Mauvais usages des cookies : ce qu’il ne faut surtout pas faire
Les cookies sont de petits fichiers texte utilisés par les sites web pour collecter et stocker des informations relatives aux utilisateurs, souvent dans le but d’améliorer leur expérience en ligne. Déposé directement sur le terminal des utilisateurs, leur utilisation abusive peut compromettre la vie privée des utilisateurs et entraîner des conséquences légales importantes, en particulier sous le Règlement Général sur la Protection des Données.
Les Cookies représentent un véritable enjeux de protection des données à caractère personnel pour les organisations et leur Délégué à la Protection des Données, tant ils sont omniprésents et important pour la croissance de ces dernières.
Nos experts consultants RGPD vous confient, dans cet article, 5 mauvaises pratiques à ne surtout pas reproduire avec les cookies sur vos outils ou site web.
1. Utilisation de cookies non nécessaires sans consentement
Tous les cookies ne requièrent pas un consentement explicite. Les cookies nécessaires à la fourniture d’un service de communication en ligne demandé par l’utilisateur, ou ceux qui facilitent la transmission d’informations par voie électronique (comme ceux utilisés pour le bon fonctionnement du site ou la gestion du panier d’achat), peuvent être utilisés sans consentement préalable.
En revanche, les cookies utilisés à des fins de marketing, de suivi ou d’analyse nécessitent un consentement explicite de l’utilisateur. Il est donc crucial pour le responsable du traitement de bien les paramétrer dans son Cookie Management Platform afin qu’ils ne soient pas déposés par défaut dès le chargement de vos pages, mais bien uniquement après que vos utilisateurs les y aient acceptés, sous peine.
2. Utilisation de cookies sans information adéquate
Les utilisateurs doivent être informés de manière transparente sur l’utilisation des cookies et de leurs informations personnelles sur votre site internet. Cela inclut notamment les types de cookies utilisés, les données collectées, les finalités de cette collecte et la durée de conservation des données.
Ne pas fournir cette information de manière claire, accessible et complete peut être considéré comme une violation de la règlementation. Posséder une politique de cookies s’est imposé comme une étape indispensable de la conformité des sites web afin de répondre aux obligations d’information.
3. Recours à des cookies tiers non autorisés
Les cookies tiers, utilisés par des fournisseurs de services externes tels que la publicité ciblée ou les analyses web, nécessitent souvent un consentement spécifique de l’utilisateur.
Il est primordial de bien se renseigner sur les cookies déposés par vos outils tiers, quels sont leur finalités, où seront-ils stockés, combien de temps etc., avant leur implémentation. Intégrer ce genre de cookies sur votre site sans connaître tous les tenants et les aboutissants, et les déposer sur le navigateur de vos utilisateurs sans leur consentement peut avoir de très grave conséquences et constituer une violation du RGPD.
4. Conservation des cookies plus longtemps que nécessaire
Les cookies ne doivent être conservés que pendant la durée nécessaire pour atteindre la finalité pour laquelle ils ont été déposés. Il s’agit d’un véritable enjeu de confiance pour les organisations, dont les utilisateurs, clients et prospects sont de plus en plus attentifs au traitement des cookies.
Évitez de conserver les cookies indéfiniment ou au-delà de la durée nécessaire. Assurez-vous avec votre développeur web de bien limiter leur utilisation dans le temps et documenter chacune de vos actions.
5. Manque de contrôle sur les choix des utilisateurs
Les utilisateurs doivent avoir un contrôle clair sur leurs choix concernant l’utilisation des cookies non-nécessaires. Cela signifie qu’ils doivent pouvoir facilement retirer leur consentement ou ajuster leurs préférences en matière de cookies à tout moment, en utilisant un CMP (Cookie Management Platform) par exemple.
Ne pas prendre en compte ces préférences ou rendre difficile leur gestion est une violation du cadre réglementaire comme indiqué par la Commission Nationale de l’Informatique et Libertés (la CNIL).
