Les cookies : quelques jours pour vous mettre en conformité au RGPD !

Conformité RGPD : Depuis quelques semaines, tous les internautes ont pu constater les nombreux mécanismes de recueil de consentement dits aussi « bandeaux cookies », qui sont réapparus lors de leurs visites sur de sites internet. 

Et pour cause : certains organismes ont été invités dernièrement par la CNIL à se mettre en conformité avec ses dernières recommandations en matière de cookies ! 

En réalité, tout organisme privé ou public doit se conformer aux règles relatives à l’utilisation des cookies sur son site internet dans les meilleurs délais et en tout état de cause avant le 31 mars 2021.

1- Qu’est-ce qu’un « Cookie » ? 

Si nous nous référons à la définition donnée par la CNIL sur son site internet, un cookie, aussi appelé traceur, est «  un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web ».

En réalité le cookie poursuit plusieurs finalités listées par la CNIL et dont la liste n’est pas exhaustive :

• Mémorisation d’un identifiant client auprès d’un site marchand ; 
• Contenu courant d’un panier ; 
• Langue d’affichage de la page ; 
• Traçage de la navigation à des fins statistiques et publicitaires. 

Parmi ces utilisations qui sont faites des cookies, certaines sont nécessaires à la navigation sur le site internet, d’autres non (à des fins statistiques ou pour proposer des publicités ciblées par exemple). Ces cookies purement facultatifs ne peuvent être déposés et utilisés qu’avec le consentement préalable et positif de l’utilisateur. 

2- Quelles mesures doivent être mises en place par l’organisme utilisant des cookies ? 

Il faut distinguer les cookies nécessaires à l’utilisation du site internet ou plus généralement du « service de communication en ligne » et ceux dont l’utilisation n’est pas strictement indispensable.

Conformité au RGPD : Sur les cookies nécessaires

Ces traceurs étant nécessaires à l’utilisation du service, le consentement de l’utilisateur n’est pas requis pour l’utilisation et le dépôt du cookie sur le terminal de l’utilisateur. 

Toutefois il est primordial d’informer correctement l’utilisateur sur l’utilisation des cookies.

L’information doit porter sur l’existence des cookies et leur but. Elle peut également avoir pour objet d’expliquer à l’internaute la possibilité de bloquer les cookies dans les paramètres de son navigateur. Le cas échéant, il sera alors opportun de préciser à l’internaute que son expérience sur le site internet risque être troublée par la désactivation des cookies via le navigateur.  

L’information doit comporter également la liste des responsables de traitement des données personnelles. 

Sur la forme, l’information relative aux cookies peut être effectuée sur plusieurs niveaux pour des raisons de lisibilité. 

Ainsi, les principales finalités peuvent être rappelées sur le bandeau cookie et être détaillées dans les mentions légales du site internet ou sur une page dédiée à la gestion des cookies par exemple. 

Conformité au RGPD : Sur les cookies facultatifs 

Outre l’information évoquée ci-avant, l’utilisation de cookies facultatifs ne sera permise qu’avec le consentement de l’internaute. 

Il est donc obligatoire : 

• De recueillir le consentement de l’internaute grâce à un acte non-équivoque et clair : il ne peut s’agir de la simple poursuite sur le site internet par l’internaute. 

Le consentement doit être un acte positif, il ne peut consister en une abstention.

Si des cases sont à cocher pour effectuer son choix par l’internaute, celles-ci ne doivent en aucun cas être pré-cochées. 

• De laisser l’internaute pouvoir refuser les cookies qu’il avait déjà acceptés : le site internet doit permettre à l’internaute d’accéder au lieu où il peut gérer l’utilisation des cookies. 

S’il a par exemple accepté lors de sa première visite sur le site le dépôt d’un cookie à des fins publicitaires, l’internaute doit pouvoir désactiver le cookie ultérieurement et à tout moment.

• D’assurer une simplicité similaire dans les choix que peut effectuer l’internaute : il ne faut pas qu’un choix soit plus facile à effectuer par l’internaute qu’un autre. Ainsi, la CNIL recommande que le « bandeau cookies » comporte deux boutons « tout accepter » ou « tout refuser ». 

Il faut qu’il soit aussi simple d’accepter ou de refuser le recours aux cookies. Cette différence d’accessibilité pourrait en effet guider l’utilisateur vers le choix le plus simple à effectuer et porter atteinte à la protection de l’internaute. 

3- Pourquoi jusqu’au 31 mars 2021 pour se mettre en conformité au RGPD ? 

En juillet 2019, la CNIL a adopté des lignes directrices reprenant les exigences légales posées par le règlement général à la protection des données (RGPD) en matière de gestion des cookies et des autres traceurs. 

Ces lignes directrices ont été soumises au Conseil d’Etat qui a validé ces recommandations sous réserve de quelques ajustements. 

En conséquence, le gendarme des droits et libertés des personnes en matière informatique a mis à jour ses lignes directrices. 

Toujours dans l’optique d’accompagner les différents acteurs concernés, la CNIL a octroyé un « délai » de mise en œuvre de ces nouvelles mesures. Ce délai de six mois a débuté depuis le 17 septembre 2020 pour se terminer le 31 mars 2021. 

Pendant ce délai, des contrôles pourront bien sûr être effectués, mais l’autorité de contrôle sera moins intransigeante à compter du 1^er avril 2021.

Nos équipes d’expert accompagnent tous les organismes à la mise en place de leurs objectifs tout en s’assurant du respect des exigences légales relatives au traitement des données personnelles.