Présents dès la consultation par les utilisateurs d’une page web, les cookies et autres traceurs, font l'objet ces derniers mois de toutes les discussions.
Outils indispensables au développement économique du web, la mise en œuvre des cookies n’est toutefois pas libre et doit respecter la vie privée des utilisateurs. A ce titre, la CNIL a publié de nouvelles lignes directrices en septembre 2020 livrant un mode d'emploi à toutes les entreprises afin de garantir la mise en conformité de leur site. Ces dernières recommandations sont d'autant plus importantes qu'elles viennent mettre fin au temps de la sensibilisation : les entreprises ont jusqu’au 31 mars 2021 pour rentrer dans les clous.
Des campagnes ont d'ailleurs été lancées par la CNIL afin de rappeler aux entreprises cette date butoir, nul doute que passé ce délai, la clémence sera moindre envers les retardataires.
En témoignent les récentes condamnations à l'encontre des géants du numérique (Amazon et Google) sanctionnés respectivement à 35 millions et 100 millions d'euros d'amende pour utilisation de cookies publicitaires sans consentement ni information suffisante préalable.
Mais alors concrètement, que faire pour assurer une mise en conformité de votre site ?
Maître Benjamin Znaty, avocat partenaire Captain Contrat du cabinet Taylor Wessing, spécialisé en droit des nouvelles technologies et Maxime Jaillet, Content Manager chez Axeptio, spécialiste de la protection des données personnelles et du digital, décryptent le sujet pour vous.
Vous préférez (re)visionner l'intervention de ces deux experts durant leur webinar ? Téléchargez le replay gratuitement ici.
Cookie : la définition juridique et technique
Qu’est-ce qu’un cookie d’un point de vue technique ?
(Maxime Jaillet) - Techniquement un cookie est un fichier texte qui va se déposer sur le navigateur de vos utilisateurs lorsqu’ils vont se connecter à votre site. Les cookies sont déposés soit par l’éditeur du site web (pour servir ses fonctionnalités) ou par des tiers comme les fournisseurs des modules intégrés pour enrichir le fonctionnement de votre site (par exemple, un fournisseur de boutons de partage de réseaux sociaux, solution analytics ou modules publicitaires).
Les pratiques vont beaucoup évoluer d’un site à l’autre.
Par exemple, pour un simple site vitrine contenant quelques pages de contenu et un formulaire de contact, il est probable que le nombre de cookies soit restreint. En revanche, d’autres sites de e-commerce ont besoin d’un certain nombre de modules pour proposer une expérience utilisateur moderne et vont déposer à ce titre 40-50 cookies. Enfin, pour d’autres, cela peut monter jusqu’à 100-150 cookies lorsque ces sites diffusent des publicités (avec la technique des publicités en temps réel).
Quelle est la définition juridique d’un cookie ? Quels sont les différents types de cookies ?
(Benjamin Znaty) - D’un point de vue juridique, le principe des cookies vient d’un article de la directive européenne dite E-Privacy transposée en France via la loi Informatique et liberté. La loi ne donne pas une définition à proprement parler du cookie, mais de l’action consistant à placer un cookie.
En effet, la loi encadre toute action tendant à accéder à des informations stockées au sein du terminal de l’utilisateur ou à inscrire des informations sur son terminal.
C’est donc une définition très large : elle porte sur toute information, qu’il s’agisse de données personnelles ou de données non personnelles, mais aussi sur tout type de technologie (on parle de cookies, mais cela peut être des traceurs, des tags, des pixels…).
Cet article vient donc encadrer l’action tendant à accéder aux informations de l’utilisateur stockées au sein de son terminal. Il impose une double condition à une telle action : l’obligation d’information préalable de l’utilisateur et le recueil de son consentement préalable.L’article vient toutefois apporter deux exceptions : l’action de stockage de cookies ne doit pas nécessairement donner lieu à information ou consentement de l’utilisateur lorsque cette action de recueil des cookies est nécessaire à la fourniture du service ou a pour finalité de permettre ou faciliter une communication par voie électronique, par exemple à des fins techniques pour faciliter la connexion.
