Cookies RGPD : les entreprises se heurtent très souvent à ces 2 sujets juridiques lorsqu’elles créent leur site web.
La CNIL multiple les contrôles des sites internet et n’hésitent pas à sanctionner les entreprises qui ne respectent pas les règles sur les traceurs.
Revenons, dans cet article, sur les principales règles RGPD à connaître en matière de cookies.
Table des matières
Qu’est-ce qu’un cookie et à quoi sert-il ?
Le cookie est un traceur.
Il permet d’accéder à des informations présentes dans le terminal d’une personne (par exemple son ordinateur) ou d’inscrire une information dans ce terminal, lorsque la personne navigue sur un site, utilise une application ou encore lorsqu’elle lit un e-mail.
Les cookies sont très souvent utilisés sur les sites internet.
Ils permettent par exemple de mesurer le trafic d’un site, de partager des contenus sur les réseaux sociaux, d’adresser de la publicité ciblée ou encore de personnaliser les contenus du site en fonction des choix de l’internaute.
Lorsqu’un internaute navigue sur un site internet, le traceur permet de collecter ou d’accéder à des informations personnelles le concernant.
Par exemple : l’adresse IP de son ordinateur, le navigateur utilisé, la date et l’heure de connexion, les pages visités sur le site, etc.
Le propriétaire du site internet doit alors respecter la règlementation sur la protection des données personnelles.
Précisons, tout d’abord, que les cookies ne sont pas les seuls traceurs existants. Il en existe d’autres (ex : pixel invisible, fingerprinting, local storage, cookie flash).
Par simplicité, nous utiliserons ici le terme de « cookie » pour viser les différents types de traceurs.
Certains cookies sont internes au site, d’autres sont des cookies tiers placés sur le site par des sociétés tierces (ex : Google analytics).
Généralement, cinq types de cookies peuvent être utilisés sur un site internet :
- Les cookies nécessaires au site et ceux qui permettent et facilitent le fonctionnement du site
- Les cookies de personnalisation des contenus du site en fonction de son utilisation
- Les cookies analytiques (pour mesurer l’audience du site)
- Les cookies publicitaires (pour envoyer de la publicité)
- Les cookies de partage sur les réseaux sociaux (pour partager des contenus du site sur les réseaux)
Les 3 dernières catégories sont la plupart de temps des cookies tiers.
C’est une question épineuse !
L’avocat dirait que la personne la plus à même de connaître la liste des cookies utilisés sur un site internet est celle qui est censée décider sur le sujet, à savoir son propriétaire (avec la collaboration avec le webmaster).
Mais l’expérience montre en réalité que :
- peu d’entreprises propriétaires de site internet savent ce qu’est un cookie. Il leur est alors difficile d’avoir une politique claire sur le sujet
- certains cookies sont parfois intégrés par défaut et/ou de manière obscure dans les logiciels utilisés (par exemple dans le noyau WordPress ou encore dans certains plugins), si bien que mêmes les webmasters ne savent pas toujours faire l’inventaire de tous les traceurs existant sur un site internet
- De plus, les traceurs utilisés sur un site peuvent évoluer au fil du temps. Il est donc important d’en vérifier régulièrement la liste.
Il existe plusieurs solutions sur le marché qui proposent de faire l’inventaire des cookies utilisés. Certaines sont gratuites, d’autres sont payants (ex : cookiebot – cookie check ou encore Built with). Il est cependant difficile de savoir si ces solutions sont fiables à 100 %.
Ce qu’il faut en tous les cas retenir à ce stade, c’est que :
- A l’égard de l’internaute, le choix et la mise en place des cookies relèvent de la responsabilité de l’éditeur du site (son propriétaire).
- Le webmaster ne peut pas décider de mettre des cookies sur un site internet, sans l’instruction claire et écrite de son client.
Quelles sont les principales règles juridiques à connaitre sur les cookies ?
Précisons d’abord quels sont les textes existants avant de présenter une synthèse des règles.
Les textes sur les cookies sont assez nombreux. De plus, ils ne sont pas tous « contraignants » (c’est-à-dire obligatoires). Il n’est donc pas simple de s’y retrouver.
