RGPD Cookies : informer et recueillir le consentement : comment faire en pratique ?

Nombreux sont les sites internet non conformes aux exigences de la CNIL en matière de cookies.

Dans notre première fiche d’information n°1 « Cookies : quelles sont les principales règles à connaître ? », nous vous expliquions ce qu’est un cookie, les types de cookies en général utilisés sur un site, ainsi que les deux règles légales essentielles à retenir.

 

Pour rappel, ces 2 règles sont les suivantes :

REGLE 1 : le propriétaire du site doit informer les internautes qui naviguent sur son site qu’il utilise des cookies.

REGLE 2 : le propriétaire du site doit ensuite obtenir le consentement préalable et express de chaque internaute avant de déposer des cookies.

 

Ces 2 règles à présent rappelées, NUMETIK AVOCATS vous explique concrètement dans cette fiche n°2 :

  • Comment informer les internautes (2 niveaux d’information recommandés par la CNIL) et notre solution de charte cookies NUMEDOC pour délivrer l’information de niveau 2
  • Comment le choix des internautes doit s’opérer à partir du bandeau cookies (information de niveau 1 : j’accepte, je refuse, je ne choisis pas, je change d’avis)
  • Comment conserver la preuve du choix des internautes sur les cookies et la solution NUMEPREUV’ que nous proposons en matière de preuve en ligne

 

1° Comment informer les internautes sur les cookies

L’entrée en application du RGPD a renforcé les conditions du consentement valable. Le consentement doit être « éclairé ».

Cela signifie que l’internaute non informé ou mal informé ne peut pas donner un consentement éclairé.

La qualité de l’information est donc essentielle. C’est elle qui va en bonne partie conditionner le consentement valable donné par une personne.

L’information donnée à l’internaute devra principalement porter sur (i) les finalités des cookies et (ii) l’identité des responsables de ces cookies.

 

Comment faire en pratique pour donner cette information aux internautes ?

Nous conseillons, sur la base des dernières recommandations de la CNIL de donner cette information à 2 niveaux :

 

  • INFORMATION DE NIVEAU 1 : DE MANIERE COURTE ET SYNTHETIQUE

L’utilisation d’un bandeau cookies adapté peut permettre de répondre à cette exigence d’information courte et synthétique.

Exemple d’information courte et synthétique :

« Nous vous informons que ce site utilise des cookies pour afficher de la publicité personnalisée en fonction de votre navigation et de votre profil. Pour en savoir, consultez notre charte d’utilisation des cookies ».

 

  • INFORMATION DE NIVEAU 2 : DE MANIERE PLUS DETAILLEE

Une charte d’utilisation des cookies semble bien adaptée pour donner l’information détaillée de niveau 2.

Un bouton de renvoi vers cette chartesitué à proximité de l’information de niveau 1 permettra à l’internaute d’obtenir, de manière claire et complète toutes les informations détaillées sur les cookies.

Dans cette charte seront notamment expliqués : ce qu’est un cookie et à quoi il sert ; les types de cookies utilisez sur le site ; si des cookies tiers sont utilisés et, le cas échéant, l’identité de ces tiers. La charte rappellera également à l’internaute quels sont ses droits (information, consentement).

Le cabinet NUMETIK AVOCATS vous propose de commander en ligne et en quelques clics, une charte d’utilisation des cookies adaptée au site internet grâce à sa solution NUMEDOC.

 

2° Comment le choix des internautes doit s’opérer sur les cookies ?

Pour rappel, le consentement préalable de l’internaute aux cookies est obligatoire, sauf pour les cookies nécessaires au site, permettant ou facilitant son fonctionnement (j’accepte, je refuse, je ne choisis pas, je change d’avis).

En pratique, les entreprises ont souvent l’habitude d’utiliser une Consent Management Platform (CMP), c’est-à-dire une solution tiers dédiée à la gestion des recueils de choix, et proposant un bandeau cookies paramétrable.

Les cinq principaux fournisseurs de ce type de solutions logicielles sont : Cookiebot, Crownpeak, OneTrust, Quantcast et TrustArc.

Attention cependant au choix du fournisseur de CMP !

Selon une étude publiée en janvier 2020, des chercheurs anglais ont analysé ces plateformes utilisées par les 10 000 sites les plus visités du Royaume-Uni.

Conclusion de l’étude : près de 9 sites sur 10 utilisant ces solutions n’étaient pas conformes aux exigences règlementaires.

 

Le propriétaire du site devra donc être particulièrement vigilant et s’assurer que la solution choisie permet réellement de répondre, tant au plan juridique que technique, aux dernières recommandations de la CNIL :

  • La poursuite de la navigation ne vaut pas consentement. Tant que l’internaute n’a pas été informé et n’a pas donné son consentement express, les cookies ne doivent pas être déposés ou lus sur son terminal.
  • Le consentement doit être demandé pour chaque finalité de cookie (par exemple par un bouton « J’accepte »).
  • L’internaute doit avoir la possibilité de refuser le dépôt de ces cookies (par exemple par un bouton « Je refuse »).
  • L’internaute doit pouvoir retarder son choix et se décider plus tard (par exemple en fermant le bandeau par une croix). Tant que son consentement n’est pas donné, aucun cookie ne doit être déposé.
  • Les cases précochées et les sliders activés par défaut sont à proscrire car le consentement doit être actif.
  • La liste des fournisseurs de cookies tiers doit être donnée au moment du recueil de consentement.
  • L’internaute doit pouvoir changer d’avis et retirer son consentement, à tout moment et, aussi facilement qu’il l’a donné (par exemple en intégrant un module de gestion des cookies accessible depuis toutes les pages du site)
  • Le consentement de l’internaute doit être demandé de nouveau régulièrement (maximum tous les 13 mois, sachant que la CNIL recommande 6 mois).
  • Le choix exprimé par l’internaute (j’accepte, je refuse, je ne choisis pas, je change d’avis) doit être stocké à des fins de preuve.

 

3° Comment prouver le consentement sur les cookies ?

La CNIL demande que le propriétaire du site internet soit en mesure de démontrer qu’il a bien respecter les règles légales sur les cookies.

Concrètement, en cas de contrôle de la CNIL le propriétaire du site devra démontrer deux choses :

  • Que chaque internaute a pu exprimer son choix sur les cookies (j’accepte, je refuse, je ne choisis pas, je change d’avis) ;
  • Que le mécanisme mis en place au moment où ce choix a été fait, répondait bien à toutes les exigences posées par la CNIL (celles vues aux points 1 et 2)

En pratique, cela implique d’avoir recours à un mécanisme de preuve horodatée.

 

Quelle solution de preuve utilisée ?

Voici les propositions de la CNIL en matière de preuve :

  • Une preuve de validité du consentement peut être obtenue par une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile ;

ou

  • Une capture d’écran du rendu visuel affiché sur un terminal mobile ou bureau peut être conservée pour chaque version du site ou de l’application ; ou
  • Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre.

 

Le cabinet NUMETIK AVOCATS propose une solution de preuve en ligne simple et alternative : NUMEPREUV’.

Cette solution permet d’enregistrer très facilement tout type de fichier (image, vidéo, code sources, texte, etc) et de créer une preuve d’antériorité.

NUMEPREUV’ s’utilise comme une enveloppe soleau numérique.

N’hésitez pas à découvrir comment fonctionne NUMEPREUV’.

 

Pour aller plus loin :