C’est à travers ces exceptions que l’on va pouvoir distinguer les cookies qui nécessitent un consentement de ceux qui n’en nécessitent pas.
Ainsi, les cookies dits techniques sont exemptés de consentement : par exemple le cookie qui détecte d’où vient l’utilisateur pour afficher une langue particulière sur le site, ou un cookie qui retient l'identifiant de l’utilisateur pour lui éviter de devoir se reconnecter à chaque fois, ou encore le cookie qui conserve le contenu d’un panier d’achat pour permettre à l’utilisateur de reprendre sa commande. Ce sont des cookies dits fonctionnels qui ne sont pas soumis à consentement.En revanche, par élimination, tous les cookies qui n’ont pas une finalité technique ou fonctionnelle vont entrer dans cette obligation de consentement, notamment les cookies à visée publicitaires, bien que ce ne soit pas les seuls.
Les pays de l'UE partagent-ils la même définition et réglementation ?
(Benjamin Znaty) - Cette réglementation vient à l’origine d’une directive européenne, c’est donc une réglementation qui s’applique à priori plus ou moins de la même manière dans tous les pays d’Europe.
Mais il faut savoir qu’une directive est transposée et implémentée dans la loi nationale de chaque pays de manière parfois un peu différente. Les autorités (CNIL en France , ICO en Angleterre...) peuvent par ailleurs avoir des interprétations différentes.
Par exemple, sur la manière de collecter le consentement. Historiquement, la France a considéré pendant très longtemps que l’on pouvait se contenter d’un consentement implicite par l’affichage d’un bandeau, précisant qu’en cas de poursuite de la navigation sur le site, l’utilisateur consent au placement de cookies. C’était aussi la position de l’Espagne mais pas de l’Allemagne par exemple.
Aujourd’hui et grâce aux nouvelles directives, les pays tendent à s’aligner mais il y a encore des différences, notamment sur la manière de consentir au dépôt de ces cookies. Sur les nouveaux bandeaux de cookies, le choix peut différer. Certains bandeaux vont se limiter à proposer l’acceptation de ces cookies (via un bouton “j’accepte”). Sur d’autres, il y aura le choix “j’accepte”, “je refuse”.De même, le bouton “je refuse” qui doit apparaître visuellement de manière identique au bouton "j'accepte" est une spécificité française qui n’est pas partagée par d’autres pays.
Autre exemple, sur la durée du consentement : à partir de combien de temps faut-il demander à nouveau le consentement d’une personne ? La France admet que la durée du consentement dure 6 mois. L'Espagne admet une durée de consentement de 24 mois.Le règlement E-Privacy, discuté en ce moment au Parlement européen viendra peut-être répondre à ces divergences d'interprétations. En tout état de cause, les autorités de contrôle européennes ont plutôt tendance à s’aligner avec le temps et à suivre des interprétations relativement similaires.
Est-ce qu’un cookie nécessaire au fonctionnement d’un chatbot est considéré comme fonctionnel et donc exempt de consentement ?
(Benjamin Znaty) - D’un point de vue juridique, un cookie qui sert à délivrer un service à la demande de l’utilisateur, est considéré comme fonctionnel. Dès lors que l’on considère que le chatbot est là pour aider l’utilisateur dans son parcours en ligne, on peut considérer qu’il s’agit d’un cookie fonctionnel.
En réalité, cela va dépendre de la manière dont est utilisé le chatbot. Si comme la plupart il intervient en support de l’utilisateur dans sa navigation (support technique), peu de doute alors qu’il s’agisse d’un cookie fonctionnel et donc exempt de consentement.
Que recouvre véritablement la notion de cookie publicitaire ? Est-ce que si on ne fait pas de publicité, cela revient à ne pas mettre en place de politique de consentement ?
