Nous lançons aujourd’hui une nouvelle série d’articles. Ils suivent nos épisodes d’1 min pour tout comprendre que vous trouverez sur notre page LinkedIn.
1 min pour tout comprendre c’est une courte vidéo dans laquelle nos juristes experts en protection des données personnelles définissent simplement les notions clefs du Règlement général sur la protection des données personnelles (RGPD) et vous donnent des exemples concrets. Suivez-nous pour ne manquer aucune actualité !
Asseyez-vous confortablement avec votre café et un biscuit, on vous explique tout en 5 min ! ?
Qu’est-ce que les cookies ? A quoi servent les cookies ?
Les cookies sont de petits fichiers déposés sur le terminal de l’utilisateur au cours de sa navigation sur un site web ou sur une application.
Les cookies ont plusieurs utilités. Chaque catégorie de cookie a sa propre finalité. Les cookies peuvent par exemple servir à mémoriser le contenu d’un panier sur un site internet marchand, la langue de préférence de l’utilisateur ou encore à établir des statistiques. On distingue les cookies tiers des cookies internes. Les cookies interne sont déposés directement par le site sur lequel l’utilisateur navigue. Les cookies tiers sont déposés par d’autres acteurs (des domaines autres que celui du site sur lequel l’utilisateur navigue) et sont utiles notamment à des fins publicitaires.
Certains cookies sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique, ce sont les cookies fonctionnels et leur dépôt n’est pas soumis au consentement de l’utilisateur. La CNIL a dressé une liste non exhaustive de ces cookies dans ses lignes directrices « Cookies et autres traceurs » de 2020 :
- « Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- Les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
- Les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- Les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- Certains traceurs de mesure d’audience, sous les réserves mentionnées ci-après.
[…] Ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur. Ces traceurs ne doivent notamment pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. De même, ces traceurs doivent uniquement servir à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas non plus nécessaire au fonctionnement du service ».
La CNIL propose l’outil CookieViz afin de visualiser les cookies déposés depuis des domaines tiers lors de la visite d’un site.
Qu’est-ce qu’un bandeau cookie ?
C’est un outil affiché sur une page web permettant à l’utilisateur d’être informé et de paramétrer les cookies. Ce bandeau doit détailler les finalités pour lesquelles les cookies sont utilisés. En complément d’information, il peut renvoyer à la politique cookies du site internet. Ce document permet de compléter les informations données dans le bandeau, la politique cookies informe les utilisateurs sur l’ensemble des cookies utilisés par le site et explique comment les gérer.
Pour les cookies soumis au consentement de l’utilisateur, le bandeau cookies permet de les accepter ou de les refuser.
- Sur le caractère libre du consentement, le considérant 42 du RGPD précise « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». En ce sens, la CNIL considère que les cookie walls sont susceptibles de porter atteinte à la liberté du consentement.
- S’agissant du caractère spécifique du consentement, l’utilisateur doit pouvoir accepter ou refuser (lorsque le dépôt est soumis au consentement) chaque catégorie de cookies de manière indépendante. Les options proposées à l’utilisateur ne doivent pas être générales/globales.
- L’exigence d’un consentement éclairé est remplie dès lors que la personne a été informée, de manière compréhensible c’est-à-dire sans utiliser un vocabulaire trop juridique. D’après les lignes directrices de la CNIL, l’information des personnes en matière de cookies doit contenir à minima :
- L’identité du ou des responsable(s) de traitement des opérations de lecture ou d’écriture,
- La finalité des opérations réalisées grâce aux cookies,
- La manière d’accepter ou de refuser les traceurs,
- Les conséquences qui s’attachent au refus ou à l’acceptation des traceurs,
- L’existence du droit de retirer son consentement.
- Enfin, le caractère univoque du consentement résulte d’une action positive de l’utilisateur. La CNIL considère en ce sens que le simple fait de continuer à naviguer sur le site internet, sans accepter ni refuser les cookies, ne constitue pas un acte positif clair qui peut être assimilé à un consentement. Le silence de l’utilisateur s’apparente plutôt à un refus des cookies.
Dans le cas où le dépôt de cookies est soumis au consentement, la personne a le droit de le retirer. La CNIL rappelle dans ses lignes directrices que retirer son consentement doit être aussi simple que de le donner. L’exercice du droit au retrait du consentement doit être facilité par le biais du bandeau cookies.
Qu’est-ce que les « cookie walls » ou « murs de traceurs » ?
