RGPD : les cookies sont-ils cuits ? Zoom sur la réglementation de la CNIL depuis le 1er avril 2021

Si leur nom est principalement utilisé pour désigner des biscuits aux pépites de chocolat, sur le web, leur définition est bien différente !

Apparu au milieu des années 1990, l’objectif des cookies était de garder en mémoire votre comportement en ligne. Aujourd’hui, ils sont utilisés pour faciliter la navigation sur un site web et à des fins publicitaires. Mais qu’est-ce qu’un cookie réellement ?

Les cookies sont des petits fichiers textes envoyés par différents serveurs sur votre appareil (mobile, ordinateur, etc.) lorsque vous naviguez sur le net.

Depuis le 31 mars 2021, les agences et services de communication et marketing doivent être en conformité avec la réglementation de la CNIL (Commission nationale de l’informatique et des libertés de France), relative au cookie.

Alors, que préconise cette nouvelle réglementation ? Comment informer de manière transparente et recueillir le consentement des utilisateurs ? Et comment mettre en place un bandeau cookie réglementaire ?

Deux experts du cabinet Scan avocats : Alexandre Nappey, avocat à la Cour, associé fondateur et Matthieu Mazaré avocat spécialisé en protection des données personnelles, interviennent lors de la 4^e conférence Erepday 2021 pour répondre à toutes nos questions.

Les Cookies, c’est quoi ?

Les cookies sont des traceurs qui sont aptes à lire et à écrire sur tous types de terminaux capables de consulter internet (ordinateurs, smartphones, tablettes, consoles de jeux en ligne, etc.) ainsi qu’à tous les équipements connectés à un réseau de télécommunication ouvert au public.

La loi s’applique à tous les cookies utilisés tels que :

L’exploitation d’un identifiant ;
Les pixels invisibles ;
Les flashs ;
Les fingerprinting (empreinte digitale du terminal) ;
Etc.

La réglementation concerne également l’éditeur du site dans le cas des cookies utilisés à des fins publicitaires : les cookies tiers.

Les cookies tiers, de quoi s’agit-il ?

Les cookies tiers représentent tous les cookies déposés sur un terminal qui ne sont pas générés par l’éditeur du site web ou l’agence en charge du site web, mais par un tiers utilisant la publicité.

Ces cookies collectent des informations marketing telles que l’âge, le sexe, le comportement de l’utilisateur, dans le but d’utiliser de la publicité personnalisée.

Lorsque vous naviguez sur un site web, si les cookies sont vendus à des fins publicitaires ou commerciales, vous verrez apparaître des publicités.

En tant qu’éditeur de site web, vous êtes responsable de la bonne conformité RGPD (Règlement général sur la protection des données de 2016) ; même si les cookies qui sont placés sur le site bénéficient à des tiers.

Le cadre juridique des cookies : comment s’y retrouver ?

Le cadre juridique imposé depuis le 1^er avril 2021 repose sur des lignes directrices de la CNIL, en rapport aux textes applicables RGPD et la directive E-privacy (protection de la vie privée dans le secteur des communications électroniques de 2002).

Elles se traduisent par des recommandations portant sur l’usage de cookies et autres traceurs.

Les éditeurs de site sont tenus d’appliquer ces recommandations. Maître Nappey nous confirme :

« Tout ce qui a été mis en place à partir du 1er avril 2021 sur les cookies qui reposent sur des recommandations de la CNIL doit être considéré comme obligatoire aujourd’hui. »
Alexandre Nappey, Avocat

La CNIL se base sur ses recommandations lorsqu’elles prononcent des sanctions. Lorsqu’il y a un contentieux entre la CNIL et un éditeur de site, le juge compétent est le Conseil d’État.

Pour rappel : le RGPD est un règlement européen. Dès lors, le site internet d’un opérateur non européen visant un public européen est soumis aux réglementations françaises.

Les points clés de la réglementation

Les deux axes stratégiques permettant de sécuriser la mise en conformité sont :

1) La maîtrise de l’information avec :

Le contenu de l’information ;
Le style ;
L’accessibilité ;
La temporalité.

Pour informer l’utilisateur, l’information doit comprendre « l’ensemble des finalités d’usages liées aux traceurs qui doit être présenté à l’utilisateur au moment de faire son choix ».

2) Le recueil du consentement assure aux personnes concernées un contrôle sur leurs données qui leur permet de :

Comprendre le traitement de leurs données ;
Choisir sans contrainte d’accepter ou de refuser ;
Changer d’avis librement.

