Le dépôt et la lecture de cookies constituent un traitement au sens de la règlementation sur la protection des données personnelles. À ce titre, leur utilisation est strictement règlementée et nécessite le consentement du visiteur.
Dans quels cas le recueil du consentement n’est-il pas obligatoire ?
La CNIL prévoit dans ses lignes directrices, et plus précisément à l’article 5, une exemption à cette obligation : elle ne s’applique pas lorsque les cookies sont strictement nécessaires au fonctionnement du site. Les règles décrites ci-dessous sont donc seulement applicables aux traceurs qui ne font pas l’objet d’une exemption.
Quelles sont les informations à fournir au visiteur ?
Afin de garantir le recueillement d’un consentement éclairé, et donc valable, il est de la responsabilité de l’éditeur d’informer le visiteur sur l’utilisation des cookies. L’information doit être la plus claire, compréhensible et détaillée possible.
Le visiteur devra ainsi être informé dès son arrivée sur le site, de l’identité du responsable de traitement, des types de données collectées (le nom des traceurs doit être explicite) et de la finalité de cette collecte. Le bandeau cookie devra également indiquer à l’utilisateur qu’il a la possibilité de refuser le dépôt, ou de retirer à tout moment son consentement.
Doit-on informer le visiteur du transfert éventuel de données vers un pays n’appartenant pas à l’Union européenne ?
La nécessité de recueillir le consentement est renforcée lorsqu’il existe un transfert de données vers un pays en dehors de l’Union européenne. Les pays étrangers n’offrant pas tous le même niveau de protection de la vie privée que la règlementation européenne, les transferts de données personnelles sont strictement règlementés. Les transferts sont considérés comme légaux sous réserve que l’éditeur du site assure un niveau de protection des données adéquat.
L’existence d’un transfert de données hors UE doit ainsi être mentionnée dans la politique de confidentialité accessible depuis la fenêtre cookie.
Quels choix offrir au visiteur ?
Le consentement du visiteur doit être libre et univoque, il doit donc pouvoir disposer de plusieurs choix. Le bandeau cookie du site internet doit ainsi proposer trois boutons : soit pour accepter tous les cookies, soit tous les refuser, soit pour personnaliser son choix et n’accepter que certains types de cookies. Ces boutons doivent être suffisamment visibles pour permettre au visiteur d’être en mesure de visualiser tous les cookies.
La CNIL souligne qu’il est nécessaire que le design ne soit pas trompeur, en laissant penser à l’utilisateur que son consentement est obligatoire. Les boutons doivent également être identiques, avec une même taille de police d’écriture, afin de ne pas mettre visuellement en valeur l’acceptation plutôt que le refus.
La simple poursuite de la navigation constitue-t-elle une acceptation valide au dépôt de cookies ?
La poursuite de navigation n’est pas jugée comme une acceptation tacite pour l’utilisation de traceurs. Le consentement ne sera valable que si l’utilisateur effectue une action positive. Il doit obligatoirement cliquer sur le bouton d’acceptation pour que le mécanisme de consentement soit conforme.
De même, il ne suffit pas d’utiliser des cases précochées ou de compter sur le silence de l’utilisateur pour considérer le consentement comme valablement recueilli.
Doit-on recueillir le consentement des mineurs ?
Le RGPD prévoit des dispositions spécifiques pour les mineurs. Seul le mineur d’au moins seize ans peut donner valablement son consentement. Le RGPD permettant de faire varier cet âge pour les États membres, cette limite est portée à quinze ans en France.
En dessous de ce seuil, le consentement devra être donné par le représentant légal du mineur.
Doit-on donner la possibilité au visiteur de retirer son consentement ?
Il est nécessaire, pour garantir un consentement libre, que l’utilisateur soit capable de retirer son consentement.
Cette opération doit notamment se faire de manière aussi simple que lorsque l’utilisateur a donné son consentement. L’utilisateur doit ainsi pouvoir retirer son consentement à n’importe quel moment à l’aide d’un lien ou d’un bouton disponible sur toutes les pages du site.
À partir de quel moment peut-on valablement déposer un cookie ?
Le dépôt de cookie ne sera possible qu’à partir du moment où l’utilisateur aura formulé son consentement de façon claire et explicite. Le dépôt d’un cookie dès l’arrivée du visiteur est donc impossible.
Est-il possible de restreindre l’accès à un visiteur ayant refusé le dépôt de cookies ?
La pratique du cookie wall, c’est-à-dire restreindre l’accès du site au visiteur lorsqu’il refuse le dépôt de cookies, est légale. Il est toutefois nécessaire d’informer l’utilisateur sur les conséquences de son choix. La CNIL déconseille cependant cette pratique en rappelant dans ses lignes directrices que cela est susceptible de porter atteinte à la liberté de consentement, condition pourtant essentielle.
Doit-on être en capacité de prouver l’existence du consentement ?
L’article 7.1 du RGPD dispose qu’il est nécessaire de pouvoir prouver l’existence du consentement recueilli.
Cette tâche est de la responsabilité de l’éditeur du site. Ce dernier doit ainsi documenter les conditions de recueil du consentement, dans le but de démontrer que tout a été mis en œuvre pour respecter la règlementation.
Il est également tout à fait possible d’intégrer dans la documentation de l’organisme un registre des consentements.
Quelle est la durée de validité du consentement ?
Le RGPD ne prévoit pas explicitement de durée de validité du consentement. La durée est fixée à la discrétion du responsable de traitement et en fonction de la finalité du traitement.
Les cookies relatifs au consentement de l’utilisateur doivent avoir une durée de conservation de six mois maximum.
Dans le cas où plusieurs traitements de données sont effectués, suffit-il de demander le consentement de l’utilisateur une seule fois ?
Tout en se basant sur le RGPD, la CNIL a précisé dans ses lignes directrices qu’il était impossible de recueillir un consentement unique lorsque différentes opérations de traitements avec des finalités différentes étaient effectuées.
L’éditeur ne doit affecter à chaque cookie qu’une seule et même finalité. Il doit garantir à l’utilisateur la possibilité de donner son consentement de façon spécifique pour chaque finalité. Le site devra donc afficher de nouveau le bandeau cookie pour demander le consentement de l’utilisateur à chaque fois que les finalités de traitements changent.
Comment vérifier que le mécanisme de collecte de consentement mis en place est bien conforme au RGPD ?
Une fois les principes précités appliqués, il peut être intéressant de vérifier que leur implémentation est conforme aux recommandations de la CNIL.
Nous vous recommandons le cabinet Indatable propose la réalisation d’une prestation d’audit RGPD du site internet. Il s’agit d’une simulation d’un contrôle en ligne qui pourrait être opéré par les agents de la CNIL. Ils réalisent cette évaluation dans les mêmes conditions et avec les mêmes outils que ceux utilisés par la CNIL.
Ils contrôlent non seulement la conformité du mécanisme de dépôt de cookies, mais également la collecte de données via les formulaires ou encore l’absence d’accès publics et illégitimes à des données personnelles.
