Cookies : C’est quoi ?
Ne vous est-il jamais arrivé de voir sur Internet des publicités très similaires, si ce n’est les mêmes, renvoyant à des recherches que vous aviez effectuées quelques jours plus tôt ? Cela a de quoi surprendre de prime abord.
Lorsque l’on navigue sur Internet, des cookies sont déposés sur notre navigateur. Ce sont des petits fichiers texte inoffensifs et leur cheminement est le suivant : ils sont générés par le serveur du site consulté ; ensuite ils sont envoyés sur notre navigateur Internet qui va pour finir les enregistrer dans le disque dur de notre appareil.
Et il est fort probable que si vous avez un site web, votre entreprise en fasse l’utilisation, plus ou moins soutenue.
Si sur le principe, les cookies ne vous permettent pas d’obtenir des informations contenues dans le disque dur après avoir été déposés sur le navigateur d’un de vos visiteurs, il ne faut pas en négliger l’impact.
Si nous reprenons l’exemple des publicités similaires aux recherches effectuées, il est fort à parier qu’une telle pratique agace au moins une partie de ceux qui la subissent. Et pour cause : c’est une pratique relativement intrusive, qui touche directement à des informations (de navigation / de préférence) que les visiteurs aimeraient sans doute garder confidentielles …
Ces données sont dès lors soumises aux principes de la protection des données à caractère personnel (traitement de données à caractère personnel d’une personne physique) et doit faire l’objet d’un projet spécifique au sein des entreprises, sous la supervision du Délégué à la Protection des Données (DPO).
Ainsi, les informations recueillies par ces traceurs peuvent être recoupées, permettant ainsi d’identifier parfois directement, et souvent indirectement l’utilisateur : en somme il s’agit de données personnelles qui ont vocation à être protégées compte tenu des risques que les cookies font peser sur la vie privée de l’utilisateur. De plus, ces données sont susceptibles d’être aussi massives que le nombre de personnes disposant d’un ordinateur et d’un accès à Internet.
C’est en partie pour résoudre cette problématique qu’en mai 2018, avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), le consentement a pris une place prédominante dans le processus de dépôt de cookies : désormais il faut que les visiteurs, avant tout dépôt de cookies et donc de tracking, en ait connaissance et l’ait accepté. Il s’agit de la base légale principale en matière de traitement des cookies.
Cependant, le cookie n’est pas expressément visé par le RGPD. C’est pourquoi, afin de renforcer les mesures autour de ce dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) a décidé de publier des lignes directrices qu’un projet de recommandation viendra préciser très prochainement concernant les modalités du consentement.
Recevez nos dernières actualités RGPD par email
Recommandation Cookies : Qu’est-ce qui change ?
Désormais, avant tout dépôt de cookies, il faudra que l’entreprise s’assure que le visiteur en ait connaissance, qu’il l’ait compris et qu’il l’accepte en toute connaissance de cause.
C’est-à-dire qu’aucun tracking ne pourra être entrepris sans que le visiteur n’ait eu, de lui-même, une action pour l’accepter.
Par exemple, l’utilisation de bandeaux cookies indiquant que « la poursuite de la navigation revient à donner son consentement » est désormais strictement interdite.
Le deuxième changement majeur concerne l’apport de la preuve par le responsable de traitement des données qu’il dispose d’un consentement licite pour recueillir les données concernées.
1. Donner un moyen positif au visiteur pour manifester ou non son consentement
L’utilisateur doit avoir un moyen clair et précis d’affirmer son consentement, ou de ne pas l’accorder s’il ne le souhaite pas. L’exemple souvent donné est celui d’une case à cocher.
ATTENTION ! L’opt-out est interdit. C’est bien le consentement qui doit être manifesté, et non le refus. Par défaut, aucun cookie ne doit être déposé sur l’ordinateur de la personne concernée sans qu’il ait par exemple coché une case “J’accepte le dépôt …”
2. Ne pas influencer le visiteur
Tout moyen d’acceptation ou de refus doit se faire selon les mêmes modalités techniques et être effectif même en cas de refus.
