News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

RPGD et cookies : quels sont les critères de conformité des cookies ?

La question de la conformité au RGPD des cookies touche un très grand nombre d’entreprises, puisque en pratique, il suffit d’avoir un site internet pour y être confronté. Or la réglementation autour des cookies et autres traceurs évolue rapidement. Pour preuve, nous avons étudié chez Witik les pratiques et la...
cookies

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

La question de la conformité au RGPD des cookies touche un très grand nombre d’entreprises, puisque en pratique, il suffit d’avoir un site internet pour y être confronté. Or la réglementation autour des cookies et autres traceurs évolue rapidement. Pour preuve, nous avons étudié chez Witik les pratiques et la conformité de 50 sites internet et… seulement 2 sites web étaient conformes aux règles du RGPD sur les cookies ! 


Il faut comprendre que cette question touche à la fois les équipes marketing, qui utilisent le site web comme moyen de communication et seront notamment touchés par les pratiques en termes de préférences de communication, et les responsables RGPD au sens large qui sont en charge de la conformité de l’entreprise en général et donc de son site internet. 


Il est donc primordial de bien saisir les nouveautés de la réglementation RGPD des cookies, notamment puisque la fin du délai de clémence de la CNIL sur cette question a eu lieu fin mars 2021. 


Qu’est-ce qui est considéré comme un cookie par la CNIL et le RGPD ? Quels grands principes avoir en tête ? Comment créer une bannière de cookies conforme au RGPD ? 



C’est quoi, en fait, un cookie au sens du RGPD ? 


Cookies et compagnie


On sait globalement ce que sont les cookies. Le RGPD et la CNIL en donnent une définition plus précise qui permet de bien comprendre de quoi on parle, précisément. Les cookies appartiennent à la catégorie plus large des “traceurs” et recouvrent plusieurs outils : 


  • les cookies en tant que tel bien sûr, qu’ils soient cookies HTTP ou cookies dits “flash” ; 
  • les pixels de tracking, comme le fameux pixel Facebook ;
  • le fingerprinting qui n’est donc pas un cookie mais une technique de “prise d’empreinte” numérique permettant d’identifier un utilisateur de façon unique grâce aux caractéristiques techniques de son navigateur ; 
  • Plus largement, tout identifiant permettant de repérer et de traquer un utilisateur. 

En bref, tous ces outils forment une famille qui permettent d’identifier les utilisateurs de votre site web, à des fins d’authentification (par exemple, se “souvenir” du mot de passe de l’utilisateur ou de sa session) ou à des fins marketing, pour faire du marketing ciblé, du retargeting ou des campagnes de prospection email, par exemple. 


Or le RGPD s’applique aux cookies et assimilés et définit ceux pour lesquels le recueil du consentement de l’utilisateur est obligatoire. 


Quels cookies pour quelle obligation ? 


Tous les cookies ne nécessitent pas le consentement préalable des utilisateurs. Plus précisément, certains cookies sont nécessaires à la fourniture du service ou bien au bon affichage du site web. Ceux-là ne nécessitent pas le consentement préalable de l’utilisateur. Mais dès lors que le cookie ne sert pas exclusivement à poursuivre ce type d’objectif, le consentement devient nécessaire. 


On peut citer par exemple les cookies servant à proposer de la publicité personnalisée ou une prospection commerciale ultérieure, ou encore les cookies générés par les boutons de partage des réseaux sociaux. Ceux-là nécessitent bien sûr le consentement des utilisateurs. A l’inverse, des cookies ou traceurs permettant de conserver certaines préférences utilisateurs, comme le choix de la langue ou bien justement leurs choix en matière de cookies, n’ont pas besoin de recueillir le consentement des utilisateurs. 


Une fois qu’on a vu quels cookies étaient concernés par les obligations du RGPD pour les sites internet, penchons-nous sur les principes qui sont protégés par le texte en matière de consentement. 


cookies et RGPD

Les grands principes du RGPD appliqués aux cookies


Ces grands principes du RPGD sur les cookies permettent de mieux comprendre la logique des règles applicables, mais surtout les critères qui vont être observés par la CNIL lors d’un éventuel contrôle. 


  • Le consentement doit être préalable : cela signifie que les cookies qui nécessitent de recueillir le consentement des utilisateurs doivent n’être activés qu’après autorisation et non dès leur arrivée sur le site internet. 

  • Le consentement doit être manifeste : il faut une action positive de la part de l’utilisateur pour accepter l’utilisation des cookies. Par exemple, il ne suffit pas que la personne continue à naviguer sur le site, mais il faut qu’elle clique sur un bouton d’acceptation des cookies. 

  • Le consentement doit être libre et éclairé : cela signifie que l’utilisateur doit être bien informé des cookies utilisés, de leur finalité au sens du RGPD et de leur utilisation. Cette information doit être visible et claire, c’est-à-dire rédigée en termes simples. A noter qu’il est possible (voire conseillé) de prévoir deux niveaux d’information : un premier niveau d’information plus concis au niveau de la bannière de recueil des consentements et un deuxième niveau plus approfondi qui viendra détailler la finalité de l’utilisation des cookies ou des traitements de données réalisés. 

  • Le consentement doit pouvoir être retiré : il doit être aussi simple de retirer son consentement que de le donner, et ce à tout moment de l’utilisation du service ou du site internet. 

Ces grands principes définissent les règles du RGPD sur les cookies. Maintenant, voyons comment les appliquer dans la pratique. 


cookies et site internet

Comment mettre en conformité les cookies sur mon site internet ?


La conformité de votre site internet sur l’usage des cookies passe par le recueil du consentement des utilisateurs. Concrètement, vous devez mettre en place un bandeau d’acceptation des cookies, souvent sous forme de pop-up, qui apparaît à l’arrivée d’un utilisateur sur votre site. Ce bandeau lui permet d’accepter ou de refuser l’usage des cookies, en tout cas pour ceux qui ne sont pas strictement nécessaires à la bonne marche de votre service. 


A noter que les cookie walls, qui sont un type de bandeaux de cookies particuliers, ne sont pas interdits mais doivent répondre à des critères stricts.


Mais il ne suffit pas de prévoir un bandeau : il est intéressant de constater que de nombreux bandeaux de consentement aux cookies sont purement cosmétiques. Les traqueurs sont déjà déposés ou activés avant le consentement de la personne, un refus n’entraîne pas de blocage des cookies… 


Il est important d’avoir un bandeau fonctionnel, et tous les prestataires ne se valent pas. 


Le deuxième axe est celui de l’information. Il est primordial d’informer les utilisateurs sur les cookies réellement utilisés et sur leur finalité. L’utilisateur doit aussi pouvoir choisir d’accepter ou non un cookie ou traceur plutôt qu’un autre. 


Enfin, le choix ne doit pas être biaisé par le design du bandeau. En d’autres termes, il doit être aussi facile pour l’utilisateur de refuser l’utilisation d’un cookie que de l’accepter. Par exemple, il ne faut pas que le bouton refuser soit plus petit que le bouton accepter, ou bien que le refus nécessite une étape de confirmation supplémentaire, etc… 


Pour en savoir plus sur la conformité de votre site internet et de votre politique de cookies au RGPD, nous avons concocté un guide complet et gratuit sur la question.