Depuis l’entrée en application du RGPD en 2018, la protection des données personnelles est devenue un enjeu majeur pour les entreprises de tous secteurs. Récemment, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné Yahoo pour avoir déposé des cookies sans le consentement préalable des utilisateurs. De nombreux sites Internet ne respectent pas encore les recommandations et lignes directrices de la CNIL en matière de dépôt de cookies. Voici ce qu’il faut savoir.
Les Obligations Fondamentales en Matière de Cookies
La récolte préalable du consentement :
Le consentement des personnes n’a pas besoin d’être récolté lorsque le cookie est strictement nécessaire au bon fonctionnement du site Internet. Dans tous les autres cas (cookies publicitaires, cookies tiers, cookies analytiques, …), les cookies ne peuvent être déposés sans le consentement clair et éclairé de l’utilisateur.
Transparence :
Les utilisateurs doivent être informés de la nature des cookies déployés, de leur finalité (suivre la visite sur un site, autoriser les vidéos Youtube, sauvegarder un panier d’achat, …) et de leur durée de vie. Les explications fournies doivent être aisément accessibles et compréhensibles.
Consentement clair et explicite :
L’utilisateur doit être informé en toute transparence avant de donner ou de refuser son consentement.
L’utilisateur doit consentir au dépôt des cookies par une action positive (cliquer sur une case à cocher autorisant les cookies) plutôt que par une action négative (décocher une case pour interdire les cookies) ou une absence d’action.
Facilité de refus :
Tout comme le consentement, le refus doit être aussi simple à exprimer. Un bouton permettant de rejeter tous les cookies est fortement recommandé.
Erreurs courantes et risques associés
Consentement généralisé
Le fait de présumer le consentement des utilisateurs ou d’employer des cases précochées est non conforme au RGPD et aux publications de la CNIL.
Dépôt de cookies sans consentement
Comme illustré par le cas de Yahoo, déposer des cookies avant d’avoir obtenu un consentement explicite peut entraîner de lourdes sanctions. Seuls les cookies fonctionnels peuvent être déposés directement à la connexion de l’utilisateur sur le site.
Choix de l’intérêt légitime pour les cookies publicitaires
Tout traitement de données doit être mis en œuvre selon l’un des fondements prévus par l’article 6 du RGPD.
L’utilisation de l’intérêt légitime comme fondement pour le dépôt de cookies publicitaires ou analytiques est interdite en France. Demander aux utilisateurs, lors du choix des cookies, de décocher une case autorisant le dépôt des cookies par l’intérêt légitime d’un organisme n’est donc pas permis et expose votre organisme a un risque de sanction.
L’utilisation de cookies walls
La pratique des cookies walls est attentivement surveillée par la CNIL. Elle consiste à offrir le choix aux utilisateurs se connectant à un site d’accepter les cookies présents sur le site ou de souscrire à un abonnement payant pour accéder au contenu publié.
La question nous est fréquemment posée en formation, et nous ne le répèterons jamais assez : oui, cette pratique est bien légale.
Elle est souvent rencontrée lorsque l’éditeur du site tire principalement ses revenus de la publicité associée au contenu qu’il publie.
Attention cependant, la CNIL impose que le montant de la souscription à l’abonnement payant ne soit pas disproportionné par rapport au montant que rapporterait / pourrait rapporter les informations collectées par les cookies.
Meilleures Pratiques et Conformité
Pour assurer que le site Internet est conforme au RGPD, il est conseillé :
- d’opter pour l’utilisation d’une CMP (Consent Management Platform) permettant de gérer finement le consentement des personnes aux cookies ;
- de rédiger une politique de confidentialité, de protection des données, ou une politique de cookies pour votre site Internet ;
- de s’assurer que les informations fournies aux utilisateurs lors de leur connexion, et notamment concernant l’usage des cookies, est claire, lisible, et compréhensible ;
- de faire appel à des outils analytiques permettant la récolte d’informations de manière anonyme (vous êtes alors exemptés de recueillir le consentement des personnes).
La récente sanction de la CNIL contre Yahoo (10 millions d’euros) est un rappel puissant de l’importance du respect des réglementations sur les cookies. Pour éviter de telles conséquences, il est crucial d’adapter les pratiques de votre entreprise.
Vous souhaitez auditer votre site ou bénéficier d’un accompagnement professionnel pour sa mise en conformité ? Contactez nous pour une consultation personnalisée et assurez vous que votre entreprise respecte les dernières exigences en matière de protection des données.