Cookies RGPD : les entreprises se heurtent très souvent à ces 2 sujets juridiques lorsqu’elles créent leur site web.
La CNIL multiple les contrôles des sites internet et n’hésitent pas à sanctionner les entreprises qui ne respectent pas les règles sur les traceurs.
Revenons, dans cet article, sur les principales règles RGPD à connaître en matière de cookies.
Table des matières
Qu'est-ce qu'un cookie et à quoi sert-il ?
Le cookie est un traceur. Il permet d'accéder à des informations présentes dans le terminal d'une personne (par exemple son ordinateur) ou d'inscrire une information dans ce terminal, lorsque la personne navigue sur un site, utilise une application ou encore lorsqu'elle lit un e-mail.
Les cookies sont très souvent utilisés sur les sites internet.
Ils permettent par exemple de mesurer le trafic d'un site, de partager des contenus sur les réseaux sociaux, d'adresser de la publicité ciblée ou encore de personnaliser les contenus du site en fonction des choix de l'internaute.
Lorsqu'un internaute navigue sur un site internet, le traceur permet de collecter ou d'accéder à des informations personnelles le concernant.
Par exemple : l'adresse IP de son ordinateur, le navigateur utilisé, la date et l'heure de connexion, les pages visités sur le site, etc.
Le propriétaire du site internet doit alors respecter la règlementation sur la protection des données personnelles.
Précisons, tout d'abord, que les cookies ne sont pas les seuls traceurs existants. Il en existe d'autres (ex : pixel invisible, fingerprinting, local storage, cookie flash).
Par simplicité, nous utiliserons ici le terme de « cookie » pour viser les différents types de traceurs.
Certains cookies sont internes au site, d'autres sont des cookies tiers placés sur le site par des sociétés tierces (ex : Google analytics).
Généralement, cinq types de cookies peuvent être utilisés sur un site internet :
Les 3 dernières catégories sont la plupart de temps des cookies tiers.
C'est une question épineuse !
L'avocat dirait que la personne la plus à même de connaître la liste des cookies utilisés sur un site internet est celle qui est censée décider sur le sujet, à savoir son propriétaire (avec la collaboration avec le webmaster).
Mais l'expérience montre en réalité que :
Il existe plusieurs solutions sur le marché qui proposent de faire l'inventaire des cookies utilisés. Certaines sont gratuites, d'autres sont payants (ex : cookiebot – cookie check ou encore Built with). Il est cependant difficile de savoir si ces solutions sont fiables à 100 %.
- A l'égard de l'internaute, le choix et la mise en place des cookies relèvent de la responsabilité de l'éditeur du site (son propriétaire).
- Le webmaster ne peut pas décider de mettre des cookies sur un site internet, sans l'instruction claire et écrite de son client.
Quelles sont les principales règles juridiques à connaitre sur les cookies ?
Précisons d'abord quels sont les textes existants avant de présenter une synthèse des règles.
Les textes sur les cookies sont assez nombreux. De plus, ils ne sont pas tous « contraignants » (c'est-à-dire obligatoires). Il n'est donc pas simple de s'y retrouver.
Les règles obligatoires en vigueur à ce jour sont celles prévues aux 2 textes suivants :
Il faut préciser qu'un projet de règlement européen « vie privée et communications électroniques » est actuellement en cours d'élaboration depuis un certain temps (mais on ne sait pas quand il verra le jour).
Dans l'attente de son adoption, la CNIL a adopté des « Lignes directrices» le 17 septembre 2020 pour synthétiser le droit désormais applicable en matière de cookies.
La CNIL formule ainsi des recommandations pratiques sur la manière dont le consentement des internautes doit être donné (bandeau cookies).
L'internaute doit être informé des traceurs utilisés (plus précisément de leur finalité et à qui ils appartiennent) et des moyens de s'y opposer.
C'est le propriétaire du site internet (le responsable de traitement) qui doit informer les internautes.
Quand le cookie est un cookie tiers, le fournisseur de ce cookie tiers doit également informer l'internaute.
Comment informer ?
Les textes ne le précisent pas mais pour des questions de preuve (car c'est le professionnel qui a la charge de la preuve), nous conseillons, sur la base des dernières recommandations de la CNIL de donner cette information à 2 niveaux :
Une fois informé, l'internaute doit donner son consentement préalable et express aux cookies (par type de cookies).
Le consentement est obligatoire sauf pour les cookies nécessaires au site, permettant ou facilitant son fonctionnement.
Autrement dit, retenez que :
tous les cookies utilisés pour mesurer le trafic d'un site (sauf exception), partager des contenus sur les réseaux sociaux, adresser de la publicité ciblée ou encore personnaliser les contenus du site nécessitent l'accord express et préalable des internautes.
L'internaute doit pouvoir changer d'avis et s'opposer aux traceurs aussi facilement qu'il a donné son consentement.
Comment faire en pratique pour informer et obtenir le consentement ?
Nous conseillons, sur la base des recommandations de la CNIL :
Un bandeau cookies
Pour délivrer l'information courte de niveau 1
Une politique sur les cookies
Pour les explications détaillées contenant l'information de niveau 2
Quelles sont les sanctions prévues en cas de non-respect des règles sur les cookies ?
Les sanctions en cas de non-respect des règles sont celles prévues par le RGPD et elles sont importantes !
Il ne faut donc pas sous-estimer la règlementation sur les cookies.
Des sanctions administratives peuvent être prononcées par la CNIL. Ces sanctions peuvent aller jusqu'à :
Quelle solution de conformité utiliser pour les cookies ?
Plusieurs solutions sont possibles, notamment des solutions de Consent Management Platform (CMP), c'est-à-dire des solutions tierces dédiées à la gestion des recueils de choix, proposant un bandeau cookies paramétrable.
Le cabinet NUMETIK AVOCATS propose, en complément d'un bandeau cookies (permettant de délivrer l'information de niveau 1) d'élaborer en ligne et, en quelques clics, une politique sur les cookies adaptée à son site internet grâce à son générateur NumeDoc.
Cette politique permet au propriétaire du site internet de délivrer l'information de niveau 2 sur les cookies, c'est-à-dire l'information détaillée (sur les types de cookies utilisés, leur finalité, sur les droits des personnes concernées, conformément aux exigences du RGPD ; notamment du droit de s'opposer et les moyens de le faire.