Récapitulatif sur les cookies

Ne vous est-il jamais arrivé de voir sur Internet des publicités très similaires, si ce n’est les mêmes, renvoyant à des recherches que vous aviez effectuées quelques jours plus tôt ? Cela a de quoi surprendre de prime abord.

Lorsque l’on surfe sur le Net, des cookies sont déposés sur notre navigateur. Ce sont des petits fichiers texte inoffensifs et leur cheminement est le suivant : ils sont générés par le serveur du site consulté ; ensuite ils sont envoyés sur notre navigateur Internet qui va pour finir les enregistrer dans le disque dur de notre appareil.
Et il est fort probable que si vous avez un site web, votre entreprise en fasse l’utilisation, plus ou moins soutenue.
Si sur le principe, les cookies ne vous permettent pas d’obtenir des informations contenues dans le disque dur après avoir été déposés sur le navigateur d’un de vos visiteurs, il ne faut pas en négliger l’impact.

Si nous reprenons l’exemple des publicités similaires aux recherches effectuées, il est fort à parier qu’une telle pratique agace au moins une partie de ceux qui la subissent. Et pour cause : c’est une pratique relativement intrusive, qui touche directement à des informations (de navigation / de préférence) que les visiteurs aimeraient sans doute garder confidentielles …

Ainsi, les informations recueillies par ces traceurs peuvent être recoupées, permettant ainsi d’identifier parfois directement, et souvent indirectement l’utilisateur : en somme il s’agit de données personnelles qui ont vocation à être protégées compte tenu des risques que les cookies font peser sur la vie privée de l’utilisateur. De plus, ces données sont susceptibles d’être aussi massives que le nombre de personnes disposant d’un ordinateur et d’un accès à Internet.

C’est en partie pour résoudre cette problématique qu’en mai 2018, avec l’entrée en vigueur du RGPD, le consentement a pris une place prédominante dans le processus de dépôt de cookies : désormais il faut que les visiteurs, avant tout dépôt de cookies et donc de tracking, en ait connaissance et l’ait accepté.

Cependant, le cookie n’est pas expressément visé par le RGPD. C’est pourquoi, afin de renforcer les mesures autour de ce dernier, la CNIL a décidé de publier des lignes directrices qu’un projet de recommandation viendra préciser très prochainement concernant les modalités du consentement.

Recevez nos dernières actualités RGPD par email

Newsletter RGPD

Recommandation Cookies : Qu’est-ce qui change ?

Désormais, avant tout dépôt de cookies, il faudra que l’entreprise s’assure que le visiteur en ait connaissance, qu’il l’ait compris et qu’il l’accepte en toute connaissance de cause.
C’est-à-dire qu’aucun tracking ne pourra être entrepris sans que le visiteur n’ait eu, de lui-même, une action pour l’accepter.

Par exemple, l’utilisation de bandeaux cookies indiquant que « la poursuite de la navigation revient à donner son consentement » est désormais strictement interdite.
Le deuxième changement majeur concerne l’apport de la preuve par le responsable de traitement qu’il dispose d’un consentement licite pour recueillir les données concernées.
Donner un moyen positif au visiteur pour manifester ou non son consentement

L’utilisateur doit avoir un moyen clair et précis d’affirmer son consentement, ou de ne pas l’accorder s’il ne le souhaite pas. L’exemple souvent donné est celui d’une case à cocher.
ATTENTION ! L’opt-out est interdit. C’est bien le consentement qui doit être manifesté, et non le refus. Par défaut, aucun cookie ne doit être déposé sur l’ordinateur de la personne concernée sans qu’il ait par exemple coché une case “J’accepte le dépôt …”

Ne pas influencer le visiteur

Tout moyen d’acceptation ou de refus doit se faire selon les mêmes modalités techniques et être effectif même en cas de refus.

Ainsi, influencer le visiteur en mettant en avant un bouton « Tout accepter » au détriment du bouton « Tout refuser » au niveau du design – en mettant par exemple le premier bouton de manière plus imposante que le second – est interdit.

Informer l’utilisateur le plus tôt possible

Si beaucoup de sites web se contentent d’afficher un court message d’information et de boutons « Tout refuser » et « Tout accepter », la CNIL recommande expressément d’afficher le maximum d’informations avant même que le visiteur n’ait eu l’occasion d’accepter ou de refuser le moindre cookie.Il doit être indispensable que le visiteur ait conscience de ce qu’il accepte lorsqu’il donne son consentement.

Interdire l’accès au site

Une pratique s’est répandue au sein de sites web, consistant au blocage de la navigation sur le site en question tant que le visiteur n’a pas donné son consentement. Cette pratique est elle aussi désormais strictement interdite.

En effet, le web se veut accessible par le plus grand nombre et il serait absolument incohérent de limiter de manière discriminatoire l’accès à un site qui vise tout public, justifié par le fait qu’un internaute n’a pas accepté la politique de dépôt de cookie mis en place.

