Vous êtes dirigeant d’entreprise et vous êtes désireux de créer votre propre site internet ? Ou alors vous cherchez à l’améliorer ? Le site internet est aujourd’hui un outil indispensable à la vie de toute entreprise et les avantages sont nombreux : vitrine de représentation, vente en ligne, automatisation de tâches, support clients …
En pratique, un outil semble aujourd’hui indispensable au bon fonctionnement de tout site internet : le cookie.
Cookies, tags, pixels ou encore traceurs sont des éléments intrinsèques à tout site. Stockés dans les navigateurs des internautes dès leur connexion sur un site donné, ils permettent de les reconnaître afin notamment de faciliter leur navigation sur le site concerné. Ces outils permettent également de retenir les préférences et habitudes de navigation des utilisateurs et présentent de nombreux avantages pour les éditeurs du site internet mais également pour les régies publicitaires.
Ainsi, le cookie permet par exemple de faciliter et optimiser les visites sur un site, l’utilisateur n’ayant par exemple pas à s'identifier à chaque connexion et pouvant même reprendre son panier d’achat tel qu’il l’avait laissé lors de sa précédente session.
Au-delà du côté fonctionnel, le cookie permet également de mesurer l’audience de fréquentation d’un site internet ou d’afficher de la publicité ciblée basée sur la navigation de l’utilisateur et sur les pages précédemment consultées.
Si les cookies sont donc devenus des outils indispensables au développement économique du web, leur mise en œuvre n’est toutefois pas libre et doit respecter la vie privée des utilisateurs. A ce titre, les règles ont récemment évolué et le délai laissé par la CNIL pour se mettre en conformité à ces nouvelles exigences expire bientôt, à savoir le 31 mars 2021.
Mais alors qu’est-ce qu’un cookie ? Que faut-il faire pour mettre son site en conformité avec les exigences de la loi et de la CNIL ? A quoi sert un Consent Management Plateform (CMP) ? Pourquoi est-il important de se faire accompagner ?
Webinar : (re)visionnez gratuitement le webinar avec l'intervention de Me Znaty et obtenez les réponses sur les nouvelles règles imposées par la CNIL en matière de cookies.
SOMMAIRE :
1/ Un cookie : qu’est-ce que c’est ?
Avant toute chose, il faut bien comprendre ce que recouvre la notion de cookie. Selon le laboratoire d’innovation numérique de la CNIL (la Commission Nationale de l’Informatique et des Libertés), les cookies ou traceurs sont des informations stockées dans les navigateurs internet qui “peuvent permettre de suivre les internautes lors de leur navigation sur le Web par l’intermédiaire d’identifiants uniques”.
Mais alors pourquoi ces traceurs sont-ils aujourd’hui indispensables ? Simplement parce qu’ils contiennent des informations indispensables aussi bien pour les utilisateurs que pour l’éditeur du site web. Il existe en réalité différents « types » de cookies qui ont chacun une utilité bien précise.
Les cookies fonctionnels
Les cookies fonctionnels ont pour objectif premier de permettre à l’internaute une navigation optimale sur un site internet. Ces cookies sont donc souvent liés aux mécanismes d’authentification, de personnalisation ou encore de conservation des choix des utilisateurs sur un site internet.
Par exemple, c’est grâce aux cookies fonctionnels qu’un site apparaît en français pour les utilisateurs se connectant depuis la France tandis qu’il affichera des résultats en anglais pour les connexions depuis l’Angleterre. En outre, si votre panier d’achat est conservé intact même lorsque vous fermez la page Web ou revenez des jours plus tard, c’est également grâce à un cookie fonctionnel qui permet de garder en mémoire votre panier ou votre adresse de livraison pour les prochaines commandes.
Les cookies de mesures d’audience
Pour les éditeurs d’un site internet, les cookies de mesures d’audience permettent de récolter des informations précieuses relatives à la façon dont les visiteurs utilisent le site : Combien de connexions uniques ? A partir de quelles sources ? Quelles sont les pages les plus visitées ? La fréquentation du site augmente-t-elle ? etc.
Ces données sont très importantes car elles permettent à l’entreprise de mesurer la performance de son site internet et de ses campagnes en ligne et par la même optimiser ses techniques d’acquisition.
Les cookies publicitaires
De nos jours, lors de notre navigation en ligne, des publicités toujours plus ciblées fleurissent sur les pages que nous visitons. Et ce n’est pas un hasard. C’est grâce aux cookies publicitaires qui enregistrent des données sur les habitudes de consultation ou de consommation des internautes et qui proposent, en se fondant directement sur ces habitudes, des publicités ciblées.
