Site web et conformité des cookies
Mon site est-il concerné par les exigences de la CNIL ?
Si votre site reçoit des visiteurs français alors vous devez suivre les instructions de la CNIL en ce qui concerne l’utilisation des cookies et autres traceurs. Vous êtes concerné peu importe le lieu d’hébergement de votre site, en France ou ailleurs dans le monde.
Le consentement ne concerne pas uniquement les cookies que vous utilisez vous-même pour le traitement des données mais aussi les cookies déposés par des tiers. Il est possible que vous ne soyez pas au courant de l’utilisation de ces cookies et donc que, sans le savoir, vous ne garantissiez pas le droit au consentement de vos utilisateurs.
Mais n’ayez crainte, se mettre en conformité peut être beaucoup plus simple qu’il n’y parait grâce à une solution de consentement comme Cookiebot Consent Management Plaform (CMP).
Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.
Pourquoi établir un consentement conforme ?
Fondamentalement, il s’agit de respecter les utilisateurs de votre site.
Demander le consentement avant de traiter leurs données est essentiel pour garantir le droit à la vie privée. Les règles définissant le consentement conforme permettent de protéger ce droit et d’uniformiser les pratiques.
Les autorités de protection des données sont responsables de délivrer des sanctions si la législation en vigueur n’est pas respectée.
En France, la CNIL est très active et effectue des contrôles réguliers. Il est donc important d’établir un consentement aux cookies conforme pour respecter le droit à la vie privée et ainsi éviter de lourdes sanctions.
La CNIL et les cookies
La CNIL, c’est quoi ?
La Commission national de l’informatique et des libertés, couramment appelée la CNIL, a été créée en 1978 par la loi Informatique et Libertés pour protéger la vie privée et les libertés individuelles à l’ère du développement informatique.
Son objectif est double : à la fois aider les particuliers à protéger leurs données et à exercer leurs droits, mais aussi accompagner les professionnels dans leur mise en conformité.
Sanctions de la CNIL
Au fil du temps, la CNIL a gagné en autorité et elle peut aujourd’hui infliger des sanctions sévères.
L’entrée en vigueur du règlement général sur la protection des données (RGPD) renforce notamment les pouvoirs de la CNIL en matière de sanctions. En effet les sanctions encourues pour non-conformité au RGPD peuvent s’élever à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros d’amendes.
Ainsi en 2019, la CNIL a condamné Google à payer une amende de 50 millions d’euros pour un consentement recueilli de façon non conforme dans le cadre de ciblage publicitaire.
En application de la loi Informatique et Libertés, la CNIL peut également infliger des peines allant jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.
Missions de la CNIL
Toutefois, la CNIL n’est pas seulement responsable de délivrer des sanctions : elle souhaite surtout permettre une innovation technologique ne portant pas préjudice aux libertés individuelles.
Ainsi, la CNIL oriente son action autour de 4 missions :
- Informer, protéger les droits
- Accompagner la conformité et conseiller
- Anticiper et innover
- Contrôler et sanctionner
Consultez le site de la CNIL ici.
En ce qui concerne les cookies, la CNIL se rapporte à la législation en vigueur pour orienter son action.
Les lois cookies – RGPD, ePrivacy, loi Informatique et Libertés
En France, l’utilisation de cookies est soumise à deux types de législation : française et européenne. Essayons d’y voir plus clair.
Le RGPD, ou règlement général sur la protection des données, est un règlement contraignant dans tous les États membres de l’UE depuis mai 2018. Ainsi, il n’a pas nécessité de transcription en droit français. Il porte sur la protection des données à caractère personnel indépendamment du type de données (pas seulement les informations numériques des utilisateurs) et la manière dont les sociétés doivent garantir la transparence et documenter le consentement des utilisateurs. Il n’adresse donc pas en détail les problématiques liées aux cookies (le mot « cookie » n’est mentionné qu’une seule fois). En France, le RGPD est placé sous l’autorité de la CNIL.
Informez-vous sur le RGPD et lisez le texte de la loi RGPD.
