Cookies et RGPD pour votre site web : que dit la CNIL ?

Bien gérer les cookies de site web pour le RGPD

Cookies et RGPD : nous faisons le point sur la réglementation concernant l’usage des cookies et traceurs par les éditeurs de sites internet. Cet article intéresse donc tous les organismes et entreprises qui possèdent un site internet et utilisent des cookies. Il fait suite à la récente consultation publique lancée par la CNIL sur son projet de recommandation “cookies et traceurs”.

La CNIL (commission nationale de l’informatique et des libertés)

C’est l’organisme chargé de protéger la vie privée des individus. Elle les aide à “maîtriser leurs données personnelles et à exercer leurs droits”. Elle contrôle en outre la bonne application du RGPD par les professionnels en France.

Petit rappel sur les cookies

Ce sont sont des petits fichiers enregistrés par le navigateur sur le disque dur de l’utilisateur qui visite un site internet. Les premiers cookies proviennent de l’éditeur du site lui même. Ils servent surtout à reconnaître l’utilisateur lors de ses prochaines visites. Ainsi, il est possible de personnaliser sa navigation (enregistrement de ses identifiants, de sa langue, de son panier d’achat, etc…). D’autres cookies sont déposés par des acteurs tiers autorisés par l’éditeur du site car ils fournissent un service. On peut citer par exemple : les régies publicitaires, les réseaux sociaux (boutons de partage), les dispositifs de mesure d’audience et d’analyse de trafic (Google Analytics…). Les cookies ont une durée de vie variable, pouvant aller du temps d’une session à plusieurs années.

Le règlement ePrivacy est au point mort

Le règlement ePrivacy a pour but de renforcer la vie privée des utilisateurs en redéfinissant notamment les conditions d’utilisation des cookies et autres métadonnées (adresse IP…). Il doit remplacer la directive 2002/58/CE  “vie privée et communications électroniques” modifiée en 2009, et l’article 32 II de la loi Informatique et Libertés, transposition en droit français de cette même directive.
Le RGPD, entré en vigueur le 25 mai 2018, renforce quant à lui la notion de consentement de l’utilisateur, le voulant libre, spécifique, éclairé et univoque. Le règlement ePrivacy devait entrer en vigueur en même temps que le RGPD pour une bonne harmonisation, avec notamment un alignement des sanctions en cas d’infraction. Mais faute d’accord au niveau européen, son entrée en application n’est pas prévue à court terme.

Lignes directrices “cookies” du 4 juillet 2019

Sans attendre l’adoption future du règlement ePrivacy, la CNIL a publié le 4 juillet 2019 ses lignes directrices. Elles synthétisent le droit applicable en matière de cookies et le mettent en accord avec le RGPD. 

Elles réaffirment des points de la dernière recommandation de 2013 :

  • Lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site visité, les cookies ne peuvent être déposés qu’avec le consentement de l’utilisateur.
  • Les cookies ne doivent pas être activés avant obtention du consentement.
  • L’utilisateur doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte.
  • Le recueil du consentement tout comme son retrait à tout moment doit être rendu possible au moyen d’une solution conviviale et ergonomique.
  • Les cookies de mesure d’audience sont dispensés de consentement à certaines conditions (Article 5).

Auxquels s’ajoutent des nouveautés sur les aspects suivants :

  • Le consentement doit se manifester par le biais d’une action positive. Il n’est plus possible de recueillir le consentement au dépôt de cookies par la simple poursuite de la navigation sur un site. Le seul renvoi vers le paramétrage du navigateur ou la politique de confidentialité n’est pas conforme, tout comme l’utilisation de cases pré-cochées ou l’acceptation globale de conditions générales d’utilisation.
  • Les éditeurs de sites exploitant les cookies doivent être en mesure de démontrer qu’ils ont valablement recueilli le consentement des utilisateurs.

Projet de recommandation “cookies et autres traceurs” du 14 janvier 2020

La CNIL vient de lancer une consultation publique sur son projet de recommandation sur les modalité de recueil du consentement de l’internaute pour l’utilisation de cookies et traceurs. Ce projet vient compléter les lignes directrices en donnant des recommandations pratiques et des exemples concrets. Son objectif est donc d’aider les professionnels à se mettre en conformité avec la réglementation. Ce projet a été élaboré en concertation avec des organisations représentatives des professionnels de l’écosystème de la publicité en ligne et des organisations représentatives de la société civile.

Dans quels délais se mettre en conformité ?

A l’issu de la consultation publique de la CNIL qui se terminera le 25 février 2020, une version définitive de la recommandation sur les modalités de recueil du consentement devrait être adoptée. Débutera alors une période d’adaptation de 6 mois, laissée aux entreprises et autres organismes pour mettre en place les solutions respectueuses des nouvelles règles. Pour le moment, les contrôles de la CNIL se limitent à la bonne application des règles de la recommandation de 2013 qui sont toujours valables dans la nouvelle recommandation. En particulier : recueillir le consentement avant activation des cookies, ne pas bloquer l’accès au site en cas de refus du consentement, et permettre le retrait du consentement de manière aisée.

Nous vous conseillons bien évidemment de ne pas attendre pour mettre en place les nouvelles recommandations sur vos sites et applications web.

Pour plus d’information, retrouvez l’essentiel à savoir sur le RGPD 

Défilement vers le haut