Grâce à ces cookies, l’internaute va donc pouvoir visualiser des publicités ou cliquer sur des liens sponsorisés qui ont été jugés le plus en adéquation avec son profil et son historique de navigation. Les cookies publicitaires les plus utilisés permettent même aujourd’hui de “mailler” le comportement d’un internaute à travers l’historique de sa navigation sur l’ensemble des sites utilisant ce même cookie et de dresser alors un vrai profil publicitaire de l’internaute via l’attribution d’un identifiant unique de l’internaute.
2/ Utilisation de cookies : information et consentement
La nécessité d’informer et de collecter le consentement de l’internaute au placement de cookies sur son terminal trouve son origine dans la Directive Européenne vie privée et communications électroniques (également appelée « ePrivacy »). Les obligations de cette Directive ont été transposées en droit français au sein de la loi Informatique et Libertés.
L’article 82 de la loi informatique et libertés prévoit en effet une double obligation pour tout éditeur d’un site internet souhaitant utiliser des cookies :
- informer, avant tout placement des cookies, les internautes des finalités des cookies utilisés par le site et des moyens dont ils disposent pour s’y opposer ;
- collecter le consentement des internautes au placement des cookies, sauf si le cookie a pour finalité exclusive de permettre ou faciliter la navigation sur le site internet, ou est strictement nécessaire au fonctionnement du site.
Ainsi, les cookies fonctionnels précédemment évoqués ne nécessitent donc pas de collecter le consentement des internautes. A l’inverse, les cookies publicitaires qui ne sont pas nécessaires au fonctionnement du site nécessitent en revanche un consentement. Il en est de même pour la plupart des cookies de mesures d’audience, sauf pour certains cookies de mesures d’audience répondant à certaines conditions prévues par la CNIL.
Mais alors comment informer les utilisateurs et collecter leur consentement au placement de cookies ? Cette réponse n’est pas si évidente puisque la CNIL a elle-même drastiquement changé ses attentes en la matière. La CNIL a en effet adopté le 1er Octobre 2020 de nouvelles lignes directrices afin d’expliciter ses nouvelles recommandations liées à l’usage des cookies.
Auparavant, il était d’usage de considérer que l’utilisateur avait consenti à l'utilisation de ces cookies dès lors que ce dernier poursuivait sa navigation sur le site en question et ce, après l’affichage d’un bandeau l’informant de l’utilisation de cookies. Les internautes sont en effet aujourd’hui très familiers de la fameuse mention “En poursuivant votre navigation, vous acceptez l’utilisation de cookies”.
Cette collecte tacite du consentement n’est aujourd’hui plus permise par la CNIL, du moins ne le sera plus à compter du 31 mars 2021, date butoir laissée par la CNIL aux éditeurs de site internet pour se mettre en conformité avec ces nouvelles exigences d’information et de collecte du consentement.
L’objectif principal de ces évolutions est de permettre aux internautes d’exercer un contrôle renforcé sur l’utilisation des cookies par les sites qu’ils visitent.
Mais alors, que faut-il faire pour respecter ces nouvelles exigences de la CNIL ? Les éditeurs de site doivent, en substance, communiquer un certain nombre d’informations à l’internaute et ceci avant même que ce dernier ait consenti (ou non) au stockage de cookies sur son terminal.
Pour vérifier que l’information fournie et le consentement recueilli soient biens conformes, il faut notamment vérifier que les points suivants ont bien été respectés :
- l’information de l’utilisateur : ce dernier doit être informé dès sa connexion sur le site de l’ensemble des finalités des cookies utilisés par le site, de l’identité du/des responsable(s) de traitement des cookies utilisés (le responsable de traitement peut selon les cas être l’éditeur du site internet et/ou l’éditeur du cookie concerné) et des conséquences de l’acceptation ou du refus au placement des cookies ;
- le consentement de l’utilisateur : ce consentement doit se faire via un acte positif clair (le simple fait de continuer sa navigation s'apprécie désormais comme un refus). En pratique, la CNIL recommande donc aux entreprises de recueillir ce consentement au moyen de cases que l’utilisateur pourrait cocher ou décocher en fonction de son choix (ces cases ne pouvant être précochées à l’avance) ;
- un consentement à minima par « finalité » : l’internaute doit en effet pouvoir décider de donner son consentement, cookie par cookie, ou à minima au titre de chaque type de cookie utilisé. Il doit donc par exemple pouvoir consentir aux cookies de mesures d’audience mais pouvoir refuser les cookies de nature publicitaire. L’internaute peut toujours décider d’accepter ou refuser de manière globale tous les cookies, mais la possibilité de personnaliser ses choix par cookie ou à minima par finalité doit être permise ;
- un choix qui doit pouvoir se faire simplement : par la présentation de boutons permettant à l’internaute soit de « tout accepter » soit de « tout refuser » ou « personnaliser ses choix ». Attention, les boutons ou cases servant au refus de cookies doivent être aussi visibles que les boutons permettant de collecter l’acceptation aux cookies ;
- l’utilisateur doit conserver la possibilité de modifier ou retirer son consentement à tout moment.
