Aller au contenu principal
Gérer mon entreprise
Protéger mon activité

« Cookies » : le point sur la réglementation

Date de mise à jour : 23/11/2023 Date de vérification le : 23/11/2023 15 minutes

Aujourd’hui, de nombreuses entreprises disposent d’un site Internet : dans leur très grande majorité, ils contiennent des « cookies ». Derrière ce mot, il existe une réglementation stricte, qu’il est essentiel de connaître…

Rédigé par l'équipe WebLex.
« Cookies » : le point sur la réglementation

Cookies : de quoi parle-t-on ?

Qu’est-ce que sont les « cookies » ? Pour la Commission nationale de l’information et des libertés (Cnil), le terme de « cookies » couvre « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile ».

Un problème ? Les « cookies » permettent donc d’analyser la navigation d’un internaute et ses habitudes afin de lui proposer des publicités ciblées ou des services personnalisés. Il s’agit là d’un traçage portant atteinte à la protection des données personnelles. C’est pourquoi la Loi encadre l’utilisation des « cookies ».

3 obligations légales. Pour que les « cookies » soient actifs sur un site Internet, il est nécessaire :

  • que l’internaute soit informé de la finalité des « cookies » ;
  • qu’il consente à l’activation des « cookies » ;
  • que l’internaute puisse refuser l’activation des « cookies ».

Le saviez-vous ?

La réglementation des « cookies » vaut aussi bien pour les ordinateurs que pour les téléphones, les tablettes et les consoles de jeux connectées à Internet.


Cookies : recueillir le consentement de l’internaute

Qui recueille le consentement ? Recueillir le consentement de l’internaute est une obligation pour le responsable du site Internet, pour l’éditeur de l’application mobile, pour les régies publicitaires, pour les réseaux sociaux, pour les éditeurs de solutions de mesure d’audience, etc. Il doit être en mesure de prouver qu’il a effectivement reçu le consentement de l’internaute.

Comment recueillir le consentement ? Concrètement, le consentement de l’internaute est recueilli via un bandeau qui apparaît sur son écran. Ce bandeau doit informer l’internaute :

  • de la finalité précise des « cookies » ;
  • de la possibilité de s’opposer à l’activation des « cookies » en modifiant les paramètres ;

Attention ! Le bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (par exemple, en se rendant sur une autre page ou en cliquant sur un onglet du site ou sur une image).

À noter. Le bandeau contient, en général, la mention « en savoir plus » qui renvoie vers des outils d’opposition à l’activation des « cookies ».

Remarque. À défaut de standard de couleur, de design… la CNIL rappelle que l’information délivrée doit en tout état de cause « permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ».

Le saviez-vous ?

L’internaute doit toujours avoir la possibilité de refuser les « cookies ».

Durée du consentement. La durée de validité du consentement donné par un internaute est de 13 mois maximum.

Un consentement obligatoire ? Tous les « cookies » ne nécessitent pas le recueil du consentement de l’internaute. L’internaute doit être en mesure de différencier les « cookies » auxquels il peut s’opposer et ceux qui doivent être impérativement déposés et connaître les conséquences de son opposition sur son confort de navigation.

Cookies nécessitant le recueil du consentement. Voici quelques exemples de « cookies » nécessitant le recueil du consentement de l’internaute :

  • les « cookies » liés aux opérations relatives à la publicité ;
  • les « cookies des réseaux sociaux » générés par les boutons de partage lorsqu’ils collectent des données personnelles ;
  • les « cookies » de mesures d’audience.

Cookies exemptés de consentement. Voici quelques exemples de « cookies » ne nécessitant pas le recueil du consentement de l’internaute :

  • les « cookies » identifiant de session ;
  • les « cookies » d’authentification ;
  • certains « cookies » d’analyse de mesure d’audience, listés par la CNIL ici.

La pratique des « cookie walls ». Cette pratique consiste à conditionner l’accès à un site internet à l’acceptation d’un dépôt de traceur. Pour le moment elle ne peut être considérée comme illicite. Toutefois, cette dernière fait l’objet d’une vigilance au cas par cas en attendant que la réglementation européenne devienne plus précise à ce sujet.

Des critères à respecter. La CNIL précise les critères qui lui permettent d’évaluer la légalité de ces pratiques et les questions qu’elle est amenée à se poser dans le cadre de ses contrôles :

  • l’internaute bénéficie-t-il une alternative équivalente lui permettant d’accéder au contenu, s’il refuse l’installation du ou des traceurs ? ;
  • le tarif proposé pour accéder au site sans l’installation du traceur est-il raisonnable ? ;
  • le traceur est-il limité aux finalités qui permettent une juste rémunération du service proposé ? ;
  • lorsque l’utilisateur choisit de payer l’accès, des cookies sont-ils quand même déposés sur son ordinateur ? Si oui, ces traceurs sont-ils utiles pour accéder à un contenu hébergé sur un autre site (vidéos par exemple) et l’éditeur a-t-il récolté le consentement de l’utilisateur ?