La directive « vie privée et communications électroniques » ou ePrivacy, est un acte juridique plus ancien, adopté en 2002 et mis à jour en 2009, qui traite principalement des cookies, de la conservation des données numériques et des e-mails non sollicités. Il s’agit, comme mentionné précédemment, d’une directive et non d’un règlement, et elle nécessite donc d’être transcrite en droit français.
Lisez la directive ePrivacy ici.
La loi Informatique et Libertés (loi n. 78-17 du 6 janvier 1978) est une loi française qui règlemente le traitement des données personnelles des citoyens français. Elle a été mise à jour en juin 2018 pour être en cohérence avec le RGPD. Elle transcrit également en droit français la directive ePrivacy à l’article 82 par décret du 29 mai 2019.
Jetez un coup d’œil à la loi Informatique et Libertés du 6 janvier 1978.
Ces trois documents de droit français et européen représentent les bases juridiques sur lesquelles s’appuie la CNIL.
Comment rendre mon utilisation de cookies conforme grâce à Cookiebot CMP ?
Lignes directrices et recommandation de la CNIL
Le 17 septembre 2020, la CNIL a adopté de nouvelles lignes directrices pour accompagner les professionnels et propriétaires de site web dans leur mise en conformité de leur utilisation des cookies et traceurs analogues. Celles-ci sont une mise à jour des précédentes lignes directrices publiées le 4 juillet 2019.
Les lignes directrices concernent « toutes les opérations de lecture ou écriture réalisées dans le terminal de communication électronique d’un utilisateur d’un réseau de télécommunication ouvert au public ». Ainsi, elles ne s’appliquent pas uniquement aux cookies mais également à d’autres types de traceurs.
De plus, contrairement au RGPD, les lignes directrices de la CNIL concernent tous types de données, que celles-ci soient à caractère personnel ou non.
Bien que ce texte soit en lui-même non contraignant, il repose sur les textes de loi mentionnés ci-dessus et peut donc avoir une portée juridique importante.
Accéder aux lignes directrices en cliquant sur ce lien.
En complément de ces lignes directrices, la CNIL a publié une recommandation « cookies et autres traceurs » donnant des détails sur les modalités pratiques de recueil de consentement et des exemples concrets de bonnes pratiques à adopter. Cette recommandation vient mettre à jour la recommandation de 2013 suite à l’entrée en application du RGPD en 2018.
Cette nouvelle recommandation a été élaborée en concertation avec des représentants des professions concernées par la publicité numérique ainsi qu’avec les représentants de la société civile, et a fait l’objet d’une consultation publique du 14 janvier au 25 février 2020.
Consultez la recommandation « cookies et autres traceurs ».
Jetez un coup d’œil aux résultats de la consultation publique sur le projet de recommandation.
Des missions de contrôle de l’application de l’ensemble du cadre juridique en vigueur sur la protection des données, éclairé par les nouvelles lignes directrices et la recommandation, seront réalisées à partir d’avril 2021.
Dans la suite de cet article, nous détaillons les recommandations de la CNIL en matière de recueil, de preuve et de retrait de consentement et nous vous montrons comment Cookiebot CMP peut vous aider à répondre simplement à ces exigences complexes.
Responsable du traitement des données
L’article 3 des lignes directrices définit l’éditeur du site web comme responsable du traitement même si ce traitement est sous-traité. Les tiers peuvent également être tenus responsables du traitement, en plus de l’éditeur, s’ils agissent pour leur propre compte.
En tant que propriétaire et éditeur de site web, vous êtes donc dans l’obligation de connaître et de contrôler le traitement des données sur votre site, ainsi que de vous assurer que des tiers ou sous-traitants n’ont pas de comportements qui ne respectent pas la législation française et européenne, et, le cas présent, de mettre fin à ces traitements.
Recueil du consentement
D’après l’article 82 de la loi informatique et libertés, le stockage d’informations ou l’accès à des informations stockées dans le terminal de l’utilisateur ne peut avoir lieu que si l’utilisateur a été « informé de manière claire et complète ».