Ainsi, influencer le visiteur en mettant en avant un bouton « Tout accepter » au détriment du bouton « Tout refuser » – en mettant par exemple le premier bouton en gros et coloré, et en mettant le second en petit et gris – est interdit.
3. Informer l’utilisateur le plus tôt possible
Si beaucoup de sites web se contentent d’afficher un court message d’information et de boutons « Tout refuser » et « Tout accepter », la CNIL recommande expressément d’afficher le maximum d’informations avant même que le visiteur n’ait eu l’occasion d’accepter ou de refuser le moindre cookie. Il est indispensable que le visiteur ait conscience de ce qu’il accepte lorsqu’il donne son consentement.
4. Interdire l’accès au site
Une pratique s’est répandue au sein de sites web, consistant au blocage de la navigation sur le site en question tant que le visiteur n’a pas donné son consentement. Cette pratique est elle aussi désormais strictement interdite.
La CNIL avait rejoint l’avis du Comité européen de la protection des données concernant la pratique du blocage de la navigation dès lors que l’utilisateur ignore ou refuse expressément le dépôt des cookies du site.
Cependant, le Conseil d’Etat a annulé partiellement les lignes directrices du 4 juillet 2019 sur ce point par décision du 19 juin 2020, estimant que la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre de son pouvoir de décision en termes de droit dit « souple ».
La CNIL devra donc se conformer à cette décision et ne peut pas interdire dans le cadre de ses lignes directrices cette pratique du « Cookie Wall ».
5. Le cas particulier des mesures d’audience
La CNIL a tout à fait conscience que de telles mesures, appliquées trop drastiquement, risquent de porter préjudice plus que de raison aux entreprises.
C’est pourquoi certains types de cookies sont exemptés de consentement.
C’est notamment le cas pour les cookies de mesure d’audience, qui ne sont pas jugés comme trop intrusifs et préjudiciables à la protection de la vie privée.
Ainsi, sous quelques conditions qu’il faut respecter, il vous est possible de ne pas demander le consentement pour pouvoir inclure vos visiteurs dans vos mesures d’audience (sous réserve qu’ils puissent tout de même s’y opposer).
Est-ce que le cookie de Google Analytics est soumis à consentement ?
Comme expliqué ci-dessus, le cookie de Google Analytics, en tant que cookie de mesure d’audience n’est pas obligatoirement soumis au recueil du consentement.
Il peut en être exempté sous certaines conditions, plus particulièrement si les données récoltées grâce à ce dernier sont anonymisées, ce qui implique une modification du code ainsi que le respect de certaines limitations imposées par la CNIL.
Pour rappel, le principe est qu’en cas de collecte de données, le recueil du consentement au préalable est nécessaire.
Toutefois, l’anonymisation transforme la donnée personnelle en donnée brute non identifiante, qui peut être utilisée sans recueil du consentement des utilisateurs dont elle est issue.
Pour ce faire, il faut être techniquement qualifié et modifier le code, comme expliqué dans cet article : https://www.digital-start.fr/google-analytics-et-rgpd/
Concernant le cas de la mesure d’audience, la CNIL impose le respect des rêgles cumulatives suivantes afin de pouvoir s’abstenir au recueil du consentement des visiteurs du site :
- L’éditeur du site doit délivrer une information claire et complète
- Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tous les navigateurs, et tous les types de terminaux (y compris les smartphones et tablettes)
- Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple).
- Le cookie déposé doit servir uniquement à la production de statistiques anonymes
- Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites
- L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés
- Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ;
les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois. »
Les limites du projet
S’il est difficile de douter du bien-fondé intrinsèque de la Recommandation en ce qui concerne les libertés individuelles, les mesures envisagées ne sont pas sans poser problème.