En pratique, il faudra donc insérer sur le site de votre entreprise un bandeau à l’affichage contenant tous les éléments énoncés ci-dessus et garantissant que l’information délivrée et le consentement de l’utilisateur en résultant est éclairé et donc valide.
La CNIL propose dans ses lignes directrices plusieurs exemples de bandeaux permettant d’informer et recueillir correctement le consentement de l’utilisateur.
Enfin, notez que ces obligations s’appliquent à tous. La CNIL n’a d’ailleurs pas hésité à sanctionner récemment très sévèrement deux géants du numériques, Google et Amazon, à des amendes respectives de 100 et 35 millions d’euros pour avoir tous deux déposés, sans le consentement préalable des utilisateurs et sans avoir fourni des informations satisfaisantes, des cookies publicitaires sur leurs appareils.
3/ Plateforme de gestion de consentements (CMP) : un outil aujourd’hui indispensable
Les règles applicables à l’utilisation de cookies présentent des difficultés à la fois d’ordre juridique mais également d’ordre technique pour l’éditeur du site internet. Comment peut-on de manière très concrète offrir la possibilité aux internautes de refuser un cookie mais d’en accepter un autre ? Comment retenir les choix des utilisateurs pour ne pas les obliger à refuser ou accepter à nouveau les cookies à chaque nouvelle connexion ?
A cet égard, il est aujourd’hui fortement recommandé d’utiliser ce que l’on appelle un “CMP” ou Consent Management Plateform (plateforme de gestion des consentements).
Cet outil de gestion des consentements aux cookies est un logiciel directement intégré au site web et permettant de garantir la confidentialité ainsi que la qualité du consentement donné par les internautes au placement des cookies.
L’avantage de ces plateformes est double. Pour les entreprises d’abord, car ces plateformes permettent de respecter techniquement les obligations imposées par la CNIL. Pour les utilisateurs ensuite, car cet outil permet de contrôler plus facilement leurs choix en matière de cookies.
Toutefois, notez que la simple utilisation d’un CMP ne suffit souvent pas à assurer la conformité d’un site internet car il conviendra de s’assurer que les mentions d’informations données par ces outils aux utilisateurs soient suffisamment spécifiques et répondent aux exigences de CNIL.
Ainsi, si la plateforme de gestion est indispensable pour centraliser et administrer le consentement des internautes, il faudra toutefois penser à s’appuyer sur les compétences d’un DPO, juriste ou avocat spécialisé dans le domaine de la protection de données afin de configurer le CMP et rédiger des mentions précises d’information adéquates.
4/ Pourquoi se faire accompagner ?
La mise en conformité d’un site à l’ensemble des directives posées par la CNIL en matière d’utilisation de cookies n’est pas une chose aisée. A cela vient par ailleurs s’ajouter un grand nombre d’obligations en matière de protection des données personnelles, au titre des informations collectées sur les utilisateurs à partir des cookies, rendant le processus encore plus complexe.
Ainsi, il est nécessaire de se faire accompagner par un expert qui saura répondre à l’ensemble de vos questions et vous conseiller, notamment dans la rédaction de votre politique de gestion des cookies et de confidentialité, ou encore dans la validité de votre bandeau d’information et de collecte du consentement aux cookies.
Notez enfin que ces questions doivent être réglées rapidement. La CNIL a en effet laissé un délai de six mois permettant aux sociétés de se mettre en conformité en matière de récolte de cookies, et ce délai arrive à son terme fin mars 2021.
La CNIL a même pris le soin très récemment d’avertir directement par courriers et courriels certaines entreprises que ce délai arrivait à expiration et qu’il devenait donc urgent qu’elles se mettent en conformité aux nouvelles règles. Il est en effet très aisé pour la CNIL, via une simple connexion sur tout site, de vérifier si les règles sont mises en place ou non. Il ne fait nul doute qu’elle fera preuve de moins de clémence à compter du 1er avril 2021...