COOKIES : QUELLES SONT LES REGLES A CONNAITRE ?

 

La plupart des professionnels ayant un site internet utilise des cookies.

Pourtant, selon une étude récente, seuls 11,8% des sites répondraient aux exigences légales (RGPD et Loi Informatique et Libertés).

La CNIL a annoncé qu’elle ferait des contrôles (y compris des contrôles à distance) et qu’elles appliqueraient des sanctions si les sites ne respectaient pas les règles.

Pour aider les entreprises à se mettre en conformité, voici un éclairage sur ce qu’il faut retenir à propos des cookies.

Nous verrons sur cette fiche n°1 :

  • Qu’est-ce qu’un cookie et à quoi il sert
  • Les cookies utilisés sur un site internet
  • Les principales règles juridiques applicables aux cookies
  • Quelles sanctions peuvent être prononcées en cas de non-respect de ces règles
  • La solution intelligente et sécurisée NUMEDOC que notre cabinet d’avocats propose : la charte d’utilisation des cookies

 

1° Qu’est-ce qu’un cookie et à quoi sert-il ?

Le cookie est un traceur.

Il permet d’accéder à des informations présentes dans le terminal d’une personne (par exemple son ordinateur) ou d’inscrire une information dans ce terminal, lorsque la personne navigue sur un site, utilise une application ou encore lorsqu’elle lit un e-mail.

Les cookies sont très souvent utilisés sur les sites internet.

Ils permettent par exemple de mesurer le trafic d’un site, de partager des contenus sur les réseaux sociaux, d’adresser de la publicité ciblée ou encore de personnaliser les contenus du site en fonction des choix de l’internaute.

Lorsqu’un internaute navigue sur un site internet, le traceur permet de collecter ou d’accéder à des informations personnelles le concernant.

Par exemple : l’adresse IP de son ordinateur, le navigateur utilisé, la date et l’heure de connexion, les pages visités sur le site, etc.

Le propriétaire du site internet doit alors respecter la règlementation sur la protection des données personnelles.

 

Quels sont les principaux cookies utilisés sur un site internet ?

Précisons, tout d’abord, que les cookies ne sont pas les seuls traceurs existants. Il en existe d’autres (ex : pixel invisible, fingerprinting, local storage, cookie flash).

Par simplicité, nous utiliserons ici le terme de « cookie » pour viser les différents types de traceurs.

 

Quelles sont les finalités possibles d’un cookie ?

Certains cookies sont internes au site, d’autres sont des cookies tiers placés sur le site par des sociétés tierces (ex : Google analytics).

Généralement, cinq types de cookies peuvent être utilisés sur un site internet :

  • Les cookies nécessaires au site et ceux qui permettent et facilitent le fonctionnement du site
  • Les cookies de personnalisation des contenus du site en fonction de son utilisation
  • Les cookies analytiques (pour mesurer l’audience du site)
  • Les cookies publicitaires (pour envoyer de la publicité)
  • Les cookies de partage sur les réseaux sociaux (pour partager des contenus du site sur les réseaux)

 Les 3 dernières catégories sont la plupart de temps des cookies tiers.

 

Comment connaitre la liste des cookies utilisés sur un site internet ?

C’est une question épineuse !

L’avocat dirait que la personne la plus à même de connaître la liste des cookies utilisés sur un site internet est celle qui est censée décider sur le sujet, à savoir son propriétaire (avec la collaboration avec le webmaster).

Mais l’expérience montre en réalité que :

  • peu d’entreprises propriétaires de site internet savent ce qu’est un cookie. Il leur est alors difficile d’avoir une politique claire sur le sujet
  • certains cookies sont parfois intégrés par défaut et/ou de manière obscure dans les logiciels utilisés (par exemple dans le noyau WordPress ou encore dans certains plugins), si bien que mêmes les webmasters ne savent pas toujours faire l’inventaire de tous les traceurs existant sur un site internet
  • De plus, les traceurs utilisés sur un site peuvent évoluer au fil du temps. Il est donc important d’en vérifier régulièrement la liste.

Il existe plusieurs solutions sur le marché qui proposent de faire l’inventaire des cookies utilisés. Certaines sont gratuites, d’autres sont payants (ex : cookiebotcookie check ou encore Built with). Il est cependant difficile de savoir si ces solutions sont fiables à 100 %.

Ce qu’il faut en tous les cas retenir à ce stade, c’est que :

  1. A l’égard de l’internaute, le choix et la mise en place des cookies relèvent de la responsabilité de l’éditeur du site (son propriétaire).
  2. Le webmaster ne peut pas décider de mettre des cookies sur un site internet, sans l’instruction claire et écrite de son client.

 

3° Quelles sont les principales règles juridiques à connaitre sur les cookies ?

Précisons d’abord quels sont les textes existants avant de présenter une synthèse des règles.

 

Les textes applicables aux cookies

Les textes sur les cookies sont assez nombreux. De plus, ils ne sont pas tous « contraignants » (c’est-à-dire obligatoires). Il n’est donc pas simple de s’y retrouver.

Les règles obligatoires en vigueur à ce jour sont celles prévues aux 2 textes suivants :

Il faut préciser qu’un projet de règlement européen « vie privée et communications électroniques » est actuellement en cours d’élaboration depuis un certain temps (mais on ne sait pas quand il verra le jour).

