RGPD & Cookies : les règles encadrant l’utilisation des cookies

Depuis 2021, la CNIL réalise des contrôles de conformité

La mise en conformité des entreprises en matière d’utilisation des cookies est quelque chose de complexe et le RGPD implique des bouleversements en matière de gestion des cookies.

C’est pour cette raison que la CNIL a accordé une période de tolérance pour donner le temps aux entreprises de comprendre et d’appliquer les changements exigés par le RGPD. 

L’autorité administrative française a d’abord cherché à accompagner les entreprises dans leur changement de culture vis-à-vis des cookies. C’est ce dont témoigne notamment la publication des lignes directrices de la CNIL au sujet des traceurs en 2019 et en 2020.

C’est désormais une époque révolue. La CNIL a annoncé en 2021 la fin de la période de tolérance. Désormais, l’autorité de régulation procède à des contrôles au sein des entreprises.

La conséquence est simple : il n’est plus possible de retarder la mise en conformité RGPD. En cas de manquements aux règles du RGPD, les entreprises fautives encourent une sanction pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Pour en savoir plus, découvrez l’essentiel à savoir sur les contrôles et sanctions de la CNIL.

Voici LA règle essentielle du RGPD concernant les cookies

La règle principale concernant l’utilisation des cookies est simple : les internautes doivent pouvoir contrôler la manière dont sont utilisés les cookies les concernant.

Les sites web qui déposent des cookies pour tracer les internautes, que ce soit à des fins analytiques ou marketing, doivent obligatoirement recueillir leur consentement. 

Matériellement, cela se traduit par les désormais fameuses bannières de cookies que l’on voit sur tous les sites web sérieux.

Signalons pour commencer une contradiction : le terme de “cookies” n’est pas mentionné une seule fois dans le RGPD et pourtant la règle du consentement aux cookies est l’une des mesures les plus visibles et impactantes imposées par le nouveau cadre juridique.

La contradiction n’est qu’apparente. L’un des principaux principes du RGPD est la notion de consentement à la collecte et à l’utilisation des données personnelles. Or, les données collectées grâce aux cookies sont considérées comme des données à caractère personnel (DCP). CQFD. Les cookies entrent pleinement dans le champ d’application du RGPD.

Le consentement, pour être valable, doit être libre, positif, spécifique et éclairé, comme le précise la définition de l’article 4 du règlement RGPD.

Il est donc illégal de déposer un cookie avant d’avoir obtenu le consentement. Concrètement, tout ce que fait un internaute avant de donner son consentement ne peut pas être tracé et enregistré. 

Par ailleurs, les internautes doivent pouvoir retirer ce consentement de manière aussi simple qu’ils l’ont accordé. Pour garantir ce droit des personnes, les sites web doivent donner accès à un centre de gestion des préférences permettant aux internautes de gérer la manière dont sont utilisés les cookies les concernant. L’accès à cette interface de gestion est généralement proposé dans le pied de page des sites.

Quels sont les cookies concernés par le RGPD ?

En vue de quoi utilisez-vous des cookies ? C’est la réponse à cette question qui vous permettra de savoir si les cookies que vous utilisez sont oui ou non concernés par le RGPD.

Le RGPD encadre en effet les cookies qui ont une finalité publicitaire, c’est-à-dire les cookies utilisés pour proposer des publicités personnalisées, ciblées et pour faire du retargeting. En général, ces cookies publicitaires sont des cookies “tiers” installés par les services publicitaires utilisés par l’éditeur du site web : régies, AdTechs…

Le RGPD réglemente également les cookies des réseaux sociaux, par exemple ceux générés lors du clic sur un bouton de partage.

En revanche, les cookies utilisés pour faciliter une communication par voie électronique ou les cookies nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ne sont pas concernés par le RGPD. 

Cela exclut de facto toute une série de cookies dont il serait long de faire la liste. Citons notamment : 

• Les cookies qui servent à conserver les choix exprimés par les internautes dans les bannières de cookies…pour précisément éviter de réafficher le bandeau cookies à chaque nouvelle session. 
• Les cookies qui servent à authentifier l’internaute auprès d’un service ou sur un site internet.
• Les cookies permettant de conserver en mémoire le contenu d’un panier ecommerce.
• Les cookies utilisés pour personnaliser un site web, par exemple pour enregistrer les préférences, en matière de choix de langue par exemple ou les préférences produits.

Certains cookies analytics (= utilisés pour faire des analyses d’audience) sont également exemptés de consentement…sous certaines conditions seulement. Voir à ce sujet la page que nous avons consacrée à la bataille menée par la CNIL contre Google Analytics.

Pour se mettre en conformité avec le RGPD concernant les cookies, la chose essentielle à faire est de mettre en place :

• Un dispositif de collecte du consentement lors de la première visite sur le site web. 
• Un centre de préférences permettant à l’internaute de modifier à tout moment ses choix en matière de cookies ou de retirer son consentement.

Nous allons à présent vous présenter les principales règles à respecter concernant le recueil du consentement.