Au-delà de la charge technique et organisationnelle supplémentaire qui va peser sur les entreprises, c’est bien l’efficacité du dispositif qui pose question.
1. Une démarche trop encombrante pour les visiteurs ?
Respecter la recommandation à la lettre revient à alourdir considérablement le parcours de l’utilisateur.
Dans les faits, il faudrait afficher une quantité bien trop importante d’informations pour que ce dernier puisse en prendre pleinement conscience.
Dès lors, imaginer une interface qui satisfasse l’ensemble des besoins juridiques, tout en étant agréable et incitant à donner son consentement, se présage extrêmement compliqué.
En effet, la plupart des internautes s’empresse de fermer tout bandeau informatif afin d’accéder au contenu souhaité le plus rapidement possible, sans donner le moindre consentement.
Il s’agit d’une véritable charge supplémentaire lors de la navigation de l’internaute, qui n’est sans doute pas bloquante lors de la visite d’un site web. Mais qu’en est-il quand il ne s’agit pas de visiter un seul site, mais une dizaine d’affilée ?
2. Vers une asphyxie des services Marketing & Commerciaux ?
Il est ainsi fort à parier qu’une grande partie des internautes choisira, par défaut, le refus de voir leurs données collectées par les cookies traitées, sans même en avoir pris conscience, ce qui s’avère problématique pour les entreprises qui verront inévitablement la quantité de données en leur possession s’amoindrir.
Du côté des directions Marketing et Commerciales, il va falloir s’adapter à de grands changements dans leur capacité à analyser la valeur réelle apportée par chaque internaute, et ainsi celle de mesurer le Retour sur Investissement de chaque action entreprise pour générer du Business.
3. Une recommandation vitale pour les libertés individuelles
Néanmoins, si cette politique en matière de cookies s’avère très stricte dans son exécution, elle n’en reste pas moins légitime et même nécessaire.
Tous les acteurs qui manipulent des données personnelles doivent être responsabilisés et prendre conscience que non seulement les données ne leurs appartiennent pas, mais en plus que les titulaires dont elles découlent doivent être eux-mêmes conscients de l’utilisation qui en est faite ainsi que des droits dont ils disposent (Information, rectification, effacement, portabilité …) pour les garder sous contrôle et ainsi ne pas exposer leur vie privée.
D’autant plus que le scandale et les répercussions sur l’image des entreprises incriminées ne sont jamais loin …
C’est un véritable enjeu de taille pour les services marketing & commerciaux, qui vont devoir redoubler d’ingéniosité afin de continuer à travailler avec un flux de données moins riche.
Ce sera sans doute un moment difficile, par lequel il faudra, quoi qu’il arrive, passer tôt ou tard. Il n’est plus question de prendre le respect des libertés individuelles à la légère, pour quelque raison que ce soit.
4. Le bandeau cookie, qu’est-ce que la CNIL attend de vous ?
- Informer l’utilisateur avant de déposer les cookies sur les points suivants (les finalités du cookie, l’identité du responsable de traitement ainsi que la liste actualisée des partenaires, la portée de ce à quoi l’utilisateur consent en acceptant le dépôt des cookies visés)
- Décrire de manière brève et appropriée les informations précises de chaque cookie
- Un moyen technique clair permettant l’expression du consentement par l’utilisateur
Concernant le cookie de mesure d’audience : il s’agit ici d’une interprétation précise du projet de recommandation à venir. Afin de respecter l’ensemble des conditions d’exemption du recueil de consentement tout en informant l’utilisateur et lui permettant de pouvoir refuser le dépôt de ce cookie particulier, une case à cocher en mécanisme d’opt-out peut être envisagé.
- Toutes les informations doivent être facilement accessibles
- Un moyen permettant de changer d’avis à tout moment concernant le dépôt des cookies et la cessation de leur utilisation
- Les mécanismes d’acceptation ou de refus doivent être effectifs quelle que soit la volonté exprimée de l’utilisateur