(Benjamin Znaty) - La loi ne parle pas de cookie publicitaire ou de cookie de mesures d’audience. Tout est lié à la finalité du cookie. Si la finalité du cookie est nécessaire d’un point de vue technique ou fonctionnel, il n’y aura pas besoin de consentement.
En revanche, il sera difficile de justifier l’absence de consentement pour un cookie à visée publicitaire, quand bien même ce cookie n’a pas une visée de retargeting mais seulement de promotion commerciale. Il s’agira toujours d’une finalité qui n’est pas nécessaire au site, nécessitant un consentement.
Il peut arriver qu’un cookie ait à la fois une finalité fonctionnelle, de mesure d’audience et publicitaire (via du retargeting par exemple). Dans ce cas, si seules les finalités fonctionnelles du cookie sont utilisées, il ne sera pas nécessaire de recueillir le consentement.
(Maxime Jaillet) - Il faut vraiment que vous voyez vos sites comme une galaxie de fonctionnalités. Vous avez un site web qui va se concentrer sur son cœur d’activité, pour lequel il n’y aura pas besoin de consentement pour le dépôt des cookies car ces cookies répondront à des considérations fonctionnelles et techniques.
Et autour de cela, il y aura des fonctionnalités complémentaires (modules d’affichages de pub, partage de réseaux sociaux…) dont le fonctionnement va imposer le dépôt de cookies, il y aura dans ce cas besoin d’un consentement.
Quid de l’utilisation des cookies de Google Analytics ?
(Maxime Jaillet) - Sur Google comme sur d’autres outils, il faut être prudent.
La solution de mesure d’audience de Google Analytics, va être utilisée pour plusieurs objectifs : pour la mesure de votre audience, pour travailler l’ergonomie de votre site, et potentiellement pour mesurer la performance de vos publicités.Ces finalités font que les cookies de GA vont être soumis au recueil du consentement pour leur dépôt.
Certaines entreprises s’interrogent sur la capacité de contourner ce recueil de consentement avec notamment la nouvelle version de GA (version 4) mais il faut être prudent. Nous attendons les recommandations de la CNIL qui a précisé qu’elle publierait une liste d’outils qu’elle considère comme ayant des configurations justifiant de ne pas recueillir le consentement.
Mais par principe, il vaut mieux considérer que GA nécessite le consentement sur l’utilisation des cookies. En effet, Google fait partie des sociétés qui ont des finalités d’utilisation propre. Google Analytics collecte des cookies pour vos besoins en tant que client utilisateur et utilise des données pour améliorer l’efficacité de son propre service. Cette combinaison et cette frontière un peu floue fait qu’il vaut mieux considérer que le recueil de consentement est à privilégier.
De plus, il s’agit d’un acteur américain, la collecte des cookies va entraîner un transfert des données hors UE, donc il vaut mieux privilégier la prudence.
Il faut faire le point sur vos besoins :
- posez-vous la question : faites-vous uniquement de la mesure d'audience ou aussi du publicitaire ? Cela vous donnera déjà une réponse sur l’importance ou non de demander le consentement ;
- utilisez les configurations pour anonymiser au maximum les IP ;
- si votre site est un site vitrine, vous n’aurez sans doute pas besoin d’une solution délivrant autant d’indicateurs. Il sera peut-être plus adapté de trouver des outils plus simples et suffisants pour répondre à vos besoins sans nécessiter de consentement car vous ne ferez par exemple que de la mesure d’audience.
Concrètement comment se mettre en conformité ?
Quelles sont les nouvelles directives de la CNIL ? Qu’est-ce qui a changé ?
(Benjamin Znaty) - Il y a plusieurs mois, la CNIL a publié de nouvelles lignes directrices en matière de cookies et traceurs. Elles étaient attendues, ce n’est pas une grosse surprise, mais c’est tout de même un gros changement.
