votre dispositif.

Gérer et conserver les preuves de consentement

Le RGPD impose de pouvoir démontrer que le consentement a été obtenu conformément aux exigences. Cela implique :

  • La mise en place de systèmes de gestion des consentements (CMP)
  • La conservation des preuves (par exemple, journaux d’acceptation)

Conseils de l’expert

De nombreux outils existent et incluent une interface permettant de gérer les cookies tout en ayant accès à un registre des consentements obtenus sur son site. Comme pour la conception de la bannière des cookies, faites-vous accompagner d’un développeur qui vous permettra de vous assurer qu’aucun cookie non-nécessaire ne soit déposé tant que l’utilisateur n’aura pas donné son consentement.

Respecter les choix des utilisateurs

La stratégie doit inclure des processus permettant à l’utilisateur de retirer son consentement à tout moment et aussi facilement qu’il l’a donné. Cela nécessite également une interface fonctionnelle prenant bien en compte les changements effectués dans le consentement des utilisateurs.

Conseils de l’expert

Ici encore, faites appel à un développeur qui saura s’assurer que le lien entre vos cookies et votre bannière de consentement soit fonctionnel.

Autre point : Pensez à rendre votre bannière de cookies accessible sur l’intégralité des pages de votre site afin de simplifier la tâche à un visiteur qui souhaiterait modifier ou retirer son consentement en cours de navigation.

Quelles sanctions en cas de non-conformité ?

Les sanctions liées à une mauvaise gestion des cookies peuvent être lourdes. La Commission Nationale de l’Informatique et des Libertés a déjà prononcé des amendes significatives à l’encontre d’entreprises ne respectant pas leurs obligations. Ainsi, Yahoo! a été sanctionnée d’une amende de 10 millions d’euros 3 pour non-respect des règles sur les cookies. De plus, plusieurs éditeurs de sites web ont été mis en demeure par la CNIL de modifier leurs bannières cookies jugées trompeuses.

La mise en conformité avec le RGPD en matière de cookies et traceurs n’est pas seulement une obligation légale, mais également une opportunité pour renforcer la confiance des utilisateurs. En adoptant une stratégie de consentement éclairé et respectueuse des droits des personnes, les entreprises peuvent conjuguer conformité réglementaire et amélioration de leur image de marque.

Sources

1 Loi informatique et liberté, Article 82, Légifrance

2 Cookies durée de conservation, CNIL

3 « Cookies : la CNIL sanctionne Yahoo! d’une amende de 10 millions d’euros », CNIL

À lire aussi

visuel-webinar-3-démo-dld

RGPD : et si vous tentiez de digitaliser vos processus ?

Découvrez DLD RGPD, le logiciel RGPD ayant déjà digitalisé la conformité de plus de 10 000 entreprises de toutes tailles et secteur !

Découvrir DLD RGPD