Le bandeau cookies doit être précis et compréhensible par tous

Le dispositif de collecte prend la forme de ces fameux bandeaux cookies qui s’affichent lorsque l’on arrive sur un site web pour la première fois et qui :

• Informent sur les cookies utilisés.
• Indiquent leur finalité. Pourquoi votre site utilise des cookies ? 
• Précisent l’identité du ou des responsable(s) de traitement.
• Demandent le consentement à l’internaute.

Les textes contenus dans le bandeau cookies doivent être clairs et compréhensibles par tous. Le RGPD et la CNIL exigent que les entreprises fassent preuve de transparence vis-à-vis des internautes. C’est la condition sine qua non pour que le consentement soit donné par l’internaute de manière libre et éclairée.

La CNIL donne un conseil très pertinent. Pour parvenir à être à la fois concis et précis, il est recommandé d’utiliser 2 niveaux d’information :

• Un premier niveau qui décrit brièvement l’objectif des traitements.
• Un deuxième niveau qui entre dans les détails et indique le responsable de chaque traitement.

C’est en effet le meilleur et sans doute le seul moyen de concilier ces deux exigences apparemment inconciliables : la concision et la précision.

Le consentement doit être granulaire

Le consentement doit être granulaire. Un internaute doit pouvoir donner son consentement à certains cookies et en refuser d’autres. Il doit pouvoir “régler” de manière fine son consentement. En clair, les options proposées ne doivent pas se résumer à “tout” ou “rien”.

Le consentement doit être explicite

Depuis 2019, le consentement doit être explicite. En clair, il n’est plus possible de considérer qu’un internaute qui poursuit sa navigation sur le site sans réagir au bandeau cookies a donné son consentement. 

Un consentement obtenu de cette manière, de manière “implicite”, n’est plus valable. L’internaute doit consentir aux cookies de manière “positive”, c’est-à-dire en cliquant sur le bouton “J’accepte”. Le silence ne vaut plus acceptation, mais refus.

C’est d’ailleurs pour cette raison que les bandeaux cookies sont progressivement remplacés par des popin en pleine largeur qui empêchent l’internaute de naviguer sur le site tant qu’il n’a pas donné son consentement.

Le cas particulier des cookie walls

A ce sujet, signalons qu’il existe aujourd’hui encore des débats autour de ce que l’on appelle les “cookie walls”. Ce sont des bandeaux qui ferment l’accès au site internet aux internautes qui refusent de donner leur consentement à l’utilisation des cookies. 

La CNIL a estimé que ces “murs de cookies” n’étaient pas licites, suivant en cela l’avis du Comité européen de la protection des données personnelles (CEPD). Cependant, le Conseil d’Etat a critiqué cette position “dure” de la CNIL dans une décision de juin 2020. Il y a donc toujours des débats autour des “cookie walls”.

“Paramétrer” Vs “Tout refuser”

L’internaute doit avoir la possibilité d’accepter le dépôt et la lecture de cookies, en cliquant sur un bouton “J’accepte” par exemple. Mais il doit aussi avoir la possibilité de refuser. Il faut donc au minimum deux boutons dans un bandeau cookies.

La première possibilité consiste à ajouter un bouton “Paramétrer”,  “Gérer mes cookies” ou encore “Définir mes préférences” à côté du bouton d’acceptation. La CNIL estime que ce n’est pas une bonne pratique. Le bouton “Paramétrer” sert en général à dissuader l’internaute de refuser. Certaines personnes, en effet, n’ont pas envie de perdre leur temps à paramétrer les préférences cookies.

Donc, la bonne pratique consiste à proposer un bouton simple de refus aussi clair et accessible que le bouton d’acceptation. Par exemple, un bouton “Je refuse” ou “Tout refuser”.

Le centre de préférences est aussi une obligation

Un internaute qui a donné son consentement doit pouvoir le retirer à tout moment et facilement. 

En effet, comme l’explique le RGPD : “Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice”.

Pour garantir ce droit, votre site web doit proposer aux internautes une solution permettant de mettre à jour les préférences en matière de cookies.

D’accord, mais comment concrètement mettre mon entreprise en conformité au RGPD concernant les cookies ?

Il y a deux niveaux de réponse à cette question :

• La réponse juridique : nous conseillons généralement de faire appel à un professionnel du droit, à un avocat expert en droit de l’internet ou à un Data Protection Officer (DPO). Les règles encadrant l’utilisation des cookies sont suffisamment complexes et le diable se niche souvent dans de petits détails…qui peuvent avoir de graves conséquences financières. L’expert pourra vous aider à réaliser le diagnostic de l’existant et à construire avec vous un plan de mise en conformité sur-mesure.
• La réponse technique : pour le volet “mise en place technique”, la meilleure solution consiste à déployer une plateforme de gestion des cookies, une “Consent Management Platform”. Ces plateformes (comme Didomi par exemple) permettent de gérer facilement les consentements, d’éditer le bandeau cookies et le centre de préférences. 

Vous connaissez maintenant l’essentiel des règles à respecter en matière de cookies. A vous de jouer !