L’appréciation du consentement en matière de cookies a d’abord évolué avec le RGPD en 2018 avec une définition d’un consentement dit désormais express et éclairé. Cela a eu un impact sur la CNIL qui admettait jusqu’alors que les personnes poursuivant leur navigation sur le site consentaient de fait à l’utilisation des cookies. Ce consentement “forcé” est désormais révolu. Il faut désormais un premier niveau d’information qui apparaît dès la connexion informant l’utilisateur que le site compte utiliser des cookies et qui explique de manière brève quelles sont les finalités de ces cookies (mesures d’audience, publicitaires...). Dès lors, l’utilisateur doit pouvoir accepter ou refuser de la même manière l’utilisation de ces cookies, voire personnaliser ses choix s’il y a matière à personnaliser par cookies (si le site utilise plusieurs cookies soumis à consentement).Sur le second niveau d’information, la CNIL est allée plus loin, en précisant qu’il faut expliquer pour chaque cookie ou a minima pour chaque finalité, les raisons pour lesquelles ces cookies sont utilisés, les conséquences pour l’utilisateur si celui-ci les refuse, et identifier l’éditeur tiers, s’il existe, à l'origine du cookie concerné (Google, Facebook…) afin que les utilisateurs comprennent les pratiques de confidentialité de ces éditeurs.
Autre règle fondamentale apportée par la CNIL : désormais l’opt-out doit être aussi simple que l’opt-in.Auparavant, lorsqu’on voulait retirer les cookies, les sites renvoyaient souvent les utilisateurs vers leur navigateur en les informant de la possibilité de bloquer tous les cookies. Cette solution a toujours été considérée comme bancale par la CNIL car en faisant cette manipulation, les utilisateurs bloquaient aussi de fait les cookies fonctionnels. Mais jusqu’alors il n'y avait pas de solution pratique d’opt-out.
Aujourd’hui, la CNIL précise que la fonctionnalité pour retirer les cookies doit être claire et aussi simple que pour consentir. Il sera donc de plus en plus fréquent de voir apparaître dans les footers des sites la mention “cookies” permettant de ré-afficher le bandeau afin de consentir de nouveau ou retirer son consentement.
La CNIL indique qu’il faut également pouvoir prouver ce consentement, le stocker. Dès lors, pour qu’un opt-out soit satisfaisant et pour stocker le consentement…, il semble difficile aujourd’hui de se passer d’une solution technique comme un CMP (Consent Management Plateform). La CNIL le reconnaît d’ailleurs en y faisant référence dans ses directives.
Concrètement et techniquement comment mettre en place cette nouvelle réglementation ?
(Maxime Jaillet) - Mettre en conformité son site web avec la réglementation des cookies va amener les services (marketing, communication, technique..) à créer une politique de gestion des cookies s’il n’y en avait pas ou à remettre à plat des pratiques existantes. Cela nécessite de refaire un audit de son site, répertorier les modules utilisés et appliquer des règles de gestion.
Concrètement, on va passer dans une autre époque. Avant les dernières directives de la CNIL, il s’agissait d’un consentement subi. Beaucoup de sites ont utilisé des modules gratuits, des bannières peu lisibles, simplement informatives et les cookies étaient directement chargés sur le site.
Il s’agit aujourd’hui de se mettre en conformité et de passer d’une conformité subie à une conformité maîtrisée.
La plupart des entreprises vont d’abord utiliser un TMS (tag manager system) qui permet de simplifier la gestion des balises sur le site. Le TMS est une solution qui permet d’insérer à un seul endroit les balises (= les bouts de codes informatiques) qui correspondent aux modules que vous allez intégrer sur votre site web. Cela va permettre de définir les règles de gestion pour savoir où afficher les boutons de partage, les emplacements publicitaires…A côté de cela vous allez avoir une CMP (Consent Management Plateform). Il est recommandé de faire appel à un prestataire pour intégrer facilement et harmonieusement ces nouvelles bannières pour répondre à l’expérience utilisateur, au graphisme de votre site web, etc.
