« Cookies » : le point sur la réglementation
Cookies : de quoi parle-t-on ?
Qu’est-ce que sont les « cookies » ? Pour la Commission nationale de l’information et des libertés (Cnil), le terme de « cookies » couvre « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile ».
Un problème ? Les « cookies » permettent donc d’analyser la navigation d’un internaute et ses habitudes afin de lui proposer des publicités ciblées ou des services personnalisés. Il s’agit là d’un traçage portant atteinte à la protection des données personnelles. C’est pourquoi la Loi encadre l’utilisation des « cookies ».
3 obligations légales. Pour que les « cookies » soient actifs sur un site Internet, il est nécessaire :
- que l’internaute soit informé de la finalité des « cookies » ;
- qu’il consente à l’activation des « cookies » ;
- que l’internaute puisse refuser l’activation des « cookies ».
Le saviez-vous ?
La réglementation des « cookies » vaut aussi bien pour les ordinateurs que pour les téléphones, les tablettes et les consoles de jeux connectées à Internet.
Cookies : recueillir le consentement de l’internaute
Qui recueille le consentement ? Recueillir le consentement de l’internaute est une obligation pour le responsable du site Internet, pour l’éditeur de l’application mobile, pour les régies publicitaires, pour les réseaux sociaux, pour les éditeurs de solutions de mesure d’audience, etc. Il doit être en mesure de prouver qu’il a effectivement reçu le consentement de l’internaute.
Comment recueillir le consentement ? Concrètement, le consentement de l’internaute est recueilli via un bandeau qui apparaît sur son écran. Ce bandeau doit informer l’internaute :
- de la finalité précise des « cookies » ;
- de la possibilité de s’opposer à l’activation des « cookies » en modifiant les paramètres ;
Attention ! Le bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (par exemple, en se rendant sur une autre page ou en cliquant sur un onglet du site ou sur une image).
À noter. Le bandeau contient, en général, la mention « en savoir plus » qui renvoie vers des outils d’opposition à l’activation des « cookies ».
Remarque. À défaut de standard de couleur, de design… la CNIL rappelle que l’information délivrée doit en tout état de cause « permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ».
Le saviez-vous ?
L’internaute doit toujours avoir la possibilité de refuser les « cookies ».
Durée du consentement. La durée de validité du consentement donné par un internaute est de 13 mois maximum.
Un consentement obligatoire ? Tous les « cookies » ne nécessitent pas le recueil du consentement de l’internaute. L’internaute doit être en mesure de différencier les « cookies » auxquels il peut s’opposer et ceux qui doivent être impérativement déposés et connaître les conséquences de son opposition sur son confort de navigation.
Cookies nécessitant le recueil du consentement. Voici quelques exemples de « cookies » nécessitant le recueil du consentement de l’internaute :
- les « cookies » liés aux opérations relatives à la publicité ;
- les « cookies des réseaux sociaux » générés par les boutons de partage lorsqu’ils collectent des données personnelles ;
- les « cookies » de mesures d’audience.
Cookies exemptés de consentement. Voici quelques exemples de « cookies » ne nécessitant pas le recueil du consentement de l’internaute :
- les « cookies » identifiant de session ;
- les « cookies » d’authentification ;
- certains « cookies » d’analyse de mesure d’audience, listés par la CNIL ici.
La pratique des « cookie walls ». Cette pratique consiste à conditionner l’accès à un site internet à l’acceptation d’un dépôt de traceur. Pour le moment elle ne peut être considérée comme illicite. Toutefois, cette dernière fait l’objet d’une vigilance au cas par cas en attendant que la réglementation européenne devienne plus précise à ce sujet.
Des critères à respecter. La CNIL précise les critères qui lui permettent d’évaluer la légalité de ces pratiques et les questions qu’elle est amenée à se poser dans le cadre de ses contrôles :
- l’internaute bénéficie-t-il une alternative équivalente lui permettant d’accéder au contenu, s’il refuse l’installation du ou des traceurs ? ;
- le tarif proposé pour accéder au site sans l’installation du traceur est-il raisonnable ? ;
- le traceur est-il limité aux finalités qui permettent une juste rémunération du service proposé ? ;
- lorsque l’utilisateur choisit de payer l’accès, des cookies sont-ils quand même déposés sur son ordinateur ? Si oui, ces traceurs sont-ils utiles pour accéder à un contenu hébergé sur un autre site (vidéos par exemple) et l’éditeur a-t-il récolté le consentement de l’utilisateur ?
Pour la petite histoire. La CNIL a récemment condamné un moteur de recherche pour avoir installé automatiquement des cookies sur les ordinateurs de ses utilisateurs sans obtenir leur consentement et sans les informer de l’utilisation de ces derniers. La société avait 3 mois pour régulariser la situation sinon elle devait payer une amende de 100 000 € par jour de retard.
Rappel du juge. Estimant que la CNIL n’était pas compétente pour lui donner une telle sanction, la société a demandé l’annulation de cette pénalité. Demande que le juge a rejetée en rappelant les attributions de la commission :
- informer les responsables de traitement de données de leurs droits et obligations ;
- veiller à ce que les traitements de données personnelles soient conformes à la réglementation ;
- prononcer les sanctions à l’encontre des responsables de traitements qui ne respectent pas leurs obligations ;
- prononcer une injonction de mise en conformité du traitement avec la réglementation et l’assortir d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard en cas de non-réalisation de cette obligation.