Les données des utilisateurs qui naviguent sur les sites internet et les applications sont souvent monétisées. Leur utilisation n’est pas gratuite, puisque ces données sont utilisées notamment pour faire de la publicité ciblée ou revendre ces bases de données, ce qui génère des revenus. Le fait que l’utilisateur puisse refuser les cookies qui ne sont pas fonctionnels fait donc perdre un avantage financier à l’éditeur du site internet. Ces acteurs cherchent alors un moyen de compenser cette perte.
Les cookie walls consistent à conditionner l’accès au site au dépôt de cookies ou obtenir de l’utilisateur une compensation s’il refuse les cookies. Certains sites ferment l’accès au site si les cookies sont refusés ou demandent une contrepartie financière, on parle alors de pay wall. Les options proposées à l’utilisateur peuvent être par exemple « Tout refuser et payer 2€ pour accéder au site pendant 2 mois » ou « Tout accepter et accéder au site gratuitement ».
Le Conseil d’État a rendu une décision le 19 juin 2020, relative aux lignes directrices de la CNIL de 2019, dans laquelle il aborde le sujet des cookie walls. Il juge que les murs de traceurs ne peuvent pas être interdits de manière générale, sur le fondement de l’exigence d’un consentement libre. La liberté du consentement des personnes doit être appréciée au cas par cas. Il faut notamment tenir compte de « l’existence d’alternative réelle et satisfaisante proposée en cas de refus des cookies ».
La CNIL a publié en 2022 ses premiers critères d’évaluation des cookie walls. Pour synthétiser, elle suit le raisonnement suivant :
- Le site propose-t-il une alternative équitable ?
- Si l’alternative proposée est payante, le tarif est-il raisonnable ?
- Le cookie wall permet-il de distinguer les cookies en fonction de leur finalité ?
- Si l’utilisateur choisit l’accès payant, sans consentir aux cookies, dans quels cas des cookies non soumis au consentement seront déposés ?
Pour résumer, vous devez être attentifs aux points suivants :
- L’ensemble des finalités d’usage liées aux traceurs doit être présenté au visiteur au moment de faire son choix. Pour des raisons de clarté et de concision, cette première description peut être limitée à une brève présentation des objectifs poursuivis par les traceurs ; une description plus détaillée peut être fournie à l’utilisateur dans un second temps.
- Le visiteur doit avoir accès à une liste, régulièrement mise à jour, des responsables du ou des traitements de données accessibles directement ou indirectement (via un lien hypertexte par exemple) sur le premier niveau d’information.
- Le visiteur doit pouvoir consentir aux cookies par un acte positif clair (système de cases à cocher) : le silence ou la simple poursuite de la navigation doit s’interpréter comme un refus.
- Le visiteur doit pouvoir faire un choix par finalité : il est recommandé de permettre au visiteur de donner son consentement de façon indépendante et spécifique pour chaque finalité. Il est possible de proposer à l’utilisateur de consentir de manière globale à un ensemble de finalités, en intégrant, par exemple, des boutons « tout accepter » ou « tout refuser », mais uniquement si l’ensemble des finalités est présenté préalablement.
- Les choix du visiteur doivent, en principe, être conservés durant toute la navigation sur le site. La CNIL recommande que le choix exprimé, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. Une durée de six mois, tant pour le consentement que pour le refus est en général considérée comme appropriée.
- Le visiteur doit pouvoir de revenir sur sa décision à tout moment : il doit avoir la possibilité de retirer son consentement à tout moment, par exemple avec un lien en pied de page ou un autre mécanisme de gestion des cookies, accessible à tout moment sur le service concerné.
- Les personnes doivent pouvoir refuser de donner leur consentement aussi facilement que l’accorder ;
- Les personnes doivent pouvoir retirer leur consentement aussi facilement qu’elles l’ont donné ;
- Les personnes doivent être informées de l’identité des responsables de traitement qui déposent des cookies : la liste contenant l’identité des responsables de traitement doit être mise à leur disposition lors du recueil du consentement et être mise à jour régulièrement ;
- Les responsables de traitements doivent être en mesure de démontrer à la CNIL qu’ils ont recueilli un consentement valide.
Mission RGPD et les cookies
Vous n’avez pas le temps ? Vous êtes perdu ? Vous avez du mal à gérer votre conformité et plus précisément les droits des personnes ?
Avec Mission RGPD vous disposez d’une politique cookies prête à être utilisée ! Il vous suffit de remplir les champs textes identifiés par nos experts et d’ajouter ce document sur votre site internet, c’est simple.
Gérez votre conformité en toute simplicité et sérénité !