Cookies et RGPD :  la recette parfaite pour être conforme

Votre site utilise des cookies et traceurs ? Si c’est le cas, vous devez vous conformer aux règles du RGPD et informer vos utilisateurs.

En quoi consiste la conformité aux cookies ? Quels cookies nécessitent un consentement ? Comment recueillir et prouver ce consentement ? Que dit la CNIL et le RGPD à ce sujet ? On répond à toutes vos questions.

Depuis 2021, la CNIL réalise des contrôles de conformité

Depuis plusieurs années, la question des cookies et traceurs est devenue un enjeu central de la conformité au RGPD. La mise en conformité des entreprises en matière d’utilisation des cookies est un exercice complexe qui a nécessité un changement profond de culture numérique. Consciente de ces bouleversements, la CNIL avait initialement adopté une approche pédagogique. 

Entre 2019 et 2020, la CNIL a publié des lignes directrices et laissé une période de tolérance pour aider les entreprises à s’adapter progressivement.

Depuis 2021, cette période est terminée. La CNIL effectue des contrôles réguliers et sanctionne immédiatement les manquements. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Au-delà des sanctions financières, l’impact réputationnel est important, car la confiance des utilisateurs peut être affectée. La conformité n’est donc pas optionnelle ; elle est une exigence réglementaire et stratégique.

Quelle est la règle essentielle du RGPD concernant les cookies ?

Aucun cookie soumis au consentement ne peut être déposé ou lu sans l’accord explicite de l’internaute. Les données collectées par les cookies sont considérées comme personnelles lorsqu’elles permettent d’identifier directement ou indirectement un utilisateur. Leur utilisation doit donc respecter le principe de consentement prévu par l’article 4 du RGPD.

À qui s’impose l’obligation de recueil du consentement ?

L’article 82 de la loi Informatique et Libertés impose cette obligation à tous les responsables de traitement qui déposent ou lisent des traceurs soumis au consentement :

• éditeurs de sites web et applications mobiles ;
• régies publicitaires ;
• réseaux sociaux intégrant des modules de partage.

Les éditeurs, qui sont en contact direct avec l’utilisateur, sont les mieux placés pour fournir l’information et recueillir l’accord.

Cet article pourrait aussi vous intéresser : Applications mobiles : 5 règles à suivre pour rester conforme au RGPD

Quels cookies nécessitent le consentement ?

Tout cookie ou traceur qui n’est pas strictement nécessaire au fonctionnement du service doit être accepté par l’utilisateur avant son dépôt. Il s’agit notamment de :

• Cookies publicitaires : utilisés pour afficher des annonces personnalisées ou mesurer leur efficacité
• Cookies de mesure d’audience non exemptés : par exemple ceux qui collectent des données personnelles détaillées ou qui impliquent des transferts vers des tiers
• Traceurs de réseaux sociaux : utilisés pour partager du contenu ou permettre un « like » depuis un site tiers, tout en suivant la navigation
• Cookies de personnalisation avancée : permettant de modifier l’expérience utilisateur sur la base d’un profilage (exemple : recommandations personnalisées, suggestions basées sur l’historique de navigation)

Quels cookies peuvent être déposés sans consentement ?

Certains cookies et traceurs sont considérés comme indispensables et peuvent être utilisés sans recueil de consentement, car ils sont strictement nécessaires à la fourniture du service. La CNIL cite notamment :

• Les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de cookies 
• Les cookies d’authentification (y compris ceux qui renforcent la sécurité en limitant les accès frauduleux) 
• Les traceurs permettant de mémoriser le panier d’achat ou de facturer un produit/service 
• Les traceurs de personnalisation de l’interface (ex. choix de la langue, affichage attendu) ;
• Les traceurs d’équilibrage de charge des serveurs 
• Les cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu 

Comment recueillir un consentement valable ?

Pour que le consentement soit conforme au RGPD, il doit être :

• Libre : l’utilisateur doit avoir le choix réel de refuser.
• Éclairé : l’information sur les finalités doit être claire, simple et accessible.
• Spécifique : il doit pouvoir accepter certaines finalités et en refuser d’autres.
• Univoque : le silence ou la simple poursuite de navigation ne valent pas accord.
• L’acceptation des conditions générales d’utilisation ne suffit pas comme recueil de consentement.