Les règles obligatoires en vigueur à ce jour sont celles prévues aux 2 textes suivants :
- celles prévues à l’article 82 de Loi Informatique et Libertés du 6 janvier 1978,
- complétées par celles du RGPD en matière de validité du consentement prévues à l’Article 4.
Il faut préciser qu’un projet de règlement européen « vie privée et communications électroniques » est actuellement en cours d’élaboration depuis un certain temps (mais on ne sait pas quand il verra le jour).
Dans l’attente de son adoption, la CNIL a adopté des « Lignes directrices» le 17 septembre 2020 pour synthétiser le droit désormais applicable en matière de cookies.
La CNIL formule ainsi des recommandations pratiques sur la manière dont le consentement des internautes doit être donné (bandeau cookies).
- REGLE 1 : l’internaute doit être informé des traceurs utilisés (plus précisément de leur finalité et à qui ils appartiennent) et des moyens de s’y opposer.
C’est le propriétaire du site internet (le responsable de traitement) qui doit informer les internautes.
Quand le cookie est un cookie tiers, le fournisseur de ce cookie tiers doit également informer l’internaute.
Comment informer ?
Les textes ne le précisent pas mais pour des questions de preuve (car c’est le professionnel qui a la charge de la preuve), nous conseillons, sur la base des dernières recommandations de la CNIL de donner cette information à 2 niveaux :
-Niveau 1 : de manière courte et synthétique grâce à un bandeau cookie
-Niveau 2 : de manière plus détaillée, grâce à une charte d’utilisation des cookies
- REGLE 2 : une fois informé, l’internaute doit donner son consentement préalable et express aux cookies (par type de cookies).
Le consentement est obligatoire sauf pour les cookies nécessaires au site, permettant ou facilitant son fonctionnement.
Autrement dit, retenez que :
- tous les cookies utilisés pour mesurer le trafic d’un site (sauf exception), partager des contenus sur les réseaux sociaux, adresser de la publicité ciblée ou encore personnaliser les contenus du site nécessitent l’accord express et préalable des internautes.
De plus, la durée de vie d’un cookie ne peut pas, selon la CNIL, dépasser 13 mois.
- REGLE 3 : l’internaute doit pouvoir changer d’avis et s’opposer aux traceurs aussi facilement qu’il a donné son consentement
Comment faire en pratique pour informer et obtenir le consentement ?
Nous conseillons, sur la base des recommandations de la CNIL :
- d’utiliser un bandeau cookies (pour délivrer l’information courte de niveau 1) et
- de renvoyer à une politique sur les cookies pour les explications détaillées (contenant l’information détaillée sur les cookies de niveau 2).
Quelles sont les sanctions prévues en cas de non-respect des règles sur les cookies ?
Les sanctions en cas de non-respect des règles sont celles prévues par le RGPD et elles sont importantes !
Il ne faut donc pas sous-estimer la règlementation sur les cookies.
- Des sanctions administratives peuvent être prononcées par la CNIL.
Ces sanctions peuvent aller jusqu’à :
-10 à 20 M d’euros (pour les personnes physiques)
-2 à 4 % du chiffre d’affaires mondial (pour les sociétés)
- D’autres sanctions civiles et pénales sont également possibles.
Quelle solution de conformité utiliser pour les cookies ?
Plusieurs solutions sont possibles, notamment des solutions de Consent Management Platform (CMP), c’est-à-dire des solutions tierces dédiées à la gestion des recueils de choix, proposant un bandeau cookies paramétrable.
Attention cependant au choix de la solution car elles ne sont pas toutes conformes à la règlementation.
Le cabinet NUMETIK AVOCATS propose, en complément d’un bandeau cookies (permettant de délivrer l’information de niveau 1) d’élaborer en ligne et, en quelques clics, une politique sur les cookies adaptée à son site internet grâce à son générateur NumeDoc.
Cette politique permet au propriétaire du site internet de délivrer l’information de niveau 2 sur les cookies, c’est-à-dire l’information détaillée (sur les types de cookies utilisés, leur finalité, sur les droits des personnes concernées, conformément aux exigences du RGPD ; notamment du droit de s’opposer et les moyens de le faire.