Conformité RGPD et ePrivacy, quelle recette pour vos cookies ?

RGPD, ePrivacy, et dernières directives de la CNIL

La mise en oeuvre du RGPD (Référentiel Général de Protection des Données), en mai 2018, avait pour vocation de responsabiliser les organismes publics et privés qui collectent des données personnelles. Sa portée est Européenne.

En France, la CNIL (Commission Nationale Informatique et Liberté) a publié de nouvelles directives, le 17 septembre 2020, précisant les bonnes pratiques de gestion des cookies.

Le saviez-vous ?

Les cookies de navigateur ont été inventé en 1994  par Lou Montulli, un américain travaillant pour le compte de NetScape. En déposant un petit fichier sur le poste de travail de l’internaute, les sites internet pouvaient dès lors conserver des informations de navigation de l’internaute (préférences, panier, etc.) d’une session à l’autre.

Mais que signifient les directives ePrivacy, traduites en « vie privée et communications électroniques » en français ? Il s’agit d’une lex specialis (loi spéciale) du RGPD. Ces directives complètent le RGPD par des règles spécifiques, et le remplacent dans les domaines spécifiques quelles couvrent.

Avec tous ces règlements, le cookie prend l’allure d’un millefeuille…

Gestion des cookies, quelles recettes à appliquer pour votre site web ?

Nous vous proposons un résumé des éléments principaux à garder en tête :

Votre site internet doit obtenir le consentement préalable, libre et éclairé de vos internautes.

Consentement préalable ?  Vos internautes doivent pouvoir accepter ou refuser toute ou partie des cookies, avant de naviguer sur votre site.

Libre ? Vos internautes doivent se sentir, et être libres de décider ou de refuser. À ce titre, les explications sur les cookies doivent être neutres, afin de ne pas forcer l’acceptation. Il convient également de privilégier l’opt’in sur ces choix : les boutons de choix ne doivent pas être activés par défaut pour une acceptation ou un refus.

Eclairé ? Vous devez adopter un vocabulaire et des tournures de phrases simples et claires, pensées et adaptées à vos publics. En ce sens un site internaute destiné à des enfants se devra d’adopter un vocabulaire enfantin.

Les différents types de cookies

Pour aller plus loin, il est nécessaire de présenter les grandes typologies de cookies.

Les cookies essentiels

Nous pouvons classer dans cette famille les cookies nécessaires au bon fonctionnement du site (cookies d’authentification, de conservation de panier), ou destinés à assurer des exigences de sécurité.

Les cookies fonctionnels & préférences

Bien que non indispensables au bon fonctionnement du site, ces cookies permettent aux internautes de bénéficier de fonctions avancées.

Les cookies performance et statistique

Ce sont les cookies associés à des outils de suivi de performance ou de statistiques de votre site, pouvant inclure des informations sur les visiteurs (première visite, pages vues, …). Google Analytics est bien souvent utilisé… même si son usage pose question.

Les cookies Targeting et publicité

Ce type de cookies est destiné à suivre la navigation d’un internaute sur un ou plusieurs sites, en établissant un profil par visiteur.

L’objectif étant de délivrer des publicités personnalisées ou “pertinentes” et d’analyser les interactions du visiteur.

Exemple : la gestion des cookies du site de la CNIL

Quoi de mieux que de faire référence au site de la CNIL pour illustrer les directives de gestion des cookies ?

Prenez le temps de découvrir la capture d’écran ci-dessous, et d’en tirer vos propres conclusions. Nous vous apportons des éclairages juste après.

Capture d’écran du 21 octobre 2020 : Gestion des cookies du site de la CNIL.

Première surprise, l’accès à la gestion des cookies est gérée dans le menu, sans mise en place d’une bannière spécifique. Ce principe est en décalage avec la notion de consentement “préalable”. Cependant, la gestion des préférences sur les cookies respecte globalement la notion de liberté de choix puisqu’il faut cliquer sur Accepter ou Refuser pour chacun.

Seul un choix est positionné par défaut : celui des cookies de mesure d’audience. Ainsi un internaute qui n’aura pas volontairement cliqué sur la gestion des cookies sera gratifié d’un cookie de Piwik.

Piwik, désormais renommé Matomo, est un système de mesure d’audience, inventé par un Français, et distribué sous licence  publique générale (GNU). Il s’agit d’une alternative à Google Analytics. La compatibilité RGPD de Matomo n’est pas remise en cause, contrairement à celle du géant de la publicité digitale. La principale raison étant qu’il s’installe directement sur les serveurs hébergeants les sites web, alors que le moteur de Google Analytics est hébergé sur les serveurs de Google dont bon nombre sont hébergés hors Union Européenne.