Une CMP sert à proposer une interface de gestion des consentements :
- en front : pour pouvoir solliciter l’utilisateur sur son consentement ;
- en back : pour stocker, historiser, les réponses des utilisateurs et répondre à cette exigence de registre.
L’impact pour le professionnel est très important. Un certain nombre de cookies vont nécessiter le consentement de l'utilisateur pour pouvoir être déposés. Par exemple, les cookies publicitaires doivent être consentis par l’utilisateur pour être déposés ce qui aura un impact sur les revenus de l’entreprise.
Avoir une bannière de cookies est-ce suffisant ? Faut-il la compléter avec une politique de confidentialité ?
(Benjamin Znaty) - Il faut comprendre que le règlement E-Privacy a des liens avec le RGPD mais s’en distingue tout de même.
Le cookie va en effet pouvoir accéder à des données non personnelles (comme une localisation non couplée avec une donnée personnelle) mais dès lors qu’il y’a un accès à de telles données (qu’elles soient personnelles ou non), cela est bien soumis à E-Privacy et donc à l’obligation par principe d’informer et de collecter un consentement.
En revanche, la politique de confidentialité a en principe pour rôle d’informer sur le traitement de données personnelles. Donc si l'utilisation des cookies n’implique pas l’utilisation ou le traitement de données personnelles, il n’est pas forcément nécessaire de parler des cookies dans la politique de confidentialité.
À l’inverse, si le cookie permet de comprendre ce que fait l’utilisateur sur le site tout en permettant de savoir qui est cette personne afin de la solliciter par la suite, il s’agit d’un traitement de données personnelles sous-jacent. Il faudra alors décrire dans la politique de confidentialité les traitements des données personnelles qui proviennent d’une collecte par voie de cookies.
Comment combiner le rôle de l’avocat, du juriste, du DPO avec l’expertise technique apportée par la CMP ?
(Benjamin Znaty) - Techniquement les CMP sont aujourd’hui indispensables pour être conforme d’un point de vue technique.
Mais la réglementation passe aujourd’hui vraiment par l’information de l’utilisateur. Beaucoup d’entreprises utilisent aujourd’hui des CMP mais malheureusement ne font pas intervenir les avocats, DPO, juristes voire leur service marketing dans la configuration de ces outils.
Résultat : on voit des sites avec des CMP conformes techniquement mais dont la mention précise simplement : “ce site va placer des cookies afin d’améliorer l’expérience utilisateur”.
Toutefois en creusant dans les paramètres de personnalisation, on s’aperçoit que des cookies publicitaires sont déposés. Dès lors, cette mention à l’affichage d’une part ne donne pas d’information à l’utilisateur mais en plus délivre une fausse information. En effet, les cookies qui servent à améliorer l’expérience utilisateur sont des cookies fonctionnels qui ne nécessitent pas le consentement, donc cette information n’est pas nécessaire, et en plus n’indique pas qu’en réalité le site place des cookies publicitaires.
La configuration des mentions sur les bannières de CMP est très importante et ne doit pas être négligée.
De plus, la CNIL précise que les entreprises doivent expliquer aux utilisateurs les conséquences du refus au consentement au dépôt de cookies. On peut prendre cela comme une opportunité d’avoir une mention facilitant la collecte du consentement. Prenons l’exemple d’une marketplace : si on refuse de la publicité contextualisée et ciblée, cela peut nuire à l'expérience de consommation des utilisateurs qui ne recevront pas de recommandation de produits similaires ou complémentaires à leurs besoins.
Au-delà de la pure conformité, il faut avoir des mentions permettant de faire comprendre aux utilisateurs l’intérêt de consentir aux cookies : c’est une démarche vertueuse car à la fois conforme à la réglementation et UX friendly.