Bonnes pratiques pour les entreprises

• Mettre en place un CMP (Consent Management Platform) : Bien que le recours à une CMP ne soit pas explicitement obligatoire selon le RGPD ou la directive ePrivacy, son utilisation devient quasiment indispensable pour les entreprises qui souhaitent garantir leur conformité et répondre aux attentes des utilisateurs. Pour un recueil clair et conforme du consentement, il est recommandé d’utiliser une CMP comme Axeptio, qui centralise la gestion des consentements, stocke les preuves et ne déclenche les cookies qu’après accord de l’utilisateur.
  
  Ses fonctionnalités principales :
  • Bannières personnalisables : textes, design et boutons adaptés à la charte graphique.
  • Granularité des choix : possibilité pour l’utilisateur d’accepter ou refuser chaque type de cookie.
  • Centre de préférences : modification ou retrait du consentement à tout moment.
  • Déclenchement conditionnel des tags : les cookies publicitaires ou analytiques ne se déclenchent qu’après consentement explicite.
  • Tableaux de bord analytiques : suivi du taux de consentement et génération de rapports pour prouver la conformité.

• Distinguer clairement les cookies soumis à consentement de ceux qui en sont exemptés.
• Documenter les finalités de chaque traceur dans une politique de confidentialité accessible
• Conserver la preuve du recueil du consentement en cas de contrôle de la CNIL.

Cet article pourrait aussi vous intéresser : Cybersécurité : chaque salarié a un rôle à jouer

Comment prouver que l’on a bien recueilli le consentement ?

Chaque acteur qui se prévaut du consentement doit être capable d’en apporter la preuve. C’est une exigence forte du RGPD.

Plusieurs méthodes existent, non exclusives :

• Mise sous séquestre du code informatique utilisé pour le recueil du consentement, auprès d’un tiers de confiance, ou publication horodatée d’un condensat (hash) sur une plateforme publique, afin d’en prouver l’authenticité a posteriori ;
• Captures d’écran horodatées du rendu visuel affiché sur ordinateur ou mobile, pour chaque version du site ou de l’application ;
• Audits réguliers réalisés par des tiers mandatés, afin de vérifier le bon fonctionnement des mécanismes de recueil du consentement ;
• Conservation des informations liées aux CMP (Consent Management Platforms) et à leurs différentes configurations, de manière horodatée, par les éditeurs de ces solutions.

Ces différentes approches permettent aux entreprises de démontrer, en cas de contrôle, que le consentement des utilisateurs a bien été recueilli conformément aux règles en vigueur.

Information des utilisateurs et transparence

La transparence est au cœur du dispositif.
Chaque internaute doit pouvoir accéder facilement à des informations sur :

• La nature des cookies déposés ;
• Leur durée de conservation ;
• Leur finalité ;
• L’identité des acteurs ayant accès aux données.

Ces informations sont regroupées dans une politique de cookies claire et accessible, souvent présentée sous forme de tableau :

Le cas des cookie walls : « Consent or Pay » 

Les cookie walls, qui conditionnent l’accès à un site ou un service à l’acceptation des cookies, posent problème. Selon le RGPD, le consentement doit être libre, éclairé et spécifique. Mais si un internaute doit accepter des traceurs pour accéder à un contenu, sa liberté de choix peut être limitée.

Le 17 avril 2024, le Comité Européen de la Protection des Données (CEPD) a publié son avis sur le modèle « Consent or Pay ». Ce modèle, utilisé par de grandes plateformes comme Meta (Facebook, Instagram, WhatsApp), propose aux utilisateurs :

• accepter le traitement de leurs données pour de la publicité comportementale, ou
• payer pour accéder au service sans publicité.

Bien que cet avis ne soit pas contraignant, il rappelle que ce mécanisme peut empêcher un consentement pleinement libre, éclairé et spécifique. Le CEPD souligne le rôle du déséquilibre de pouvoir entre l’utilisateur et la plateforme.

Pour évaluer la légalité des cookie walls et du « Consent or Pay », le CEPD recommande de vérifier :

• si l’absence de consentement cause un préjudice à l’utilisateur,
• si le coût imposé pour refuser la publicité est raisonnable,
• si l’utilisateur peut accepter ou refuser certaines finalités de traitement de manière granulaire,
• si une alternative équivalente est proposée, permettant l’accès au service sans publicité comportementale et sans paiement.

Le CEPD insiste : les données personnelles ne doivent pas être traitées comme une marchandise. Le consentement n’est pas valide si l’utilisateur est contraint de payer pour protéger ses données.