Cookies RGPD : Le guide complet pour maîtriser vos données

Vous avez forcément déjà rencontré les désormais célèbres cookies. Plus précisément, vous avez déjà cliqué sur les fameuses bannières ou bandeaux cookies qui habillent les sites web et vous invitent à les accepter. Vous avez même du faire la connaissance des cookies wall qui désigne le fait de conditionner l'accès à un site internet à l'acceptation des cookies.

Si vous gérez un site web ou utilisez vous-même des outils d’analyse de comportements utilisateurs, vous profitez même directement des services plus ou moins discrets de cookies et autres traceurs.

Pour bien comprendre leur fonctionnement et les règles qui l’encadrent, revenons sur ce que sont ces petits fichiers déposés par les sites web. Qu’est-ce qu’un cookie ? Comment fonctionnent ces traceurs ? A quoi servent-ils ? Quels sont les droits fondamentaux des utilisateurs à respecter en matière de cookies ?

Qu’est-ce qu’un cookie ?

Les cookies sont de petits fichiers (très légers) déposés directement sur un terminal et associés à un domaine. Autrement dit, ce petit bout de texte est stocké sur votre ordinateur, téléphone ou tablette, par exemple par un site web lors de votre navigation.

Il existe deux types de cookies qui dépendent de qui les gère et donc qui les dépose : il s’agit des cookies tiers “third party” ou cookies internes. A noter que cette différence est surtout technique, mais elle est utile à avoir en tête.

• Les cookies internes sont déposés par le domaine (le site web, en clair) que vous visitez. Ils peuvent être nécessaires au bon fonctionnement du site ou des services demandés ou bien répondre à des enjeux marketing, par exemple ;

• Les cookies tiers sont déposés par des domaines différents, parce qu’ils sont gérés par d’autres prestataires de services. Là encore, il peut s’agir de cookies nécessaires au fonctionnement des services utilisateurs, mais on y retrouve également des cookies d’analyse d’audience ou de comportement utilisateurs gérés par des outils indépendants.

A quoi servent les différents types de cookies ?

On a déjà commencé à en parler : le terme de “cookies” ne renvoie pas à une fonctionnalité mais bien à un type de fichier.

Tous les cookies servent à collecter et sauvegarder des informations sur votre navigation. Par exemple, c’est un cookie qui va déterminer la langue de votre navigateur et donc la langue de la page web à afficher, lorsque le site existe en plusieurs versions. Dans ce cas, il est nécessaire au bon fonctionnement du site.

On peut également retrouver diverses fonctionnalités comme le fait de sauvegarder votre panier sur un site e-commerce, des informations de connexion permettant de garder votre session active, etc.

Ce sont aussi les cookies qui vont permettre de connaître vos habitudes de navigation et donc d’orienter une publicité ciblée adaptée à votre profil pour les marques et les annonceurs.

On le voit : les cookies ont des finalités variées. Or c’est justement en fonction de ces finalités que les règles vont changer, notamment en ce qui concerne l’obligation pour les sites web déposant et activant les cookies de demander ou non le consentement de l’utilisateur concerné.

Quels sont les droits des utilisateurs ?

Quelles sont les règles en matière de cookies sur les sites web ? A cet égard, le RGPD est très clair : en matière de cookies, deux cas sont à distinguer.

Les cookies nécessaires à la bonne exécution du service

Si le dépôt et l’activation des cookies est nécessaire à l’exécution du site web ou du service proposé par l’organisme qui le gère, alors leur dépôt et leur activation ne nécessite pas le recueil préalable du consentement de la personne concernée.

Toute la question est donc de savoir si le cookie considéré au cas par cas est ou non nécessaire à la bonne exécution du service. Ce n’est que si la réponse est positive que vous pouvez déposer ce cookie sans passer par le recueil du consentement.

Les autres cookies

Tous les autres cookies, par exemple ceux qui vont permettre de mener des actions de retargeting en marketing ou encore de recueillir des informations sur vos prospects et visiteurs, ne peuvent être déposés sans autorisation de l’utilisateur.

Insistons : le consentement de l’utilisateur doit être donné avant le dépôt des cookies par le site web.

Pour aller plus loin, précisons que le recueil du consentement des utilisateurs doit répondre aux exigences du RGPD en la matière. Ainsi, le devoir d’information de la personne doit être respecté pour que le consentement puisse être considéré comme éclairé : la personne doit savoir précisément à quoi servent les cookies qui vont être déposés. Il s’agit de la finalité du traitement de données.

De plus, le consentement doit faire l’objet d’une action positive de la personne, comme le fait de cliquer sur un bouton d’acceptation des cookies. Le seul fait de continuer sa navigation sur votre site ne suffit pas à valider le consentement de l’utilisateur.

Enfin, il doit être aussi facile de refuser le dépôt des cookies que de les accepter. Par exemple, la pratique consistant à proposer un gros bouton d’acceptation et un petit texte gris et presque invisible dans un coin pour refuser le dépôt est, bien que répandue, parfaitement prohibée.

Ajoutons enfin que ce consentement doit pouvoir être retiré à tout moment. Pour faciliter cette gestion des préférences de vos utilisateurs, il est conseillé de mettre en place un outil spécifique de gestion du consentement, appelé Consent Management Platform ou centre de préférences, permettant à un utilisateur de modifier les autorisations qu’il a données à votre site web.