Des cookies, des ordis, et la CNIL

loi sur les cookies - Melanie Grospart

Depuis quelques mois on voit apparaitre sur de nombreux sites et blogs des bandeaux informant les utilisateurs de l’utilisation de cookies lors de leur navigation. L’application de la directive européenne dite  » paquet télécom  » rendant désormais obligatoire l’information et le recueil du consentement de l’internaute avant le dépôt et la lecture de cookies, les éditeurs de sites sont tenus de se mettre en conformité avec la loi.

Le souci, c’est que pour se mettre en conformité avec la loi, il faut déjà la comprendre. Et comprendre ce qu’est un cookie.

Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier texte déposé sur le disque dur d’un internaute par le serveur du site sur lequel il navigue. Ce fichier contient plusieurs données : le nom du serveur qui l’a déposé, un identifiant (numéro unique), éventuellement une date d’expiration.

Les cookies ont différentes fonctions, telles que l’enregistrement du choix de la langue d’un site, du contenu d’un panier, de vos comportements dans le cadre de statistiques de trafic, ou encore l’enregistrement de vos « like » et partages afin de vous proposer de la publicité ciblée.

Sauf exceptions, les cookies ne peuvent pas être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement.

Les exceptions :

– cookies de  » panier d’achat  » pour un site marchand ;

– cookies  » identifiants de session « , pour la durée d’une session

– cookies d’authentification de l’internaute ;

– cookies de session créés par un lecteur multimédia ;

– cookies de session d’équilibrage de charge ( » load balancing « ) ;

– cookies persistants de personnalisation de l’interface utilisateur.

 

Quels sont les cookies qui requièrent le consentement préalable des utilisateurs ?

Il s’agit des cookies dits « comportementaux »

– les cookies liés à la publicité ciblée (si votre site affiche des publicités AdSens par exemple)

– les cookies générés par les boutons de partage de réseaux sociaux

– la plupart des cookies de mesure d’audience (Google Analytics par exemple)

 

Les obligations légales 

1. L’utilisateur doit être informé « de manière claire et complète » 

L’éditeur du site est tenu d’informer ses utilisateurs de la dépose de cookies sur leurs machines. Jusqu’à la modification de la loi en France en 2013, cette information préalable se présentait généralement sous la forme d’une clause dans les conditions générales de vente, mentions légales ou les conditions générales d’utilisation des sites internet.

Désormais, l’utilisateur doit être informé de la pose de cookie et de sa fonction, donner son consentement, et avoir la possibilité de s’opposer à cette pose AVANT la pose du cookie. La CNIL considère donc que la simple information dans les CGU ou mentions légales n’est plus suffisante.

Il faut donc informer l’utilisateur et obtenir son consentement dès son arrivée sur le site, et avant toute action, quelle que soit la page par laquelle il arrive.

 

2. Blocage des cookies tant que le consentement n’est pas obtenu

Notamment si vous utilisez Google Analytics ou une autre solution de d’analyse de trafic, il faut mettre en place une solution afin de bloquer les cookies tant que vous n’avez pas obtenu le consentement de l’utilisateur (l’internaute doit également pouvoir revenir sur son consentement et s’opposer ultérieurement à l’utilisation des cookies par un site web).

Il est donc essentiel de prévoir une page (ou une partie de page clairement identifiée) dédiée spécifiquement aux cookies, indiquant leur finalité et proposant des outils et des solutions permettant de s’opposer au dépôt de cookies.

 

3. Le cookie et les données collectées ne peuvent être conservés plus de 13 mois.

À l’expiration de ce délai, le consentement de l’utilisateur devra être de nouveau demandé. Il faut donc prévoir une configuration technique qui paramètre les traceurs en conséquence.

Les obligations légales des éditeurs de site en matière de cookies sont assez laborieuses à mettre en place, et les consignes de la CNIL sont plus ou moins claires (tout le monde n’ayant pas les mêmes compétences techniques notamment). Selon la technologie de votre site, il faudra donc procéder à des adaptations techniques plus ou moins compliquées.

 

Concrètement, qu’est-ce qu’on met en place ?

1. Le bandeau : recueil du consentement préalable des internautes et information :

Il doit mentionner la finalité des cookies déposés (statistiques de trafic, partages sociaux, publicité, etc.) et informer de la possibilité de s’y opposer (via un lien vers une page dédiée du site). Ce bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation, ou qu’il n’a pas cliqué sur « ok ».

Si vous utilisez comme moi WordPress, il existe différents plugins vous permettant de mettre en place ce fameux bandeau, sans aucune difficulté. De mon côté j’ai opté pour Cookie Notice, qui permet entre autre de configurer la durée de vie des cookies, et propose une option pour refuser les fonctions de cookies.

 

2. Page « en savoir plus »

Selon les recommandations de la CNIL, l’internaute doit être informé « de manière claire et complète ». En d’autres termes, il doit être informé de manière simple et lisible (donc en évitant l’utilisation de termes trop techniques) des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.

Il faudra donc lister les cookies qui nécessitent le consentement de l’utilisateur et qui sont déposés par votre site, et indiquer leur finalité dans un souci de clarté et de transparence.

Dans un second temps, vous devez proposer à vos internautes des solutions leur permettant de refuser le dépôt des cookies, idéalement par finalités (publicité, réseaux sociaux, mesure d’audience, etc.).


Deux solutions sont alors préconisées par la CNIL :

– Solution 1 : paramétrage des cookies directement sur le site ou dans l’application (nécessite un minimum de temps et de compétences techniques)

cookies cnil - melanie Grospart, numérique responsable

Exemple de la CNIL

 

Solution 2 : renvoi vers des outils d’oppositions au traçage, (la solution pour laquelle j’ai opté, n’étant pas développeuse), et éventuellement de configuration de navigateurs.

Exemple d’outils qui peuvent être proposés à vos utilisateurs :

– le script proposé par la CNIL pour Google Analytics

– les solutions pour les boutons sociaux proposées par la CNIL (pour sites CMS et non CMS)

– les configurations de navigateurs proposées par la CNIL

– la désactivation du traçage publicitaire proposée par facebook

– S’opposer au traçage publicitaire des grandes sociétés publicitaires

 

En conclusion, à moins d’avoir des compétences et une compréhension techniques suffisamment développées (comme Korben par exemple, merci à lui pour son article très instructif !), il est tout de même compliqué pour tout à chacun de répondre aux exigences techniques de la CNIL, et de proposer des solutions aussi abouties que celle qu’elle propose sur son site.

On peut toutefois trouver des solutions moins laborieuses, en proposant des outils et des solutions simples et pratiques, permettant de s’opposer au dépôt de cookies à ses utilisateurs.

On peut également utiliser des solutions alternatives respectueuses telles que Piwi pour les statistiques de trafic, ou encore n’utilisant pas les boutons de partage social « officiels », mais des plugin type Social Share Privacy.

 

About the Author: Melanie Grospart

1 Comment

Leave A Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.