Un contrôle renforcé. Les gestionnaires de sites internet avaient jusqu’au 31 mars 2021 pour se mettre en conformité avec la réglementation sur les cookies et autres traceurs. A cette occasion, la CNIL annonce qu’après avoir privilégié une action d’accompagnement auprès des entreprises elle va désormais réaliser des contrôles pour évaluer l’application de cette réglementation et prononcera, si nécessaire, des sanctions publiques.
Cookies : 2 situations à distinguer !
2 types de situations. Dans le cadre de son activité, la Cnil est amenée à vérifier que les sites Internet respectent la réglementation relative aux « cookies ». Des contrôles qu’elle a effectués, la Cnil a identifié 2 types de situations.
Cas 1. Dans cette 1re situation, l’éditeur du site dépose lui-même les « cookies, ou permet le dépôt de « cookies » par des tiers, afin de traiter des données uniquement pour son compte. Ici, l’éditeur est considéré comme étant responsable du respect des obligations légales relatives aux « cookies ». C’est donc lui qui doit recueillir le consentement de l’internaute. S’il accepte que des tiers déposent des « cookies », ces derniers sont considérés comme des sous-traitants. La Cnil rappelle alors que le contrat liant l’éditeur et le tiers doit préciser que le tiers ne peut pas exploiter les données recueillies pour son propre compte.
Cas 2. Dans cette 2de situation, les données collectées par les « cookies » déposés par les tiers sont exploitées par ces derniers. Ici, c’est donc le tiers qui doit être considéré comme étant tenu par les obligations légales.
Lignes directrices de la CNIL. La Commission nationale de l’informatique et des libertés (CNIL) a publié de nouvelles lignes directrices.
Cookies : de l’importance du design
Le design des cookies. Sachez qu’il existe 3 types de bannières cookies :
- les bannières neutres ;
- les bannières « dark patterns » qui sont volontairement conçues pour tromper ou manipuler l’internaute ;
- les bannières « bright patterns » qui encouragent la réflexion de l’internaute.
Le design étudié. Le Gouvernement a mené une étude pour connaître l’influence du design des cookies sur le choix d’accepter ou non le recueil de données personnelles par le site internet visité. Cette étude montre que les internautes sont globalement réticents à partager leurs données personnelles.
Le design influence le choix des internautes ! Pourtant, les chiffres démontrent que cette réticence ne se traduit pas dans les faits :
- 16 % des internautes refusent l’utilisation des cookies en présence d’une bannière neutre ;
- 4 % des internautes refusent l’utilisation des cookies en présence d’une bannière « dark pattern » ;
- 33 % à 46 % des internautes refusent l’utilisation des cookies en présence d’une bannière « bright pattern » (le taux de refus varien selon le design des « bright patterns »).
Cookies : de l’usage par l’écosystème publicitaire
Pour rappel, la « directive ePrivacy » garantit aux internautes la protection de leurs terminaux (ordinateurs, smartphones, etc.) contre tout accès ou stockage d’information non désiré. Cette protection s’applique notamment aux « cookies tiers », qui sont des cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même.
L’écosystème publicitaire se tourne désormais vers des méthodes alternatives aux « cookies tiers » pour le ciblage publicitaire. Cette évolution a amené le Comité européen de la protection des données (CEPD) à publier des lignes directrices.
À retenir
Pour activer les « cookies », il faut, au préalable, recueillir le consentement de l’internaute. Cette obligation légale prend la forme d’un bandeau qui s’affiche sur son écran. Notez que lorsqu’un tiers active des « cookies » sur un site pour son propre usage, il est considéré comme étant celui qui est tenu par les obligations légales relatives aux « cookies ».
- www.cnil.fr
- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
- Arrêt du Conseil d’Etat, du 6 juin 2018, n° 412589 (l’opposition au dépôt de « cookies » doit être efficace)
- Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs)
- Arrêt du Conseil d’Etat, du 16 octobre 2019, n° 433069
- Arrêt de la Cour de justice de l’Union européenne, du 1er octobre 2019, n° 125/19
- Arrêt du Conseil d’Etat du 19 juin 2020, n°434684
- Actualité de la Cnil du 1er octobre 2020 (CNIL et lignes directrices)
- Arrêt du Conseil d’Etat du 4 mars 2021, n° 449212 (sanction de la CNIL envers un moteur de recherche)
- Communiqué de presse de la CNIL du 2 avril 2021 (rappel de la CNIL, précision sur les « cookie wall » et annonce du renforcement des contrôles)
- Communiqué de presse de la CNIL du 31 mai 2021 (cookies wall et monétisation des données personnelles)
- Communiqué de presse de la CNIL du 16 mai 2022 (cookie walls et critères d’évaluation de leur légalité)
- Publication de la CNIL du 17 janvier 2023 (violation d’une obligation de la loi Informatique et Libertés et sanction de 3 M€)
- Publication de la CNIL du 18 janvier 2023 : « Le CEPD adopte le rapport final de la “task force” dédiée aux bannières cookies (“cookie banner”) »
- Actualité de la CNIL du 15 mai 2023 : « Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action »
- Communiqué de la CNIL du 17 mai 2023 : « Données de santé et utilisation des cookies : DOCTISSIMO sanctionné par une amende de 380 000 euros »
- Rapport du ministère de la Transformation et de la Fonction Publiques du 9 juin 2023 : « La DITP mesure l’impact du design des bannières cookies sur les internautes »
- Publication de la CNIL du 15 juin 2023 : « Voyance en ligne : la société KG COM sanctionnée par une amende de 150 000 euros » (sanction de 150 000 € en raison de la méconnaissance du RGPD)
- Actualité de la CNIL du 17 novembre 2023 : « CEPD : des lignes directrices pour clarifier la notion de « traçage » de la directive ePrivacy »
Pour aller plus loin…