Maître Mazaré souligne : « Selon le RGPD, le consentement est une manifestation de volonté libre, spécifique, éclairée, univoque. C’est une déclaration ou un acte positif clair ».

Dans la mesure où le consentement doit être libre : il ne faut pas influencer l’acte de l’internaute de donner (ou non) son accord.

Il convient alors d’éviter les darks patterns qui consistent à influencer l’internaute à cliquer sur le bouton d’acceptation.

La CNIL précise : « Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité. »

La mise en conformité des cookies avec le RGPD

Les différents types de bandeaux Cookies

Accepter ou Quitter

Cette solution ne permet pas à l’internaute de configurer ou de refuser les cookies. Ce type de bandeau est obsolète.

Accepter, Personnaliser ou Quitter

Le design du bouton accepter se distingue des deux autres options. Le texte de présentation des cookies est court et n’informe pas suffisamment l’internaute. L’utilisateur accepte ou quitte le site. Il n’a pas la possibilité de refuser.

Tout accepter, Réglages ou Continuer sans accepter

Ce type de bandeau met en évidence les boutons : tout accepter et réglages. L’internaute a la possibilité de continuer sans accepter.

Tout accepter, Paramétrage ou Continuer sans accepter

Tout comme le bandeau n°3, celui-ci permet de continuer sans accepter les cookies. Il présente un contenu informationnel et une nuance au niveau du design : les boutons ont des couleurs différentes.

Accéder au site pour X € sans cookie publicitaire ou Accéder gratuitement en acceptant les cookies

Ce cookie wall est une manière de forcer les internautes à accepter tous les cookies et traceurs – sous peine de ne pas avoir l’accès au site web ou de devoir payer un coût supplémentaire.

« Le démarrage du contrôle à partir du 1er avril 2021 nous permettra de savoir si la CNIL considère certaines de ces solutions conformes. » , explique Maître Mazaré.

Est-ce que tous les cookies sont égaux ?

Tous les cookies ne sont pas soumis au même traitement. Il existe certaines exceptions au recueil du consentement :

Les cookies purement techniques : Ils permettent de faciliter la communication par voie électronique : adaptation du site web au terminal utilisé, changement des données dans un certain ordre, détections des erreurs de transmission, etc. ne sont pas soumis au recueil préalable du consentement.

Les cookies strictement nécessaires à la fourniture d’un service en ligne : Les cookies paniers d’achats, qui permettent une navigation de page en page sur un site e-commerce tout en retenant les produits qui sont sauvegardés, ne sont pas non plus soumis au consentement des utilisateurs.

Les cookies de mesure d’audience : Dans certains cas spécifiques, les cookies de mesure d’audience peuvent ne pas être soumis au consentement de l’internaute s’ils respectent certains critères. Ils doivent être limités à la seule mesure de l’audience, et permettre l’introduction de statistiques anonyme sans suivi global de la navigation de l’internaute. Dans les autres cas, ils sont soumis au recueil du consentement.

Tous les cookies ne sont donc pas soumis au consentement. Toutefois, ils sont tous soumis à l’obligation d’information des personnes.

Dès lors que vous utilisez les cookies sur internet, ils sont stockés sur un terminal de navigation. Vous devez donc informer les utilisateurs sur la liste des cookies déposés.

Pour un cookie de mesure d’audience tel que Google Analytics, il est important de recueillir le consentement au dépôt et à l’utilisation de ce cookie.

Pour recueillir un consentement conforme, vous devez être en mesure de recueillir le consentement de l’internaute pour chaque cookie utilisé sur le site web.

Et c’est précisément à cela que servent les fameux boutons réglages ou personnaliser !

Ces boutons doivent permettre de faire apparaître la liste des cookies soumis au consentement des internautes pour que ces derniers puissent faire leur choix. Nous verrons plus loin comment les intégrer.

Quid des Cookies Walls : Faut-il payer pour accéder à un site web ?

Un cookie wall est un dispositif à l’arrivée sur un site web qui permet de refuser l’accès aux internautes s’ils ne consentent pas aux cookies. C’est un mur qui représente une barrière à l’accès au contenu.

Le pay wall pour accéder au site internet

De plus en plus de sites web pratiquent le « pay wall ». C’est une méthode qui conditionne l’accès à un site web sans cookie – en contrepartie d’une somme ou d’un abonnement mensuel.

La CNIL avait adopté des lignes directrices en 2019 demandant l’interdiction de la pratique des cookies walls. Le Conseil d’État avait invalidé cette interdiction.