Le cas particulier des mesures d’audiences

La CNIL a tout à fait conscience que de telles mesures, appliquées trop drastiquement, risquent de porter préjudice plus que de raison aux entreprises.

C’est pourquoi certains types de cookies sont exemptés de consentement.

C’est notamment le cas pour les cookies de mesure d’audience, qui ne sont pas jugés comme trop intrusifs et préjudiciables à la protection de la vie privée.

Ainsi, sous quelques conditions qu’il faut respecter, il vous est possible de ne pas demander le consentement pour pouvoir inclure vos visiteurs dans vos mesures d’audience (sous réserve qu’ils puissent tout de même s’y opposer).

Dans quels cas un cookie est-il exempté de consentement ?

Les limites du projet

S’il est difficile de douter du bien-fondé intrinsèque de la Recommandation en ce qui concerne les libertés individuelles, les mesures envisagées ne sont pas sans poser problème.

Au-delà de la charge technique et organisationnelle supplémentaire qui va peser sur les entreprises, c’est bien l’efficacité du dispositif qui pose question.

Une démarche trop encombrante pour les visiteurs ?

Respecter la recommandation à la lettre revient à alourdir considérablement le parcours de l’utilisateur.
Dans les faits, il faudrait afficher une quantité bien trop importante d’informations pour que ce dernier puisse en prendre pleinement conscience.

Dès lors, imaginer une interface qui satisfasse l’ensemble des besoins juridiques, tout en étant agréable et incitant à donner son consentement, se présage extrêmement compliqué.

En effet, la plupart des internautes s’empresse de fermer tout bandeau informatif afin d’accéder au contenu souhaité le plus rapidement possible, sans donner le moindre consentement.

Il s’agit d’une véritable charge supplémentaire lors de la navigation de l’internaute, qui n’est sans doute pas bloquante lors de la visite d’un site web. Mais qu’en est-il quand il ne s’agit pas de visiter un seul site, mais une dizaine d’affilés ?

Vers une asphyxie des services Marketing & Commerciaux ?

Il est ainsi fort à parier qu’une grande partie des internautes choisira, par défaut, le refus de voir leurs données recueillies par les cookies traitées, sans même en avoir pris conscience, ce qui s’avère problématique pour les entreprises qui verront inévitablement la quantité de données en leur possession s’amoindrir.

Du côté des directions Marketing et Commerciales, il va falloir qu’elles s’adaptent à de grands changements dans leur capacité à analyser la valeur réelle apportée par chaque internaute, et ainsi celle de mesurer le Retour sur Investissement de chaque action entreprise pour générer du Business.

Une recommandation vitale pour les libertés individuelles

Néanmoins, si cette politique en matière de cookies s’avère très stricte dans son exécution, elle n’en reste pas moins légitime et même nécessaire.

Tous les acteurs qui manipulent des données personnelles doivent être responsabilisés et prendre conscience que non seulement les données ne leurs appartiennent pas, mais en plus que les titulaires dont elles découlent doivent être eux-mêmes conscients de l’utilisation qui en est faite ainsi que des droits dont ils disposent pour les garder sous contrôle et ainsi ne pas exposer leur vie privée.

D’autant plus que le scandale et les répercussions sur l’image des entreprises incriminées ne sont jamais loin …
C’est un véritable enjeu de taille pour les services marketing & commerciaux, qui vont devoir redoubler d’ingéniosité afin de continuer à travailler avec un flux de données moins riche.

Ce sera sans doute un moment difficile, par lequel il faudra, quoi qu’il arrive, passer tot ou tard. Il n’est plus question de prendre le respect des libertés individuelles à la légère, pour quelque raison que ce soit.

Le bandeau cookie, qu’est-ce que la CNIL attend de vous ?

  • Informer l’utilisateur avant de déposer les cookies sur les points suivants (les finalités du cookie, l’identité du responsable de traitement, la portée de ce à quoi l’utilisateur consent en acceptant le dépôt des cookies visés)
  • Décrire de manière brève et appropriée les informations précises de chaque cookie
  • Un moyen technique clair permettant l’expression du consentement par l’utilisateur
Interprétation de ce que pourrait être un bandeaux cookies "idéal" selon la recommandation de la CNIL

⇒ Concernant le cookie de mesure d’audience : il s’agit ici d’une interprétation précise du projet de recommandation à venir. Afin de respecter l’ensemble des conditions d’exemption du recueil de consentement tout en informant l’utilisateur et lui permettant de pouvoir refuser le dépôt de ce cookie particulier, une case à cocher en mécanisme d’opt out peut être envisagé.

  • Toutes les informations doivent être facilement accessibles
  • Un moyen permettant de changer d’avis à tout moment concernant le dépôt des cookies et la cessation de leur utilisation
  • Les mécanismes d’acceptation ou de refus doivent être effectifs quelle que soit la volonté exprimée de l’utilisateur