Nous avons ainsi traité le sujet de consentement préalable et libre.

Intéressons-nous à la notion de consentement éclairé… et à d’autres subtilités.

Le texte explicatif situé sous le titre est explicite, et fait mention des tierces parties proposant les services disponibles sur le site : des réseaux sociaux et des services liés aux vidéos et à leur partage.

L’internaute a la possibilité d’accepter ou de refuser tous les cookies en un clic. Cette approche est une bonne pratique qui vise notamment à éviter le phénomène de “consent fatigue” : l’internaute ne doit pas être asséné de messages et d’actions qui pourraient le conduire à renoncer à faire ses choix.

Les différentes familles de cookies utilisées sont clairement présentées. Aucun choix n’est fait par défaut (il s’agit d’une approche opt’in en opposition à l’opt’out). Pour tous les cookies tiers la CNIL prend soin de proposer un lien vers la page de politique de confidentialité de chaque tiers. Si cette pratique est louable, peu d’internautes feront l’effort d’aller découvrir chacun de ces liens pour décider d’accepter ou non les cookies.

Le dernier lien de la page propose de découvrir les traitements mis en oeuvre par la CNIL, associés à ces cookies.

Cette analyse de gestion des cookies proposée par le site de la CNIL démontre que cette Commission Nationale peut servir d’exemple à suivre. Et si la notion de “préalable” peut sembler perfectible, la CNIL a jusqu’au 21 mars 2021 pour affiner sa conformité RGPD et ePrivacy de gestion des cookies.

Un contre exemple, à ne pas suivre

Citons un contre exemple d’une société bien connue de tous : Twitter.

Voici une capture d’écran datant du 21 octobre 2020. Nous vous laissons apprécier son décalage avec les directives que vous connaissez à présent.

Quels risques en cas de non conformité au RGPD ?

En janvier 2019 la CNIL a prononcé une amende de 50 millions d’Euros auprès de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

La CNIL annonce que le montant des sanctions peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

La société SPARTOO a ainsi été sanctionnée à hauteur de 250 000 euros.

Bon nombre de sanctions et amendes ont été actées auprès de sociétés de l’Union Européenne pour non respect des directives RGPD. On peut notamment citer une amende de 10 000 € pour IKEA en Espagne et de 3 000 € pour un site marchand en Espagne (Grow Beats).

Ces exemples montrent que les infractions à ces dispositions sont prises de plus en plus au sérieux. Votre attention au respect des directives est d’autant plus importante si votre site utilise des cookies de retargeting et publicité, et si votre organisation a une forte notoriété et visibilité.

Quid du mode de navigation privée de votre navigateur ?

Les navigateurs vous proposent à présent d’ouvrir des fenêtres de navigation privée.

Le principe de base, est de supprimer votre historique de navigation, et les cookies en fin de navigation (lorsque vous fermez la fenêtre de navigation privée).

Au sujet de la durée de conservation sachez que pour être en conformité avec le RGPD et ePrivacy, les cookies doivent être conservés 13 mois au maximum.

Il faut bien comprendre qu’avec le mode de navigation privée, votre parcours sur Internet sera traçable pendant toute la durée de votre surf. En ce sens, ce mode ne vous garantit pas l’anonymat. Cependant il peut vous rendre service si vous souhaitez réaliser une surprise à votre conjoint.e et éviter de retrouver sur des sites, qu’il ou elle pourrait parcourir, des publicités pour le cadeau secrètement repéré.

Pour vous aider à préparer votre surprise, sachez que vous trouverez aisément ce mode de navigation privée dans le menu principal de votre navigateur préféré.

Pour aller plus loin

Cet article reste synthétique, et est centré sur les cookies, qui ne constituent qu’une partie des directives RGPD et ePrivacy.

La CNIL vous apporte beaucoup d’informations, avec notamment :

Comprendre le RGPD

Application de la directive ePrivay

Un article récent sur le Blog du Modérateur propose une synthèse sur l’impact des dernières directives de la CNIL.

Une vidéo à découvrir sur la bonne gestion des cookies présentée lors du ParisWeb 2020.

Les outils permettant de gérer les cookies d’un site internet appartiennent à la famille des CMP (Consent Management Plateform), ou  plateforme de gestion du consentement dans la langue de Molière.

L’équipe SEO et WebMarketing de notre agence acti est à votre écoute.

 

 

Retourner sur la liste des articles