Cependant, cette pratique pose de véritables questions sur la notion de consentement. Est-ce un consentement libre ?

C’est sans surprise que les internautes réagissent à l’égard de cette pratique. Sur Twitter de nombreux sites sont remontés par la communauté sur des pratiques « border ».

D’ailleurs, la CNIL est régulièrement interpellée par des utilisateurs qui demandent des informations sur la conformité. Les dispositifs vont être appréciés au cas par cas.

C'est #RGPD friendly ça ? @Marmiton_org (question sérieuse) pic.twitter.com/mBzdk931jq
— Nico (@Nico__dlr) April 25, 2021

Les outils : Comment rendre le bandeau conforme à la nouvelle réglementation ?

En définitive, que devez-vous mettre en place dans une démarche de conformité à la nouvelle réglementation du 1^er avril 2021 ?

Le bandeau d’acceptation des cookies doit obligatoirement :

Informer l’utilisateur ;
Permettre à l’utilisateur de consentir par un acte positif clair ;
Permettre à l’utilisateur de faire un choix par finalité ;
Permettre à l’utilisateur d’exercer ses choix avec le même degré de simplicité ;
Permettre à l’utilisateur de revenir sur sa décision à tout moment.

Aucun cookie ne doit être installé sur le terminal de la personne si l’internaute n’a pas accepté.

Cas n°1 : Navigation sur le site sans choix

Lorsque l’internaute choisit de poursuivre la navigation, il n’a pas choisi spécifiquement d’accepter ou de refuser. C’est pourquoi il convient que le bandeau soit maintenu et qu’aucun cookie ne soit installé sur son terminal.

Ainsi, un bandeau cookie indiquant « En poursuivant votre navigation, vous acceptez l’utilisation de cookies » ne répond pas aux recommandations de la CNIL.

Cas n°2 : Choix global opéré sur le bandeau

Le bandeau présente aussi généralement un choix global. L’utilisateur a le choix d’accepter les cookies ou de refuser tous les cookies.

Le bandeau peut disparaître et les cookies sont utilisés ou non en fonction du choix global de l’internaute : accepter ou refuser.

Cas n°3 : Clic sur le bouton Personnaliser

Enfin, si l’internaute clique sur le bouton personnaliser, il doit avoir la possibilité de personnaliser les cookies.

L’utilisateur voit la liste de tous les cookies et accepte ou non l’utilisation des cookies qui vont être utilisés.

Interdiction de pré cocher des choix

Pour rappel, il est interdit de pré cocher des choix. « La Commission estime qu’une demande de consentement effectuée au moyen de cases à cocher, décochées par défaut, est facilement compréhensible par les utilisateurs. Le responsable du ou des traitements peut également avoir recours à des interrupteurs (« sliders »), désactivés par défaut, si le choix exprimé par les utilisateurs est aisément identifiable. »

Durée de conservation

La CNIL recommande de conserver le choix de l’utilisateur pour une durée de 6 mois (qu’il s’agisse de l’acceptation ou du refus) afin de ne pas le solliciter à nouveau durant un certain temps.

Exemple de bandeau conforme aux nouvelles réglementations

Le bandeau ci-dessous permet d’assurer le recueil du consentement conformément aux recommandations et lignes directrices de la CNIL. (D’autres bandeaux de conformité peuvent être utilisés, tant qu’ils sont conformes aux recommandations en vigueur.)

Bandeau Cookies recommandé par la CNIL — *Bandeau cookies recommandé par la CNIL (source : CNIL)*

Et après : quelle suite pour les cookies ?

Finalement, que ce soient en matière de sanctions ou de mises en conformité, l’image de l’entreprise reste primordiale. Il est préférable de sécuriser votre position par rapport à un contrôle de la CNIL. Comme nous l’avons vu, la mise en conformité n’est pas si compliquée.

Les internautes auront plus tendance à naviguer sur des sites conformes. Et par conséquent, la réputation de chaque acteur – quelle que soit sa taille – est en jeu.

Il convient de suivre cette politique de contrôle et les décisions qui vont être prises de la part de la CNIL durant les prochains mois pour qualifier les bandeaux de conformité.

C’est l’application de cette nouvelle politique et des contrôles de la CNIL qui nous permettront de savoir si les cookies sont cuits ou non… Affaire à suivre !

Pour aller plus loin, téléchargez la Synthèse des contributions de la consultation publique sur le projet de recommandation « cookies et autres traceurs » publié par la CNIL.