Dans l’attente de son adoption, la CNIL a adopté des « Lignes directrices » le 4 juillet 2019 pour synthétiser le droit désormais applicable en matière de cookies.

A noter que la CNIL a également publié un projet de délibération très instructif (non encore obligatoire à ce stade).

Ce projet, qui devrait être adopté à l’automne 2020, vise à formuler des recommandations pratiques sur la manière dont le consentement des internautes doit être donné (bandeau cookies).

 

Quelles sont les 2 règles juridiques à retenir sur les cookies ?

  • REGLE 1 : l’internaute doit être informé des traceurs utilisés (plus précisément de leur finalité et à qui ils appartiennent) et des moyens de s’y opposer.

C’est le propriétaire du site internet (le responsable de traitement) qui doit informer les internautes.

Quand le cookie est un cookie tiers, le fournisseur de ce cookie tiers doit également informer l’internaute.

Comment informer ?

Les textes ne le précisent pas mais pour des questions de preuve (car c’est le professionnel qui a la charge de la preuve), nous conseillons, sur la base des dernières recommandations de la CNIL de donner cette information à 2 niveaux :

-Niveau 1 : de manière courte et synthétique grâce à un bandeau cookie

-Niveau 2 : de manière plus détaillée, grâce à une charte d’utilisation des cookies

 

  • REGLE 2 : une fois informé, l’internaute doit donner son consentement préalable et express aux cookies (par type de cookies).

Le consentement est obligatoire sauf pour les cookies nécessaires au site, permettant ou facilitant son fonctionnement.

Autrement dit, retenez que :

  • tous les cookies utilisés pour mesurer le trafic d’un site (sauf exception), partager des contenus sur les réseaux sociaux, adresser de la publicité ciblée ou encore personnaliser les contenus du site nécessitent l’accord express et préalable des internautes.

De plus, la durée de vie d’un cookie ne peut pas, selon la CNIL, dépasser 13 mois.

 

Comment faire en pratique pour informer et obtenir le consentement ?

Nous conseillons, sur la base des dernières recommandations de la CNIL :

  • d’utiliser un bandeau cookies (pour délivrer l’information courte de niveau 1) et
  • de renvoyer à une charte d’utilisation des cookies pour les explications détaillées (contenant l’information détaillée sur les cookies de niveau 2).

 

Pour en savoir plus, nous vous invitons à vous reporter à notre fiche n°2 « Cookies : informer et recueillir le consentement : comment faire en pratique ?

 

4° Quelles sont les sanctions prévues en cas de non-respect des règles sur les cookies ?

Les sanctions en cas de non-respect des règles sont celles prévues par le RGPD et elles sont importantes !

Il ne faut donc pas sous-estimer la règlementation sur les cookies.

  • Des sanctions administratives peuvent être prononcées par la CNIL.

Ces sanctions peuvent aller jusqu’à :

-10 à 20 M d’euros (pour les personnes physiques)

-2 à 4 % du chiffre d’affaires mondial (pour les sociétés)

  • D’autres sanctions civiles et pénales sont également possibles.

 

5° Quelle solution de conformité utiliser pour les cookies ?

Plusieurs solutions sont possibles, notamment des solutions de Consent Management Platform (CMP), c’est-à-dire des solutions tierces dédiées à la gestion des recueils de choix, proposant un bandeau cookies paramétrable.

Attention cependant au choix de la solution car elles ne sont pas toutes conformes à la règlementation.

Le cabinet NUMETIK AVOCATS propose, en complément d’un bandeau cookies (permettant de délivrer l’information de niveau 1) d’élaborer en ligne et, en quelques clics, une charte d’utilisation des cookies adaptée à son site internet grâce à sa solution NUMEDOC.

Cette charte permet au propriétaire du site internet de délivrer l’information de niveau 2 sur les cookies, c’est-à-dire l’information détaillée (sur les types de cookies utilisés, leur finalité, sur les droits des personnes concernées, conformément aux exigences du RGPD ; notamment du droit de s’opposer et les moyens de le faire.

Pour commander la charte d’utilisation des cookies dédiée à votre site internet, rendez-vous sur l’espace NUMEDOC.

 

Pour aller plus loin :

Nos formules au choix

COMMANDE DE LA CHARTE COOKIES

 

  • Vous obtenez un acte juridique rédigé par NUMETIK AVOCATS, personnalisé et adapté à votre activité.

 

 

 

Tarif fixe / acte

180 € HT

Commandez la Charte

COMMANDE DE LA CHARTE COOKIES + ACTE SECURE

  • Vous obtenez un acte juridique rédigé par NUMETIK AVOCATS, personnalisé et adapté à votre activité.
  • Votre document est ensuite relu par NUMETIK AVOCATS (1h).

 

Tarif fixe / acte

270 € HT (180 + 90)

Commandez la Charte + l’Acte Secure

PACK JURIDIQUE DU SITE INTERNET (525 € HT)

  • Vous obtenez à un tarif préférentiel tous les actes juridiques composant le pack.
  • Personnalisés et adaptés à votre activité.
  • Vous pouvez activer l’option de l’Acte Secure pour chaque document.

 

Le pack inclut la Charte des Cookies à un tarif préférentiel (-30%) / acte : 126 € HT au lieu de 180 €

Commandez le pack juridique du site internet