Pour la petite histoire. La CNIL a récemment condamné un moteur de recherche pour avoir installé automatiquement des cookies sur les ordinateurs de ses utilisateurs sans obtenir leur consentement et sans les informer de l’utilisation de ces derniers. La société avait 3 mois pour régulariser la situation sinon elle devait payer une amende de 100 000 € par jour de retard.

Rappel du juge. Estimant que la CNIL n’était pas compétente pour lui donner une telle sanction, la société a demandé l’annulation de cette pénalité. Demande que le juge a rejetée en rappelant les attributions de la commission :

  • informer les responsables de traitement de données de leurs droits et obligations ;
  • veiller à ce que les traitements de données personnelles soient conformes à la réglementation ;
  • prononcer les sanctions à l’encontre des responsables de traitements qui ne respectent pas leurs obligations ;
  • prononcer une injonction de mise en conformité du traitement avec la réglementation et l’assortir d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard en cas de non-réalisation de cette obligation.

Un contrôle renforcé. Les gestionnaires de sites internet avaient jusqu’au 31 mars 2021 pour se mettre en conformité avec la réglementation sur les cookies et autres traceurs. A cette occasion, la CNIL annonce qu’après avoir privilégié une action d’accompagnement auprès des entreprises elle va désormais réaliser des contrôles pour évaluer l’application de cette réglementation et prononcera, si nécessaire, des sanctions publiques.


Cookies : 2 situations à distinguer !

2 types de situations. Dans le cadre de son activité, la Cnil est amenée à vérifier que les sites Internet respectent la réglementation relative aux « cookies ». Des contrôles qu’elle a effectués, la Cnil a identifié 2 types de situations.

Cas 1. Dans cette 1re situation, l’éditeur du site dépose lui-même les « cookies, ou permet le dépôt de « cookies » par des tiers, afin de traiter des données uniquement pour son compte. Ici, l’éditeur est considéré comme étant responsable du respect des obligations légales relatives aux « cookies ». C’est donc lui qui doit recueillir le consentement de l’internaute. S’il accepte que des tiers déposent des « cookies », ces derniers sont considérés comme des sous-traitants. La Cnil rappelle alors que le contrat liant l’éditeur et le tiers doit préciser que le tiers ne peut pas exploiter les données recueillies pour son propre compte.

Cas 2. Dans cette 2de situation, les données collectées par les « cookies » déposés par les tiers sont exploitées par ces derniers. Ici, c’est donc le tiers qui doit être considéré comme étant tenu par les obligations légales.

Lignes directrices de la CNIL. La Commission nationale de l’informatique et des libertés (CNIL) a publié de nouvelles lignes directrices.

 

Cookies : de l’importance du design

Le design des cookies. Sachez qu’il existe 3 types de bannières cookies :

  • les bannières neutres ;
  • les bannières « dark patterns » qui sont volontairement conçues pour tromper ou manipuler l’internaute ;
  • les bannières « bright patterns » qui encouragent la réflexion de l’internaute.

Le design étudié. Le Gouvernement a mené une étude pour connaître l’influence du design des cookies sur le choix d’accepter ou non le recueil de données personnelles par le site internet visité. Cette étude montre que les internautes sont globalement réticents à partager leurs données personnelles. 

Le design influence le choix des internautes ! Pourtant, les chiffres démontrent que cette réticence ne se traduit pas dans les faits :

  • 16 % des internautes refusent l’utilisation des cookies en présence d’une bannière neutre ;
  • 4 % des internautes refusent l’utilisation des cookies en présence d’une bannière « dark pattern » ;
  • 33 % à 46 % des internautes refusent l’utilisation des cookies en présence d’une bannière « bright pattern » (le taux de refus varien selon le design des « bright patterns »).

 

Cookies : de l’usage par l’écosystème publicitaire

Pour rappel, la « directive ePrivacy » garantit aux internautes la protection de leurs terminaux (ordinateurs, smartphones, etc.) contre tout accès ou stockage d’information non désiré. Cette protection s’applique notamment aux « cookies tiers », qui sont des cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même.

L’écosystème publicitaire se tourne désormais vers des méthodes alternatives aux « cookies tiers » pour le ciblage publicitaire. Cette évolution a amené le Comité européen de la protection des données (CEPD) à publier des lignes directrices.
 

À retenir

Pour activer les « cookies », il faut, au préalable, recueillir le consentement de l’internaute. Cette obligation légale prend la forme d’un bandeau qui s’affiche sur son écran. Notez que lorsqu’un tiers active des « cookies » sur un site pour son propre usage, il est considéré comme étant celui qui est tenu par les obligations légales relatives aux « cookies ».
 

Pour un contenu personnalisé, inscrivez-vous gratuitement !
Déjà inscrit ? Connectez-vous
Sources
Voir plus Voir moins
Voir les sources
Une paie juste et optimisée avec l'intégration Lucca et Silae
Abonnez vous à la newsletter
Accéder à WebLexPro
Accéder à WeblexPro