Qu’est-ce qu’un cookie ?
Un cookie est un fichier ayant vocation à retenir des informations sur un utilisateur : déposé sur son navigateur, celui-ci permet de retenir des comportements, données ou informations.
Ces données permettront ensuite d’exécuter un certain nombre d’actions pour personnaliser son expérience, par exemple :
- Un cookie peut servir à retenir votre connexion sur un site e-commerce, vous évitant ainsi d’avoir à vous reconnecter à chaque visite sur le site
- Il peut également retenir votre parcours sur le même site, et vous adresser une publicité ciblée en fonction des pages visitées
Le cookie est donc un outil protéiforme aux usages multiples, qui permet de servir à chaque utilisateur une expérience unique, car personnalisée.
Qu’est-ce qui change avec la loi ?
Les lignes directrices de la CNIL opèrent un changement fondamental de philosophie sur le traitement des cookies, cette nouvelle vision du cookie relève d’une application étroite du RGPD.
Le principal apport des nouvelles lignes directrices concerne le consentement aux cookies, c’est-à-dire la manière dont on va considérer l’accord de l’utilisateur pour se voir déposer les fameux fichiers.
Que prévoyait la réglementation jusqu’à présent ?
Avant janvier 2020, le consentement de l’utilisateur était présumé « à la poursuite de la navigation », ce qui signifie que l’éditeur d’un site pouvait déposer des cookies dès lors que l’internaute cliquait ou scrollait sur son site.
Cette réglementation s’assortissait d’une obligation d’information à minima, l’utilisateur devant simplement être informé de la potentielle dépose de cookies : c’est le bandeau que nous connaissions.
Quels sont les apports des lignes directrices de la CNIL ?
Les lignes directrices de la CNIL alignent le traitement des cookies avec celui des données personnelles réglementé par le RGPD : en matière de cookies, qui ne dit ne mot ne consent plus !
Comment vous mettre en conformité ?
Étape 1 : L’information extensive sur les cookies
Dans le cadre de votre mise en conformité, votre première étape consistera en un diagnostic de l’existant. Il vous incombe de recenser :
- Les cookies implémentés sur votre site
- Leur finalité: suivi des visites, ciblage publicitaire, etc.
- Leur durée de vie(sachant que celle-ci ne peut légalement excéder 13 mois)
Une fois recensés, les cookies pourront être classifiés, avec trois grandes catégories de cookies :
- Les cookies fonctionnels : nécessaires au bon fonctionnement du site, il s’agira par exemple d’un cookie has_js, qui permettra de déterminer si votre navigateur accepte javascript ou non
- Les cookies analytiques : qui visent à mesurer les performances d’un site web, le plus connu étant Google Analytics
- Les cookies marketing ou publicitaires : qui ont vocation à proposer à l’utilisateur du contenu ciblé en fonction de ses expériences précédentes de navigation
Cette information sur les cookies doit être ensuite mise à disposition de vos internautes, généralement sous forme d’un tableau dans une rubrique dédiée de votre page mentions légales / politique de confidentialité.
Le tableau récapitulatif des cookies déposés sur le site de la CNIL.
Nous recommandons l’utilisation de l’outil de diagnostic Cookiebot qui, s’il doit être re-croisé avec une analyse manuelle, vous fera gagner un temps précieux sur cette étape.
Étape 2 : Un dispositif de recueil du consentement
C’est l’étape la plus délicate de votre mise en conformité, car il s’agira d’implémenter la solution technique qui permettra à vos utilisateurs d’opposer leur refus au dépôt des cookies.
Ce dispositif sera la plupart du temps matérialisé par un pop-up, car celui-ci est la meilleure manière de permettre à l’utilisateur d’exercer son choix le plus en amont possible, et si possible, de l’orienter vers un choix positif en faveur des cookies !
Cependant, il est tout à fait possible de préférer un bandeau discret en haut de votre page. Attention cependant, vous ne pourrez pas déposer de cookies tant que l’internaute n’aura pas explicitement donné son accord.
Étape 3 : Un consentement dissocié par finalité de cookie
Le dispositif de recueil de consentement des cookies doit permettre une dissociation des consentements en fonction des finalités de cookies vues précédemment, sachant que chaque finalité de cookie aura sa propre logique vis-à-vis du consentement :
- Les cookies fonctionnels sont dispensés de consentement en ce que leur dépose est strictement nécessaire au fonctionnement du site internet
- Les cookies analytiques sont soumis au consentement de l’utilisateur, mais avec des exceptions ! Nous développerons un peu plus tard comment dispenser votre dépose Google Analytics de consentement
- Les cookies marketing / publicitaires: visant à adresser à l’internaute un contenu ciblé, ils doivent systématiquement faire l’objet d’un consentement avant tout dépôt de cookie
Quel outil choisir pour votre mise en conformité ?
De nombreux outils permettent d’adresser la problématique du consentement sur les cookies, parmi ceux-ci :
- Tarte au citron JS
- Cookie Pro
- Uniconsent …
Prudence cependant, car si ces outils permettent dans leur version gratuite de générer un pop-up conforme aux exigences de la CNIL, la désactivation des cookies nécessite un effort de paramétrage complémentaire. En effet, si permettre à l’utilisateur de cocher une case concernant un type de cookie est une chose, empêcher la dépose effective du cookie en est une autre !
Les outils précités proposent généralement deux mécaniques :
- Une action sur les cookies à effectuer directement dans le code
- Un paramétrage depuis le back-office de l’outil, dont les modalités dépendront de la solution retenue
Keep calm and eat cookies !
Les lignes directrices de la CNIL opèrent une interprétation stricte du RGPD en matière de cookies.
Comme toute nouveauté, celle-ci amène son lot de questions, mais la nature ayant horreur du vide, de nombreuses offres de services sont déjà à votre service pour vous aider dans ce processus.
Et si vous n’arrivez pas à choisir une solution pas de panique, nous sommes là pour vous aider à cet arbitrage : [email protected].