Notion des cookies fonctionnels : faut-il les faire apparaître alors qu’on n’a pas besoin de consentement.
(Benjamin Znaty) - D’un point de vue purement réglementaire, il n’est pas obligatoire de faire apparaître la notion de recueil de cookies fonctionnels. La CNIL recommande toutefois de faire mention de ces cookies dans la politique de confidentialité par exemple. Cela participe à renforcer la transparence auprès des utilisateurs.
Quel est le niveau de personnalisation d’acceptation des cookies qui doit être proposé ? Par exemple, doit-on laisser aux utilisateurs la possibilité au sein d’une même finalité de cookies de choisir un type de cookie (par exemple publicitaire) mais d’en refuser un autre ? Ou faut-il accepter une finalité dans son ensemble et donc tous les cookies qui font partie de cette même finalité ?
(Benjamin Znaty) - Du point de vue de la CNIL, on est encore sur les deux options. Il est possible de permettre un consentement par cookie mais la CNIL permet également de consentir par finalité et de regrouper par finalité plusieurs cookies. Toutefois, si par exemple, la finalité publicitaire est différente d’un cookie à l’autre, il faudra peut-être personnaliser le choix et le recueil de consentement par cookie. Mais à l’heure actuelle, rien ne l’impose.
Que faire si après refus d’un cookie (qui n’est pas fonctionnel) le site bloque une partie du service à l’utilisateur ? Est-ce que cela revient à une sorte de consentement forcé pour faire bénéficier à l’utilisateur une expérience globale ?
(Benjamin Znaty)- Pour accéder au site, dans certains cas les utilisateurs étaient forcés d’accepter des cookies : ce sont les cookies wall.
La CNIL a commencé par interdire cette pratique. Le Conseil d’État l’a retoqué en disant que la CNIL allait peut-être un peu trop loin et que rien dans la réglementation ne l'interdisait.
Cette décision ne signifie pas à mon sens que l’on puisse forcer un utilisateur à accepter les cookies pour accéder au site, mais il semble permis de les forcer à faire leur choix en matière de cookies pour accéder au site : ils vont être obligés d’accepter ou refuser pour accéder au site.
Quel est le futur pour les cookies ? Pour les cookies tiers ? L’avenir de la réglementation en matière de cookies
(Benjamin Znaty) - Depuis le 1er avril 2021, les lignes directrices de la CNIL sont applicables. La CNIL a rappelé que le contrôle des cookies serait un axe prioritaire sur 2021.
C’est d’autant plus simple pour la CNIL qui n’a pas besoin d’échanger avec l’éditeur du site ou de se rendre physiquement au sein de l’entreprise pour effectuer un contrôle.
Google et Amazon en ont fait les frais (100 et 35 millions respectivement d’amende) avant même la date butoir du 1er avril, pour défaut d’information sur le recueil des cookies. Ces condamnations ont aussi permis d’en faire un exemple avant l’entrée en vigueur de ces nouvelles règles.
On voit que les GAFA évoluent dans leur conception des cookies. Apple et Google ont annoncé que les cookies tiers allaient disparaître.
Il faut comprendre que d’un point de vue réglementaire, rien ne change, qu’il s’agisse de cookies premiers ou tiers. S’il s’agit de cookies autres que fonctionnels, il faudra toujours des consentements.
Ce recueil systématique de consentement participe à atteindre ce sentiment de “consent fatigue”.
Aujourd’hui, il faut admettre que les utilisateurs qui veulent consulter un contenu, un article, vont accepter d’office les cookies sans forcément se renseigner pour pouvoir accéder à leur contenu. Il ne s’agit donc peut être pas d’un consentement réellement éclairé.
Il y a sans doute encore des améliorations à faire, à commencer par les GAFA qui pourront peut-être trouver matière à des innovations techniques en travaillant en bonne intelligence avec les régulateurs.
Une question ? Laissez votre commentaire