La CNIL précise qu’un simple renvoi aux paramètres du navigateur sur un site web ne peut pas être utilisé pour recueillir le consentement valide de l’utilisateur.
La CNIL définit ainsi 4 caractéristiques du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Qu’est-ce que cela signifie et quelle aide peut apporter Cookiebot CMP ?
1. Consentement libre
Le consentement aux cookies est absolument incompatible avec la coercition. L’utilisateur doit faire face des options présentées similairement pour pouvoir effectuer librement son choix.
En pratique, cela signifie qu’un site ne peut pas utiliser de design trompeur (ou « dark patterns ») qui inciterait fortement l’utilisateur à consentir aux cookies (comme des boutons de tailles ou de couleurs différentes).
Cookiebot CMP respecte l’exigence de consentement libre en proposant un bandeau de consentement aux cookies couvrant moins de la moitié de l’écran, avec une police de caractères uniformes, des boutons de même taille et de même couleur pour l’autorisation de tous les cookies ou seulement de ceux choisis, etc.
Le bandeau cookie développé par Cookiebot CMP répond à l’exigence de protection des données par défaut, c’est-à-dire qu’en l’absence de choix, aucun traceur n’est mis en place.
2. Consentement spécifique
La notion de spécificité du consentement implique que l’utilisateur doit pouvoir consentir à chaque finalité des cookies.
La CNIL propose que chaque finalité soit accompagnée d’un intitulé, d’un bref descriptif et du nom du ou des responsables du traitement. La commission suggère également de regrouper les finalités de cookies par catégories et d’indiquer le nombre de responsables du traitement.
Le bandeau cookie proposé par Cookiebot CMP donne accès en un clic à un menu déroulant comprenant le nombre de cookies, les noms des fournisseurs, un court descriptif sur la finalité de chaque cookie et la durée de vie des cookies. Pour proposer une solution conviviale et ergonomique, les cookies sont regroupés en 4 catégories de finalité : nécessaires, préférences, statistiques et marketing.
3. Consentement éclairé
La CNIL recommande que les informations sur les cookies doivent inclure un minimum de termes juridiques et techniques pour être simples et compréhensibles par tous les utilisateurs. Les informations doivent être facilement accessibles et expliquer comment retirer ou modifier son consentement.
D’après l’article 2 des lignes directrices, les informations à donner à l’utilisateur doivent à minima contenir :
- l’identité du ou des responsables de traitement des opérations de lecture ou écriture ;
- la finalité des opérations de lecture ou écriture des données ;
- l’existence du droit de retirer son consentement ;
- la manière d’accepter ou de refuser les traceurs ;
- les conséquences qui s’attachent à un refus ou une acceptation des traceurs.
Cookiebot CMP suit ces bonnes pratiques en donnant accès en 1 ou 2 clics à partir du bandeau cookie aux informations relatives aux cookies et au droit de retrait du consentement. Les informations sont succinctes mais suffisantes pour un premier niveau d’information. Des informations complémentaires sont facilement accessibles via des liens renvoyant à la déclaration relative aux cookies et à la politique confidentialité.
En ce qui concerne les cookies nécessaires, en accord avec l’article 82 de la loi informatique et libertés et les lignes directrices, le consentement n’est pas requis mais les informations sur ces cookies sont néanmoins accessibles.
4. Consentement univoque
L’univocité du consentement signifie que celui-ci doit être donné par une action positive qui ne laisse ainsi aucun doute sur la décision de l’utilisateur.
Dans les faits, cela signifie que l’inaction, la poursuite de la navigation, l’utilisation de cases pré-cochées ou l’acceptation globale des conditions générales ne constituent pas un consentement valable.
Cet aspect du consentement n’est pas seulement affaire de bonnes pratiques mais bien une obligation au niveau européen depuis le verdict rendu sur l’affaire Planet49 par la Cour de justice de l’Union européenne en octobre 2019.
Dans le bandeau cookie de Cookiebot CMP, vous pouvez choisir que seuls les cookies strictement nécessaires au fonctionnement de base du site web soient cochés par défaut. Tous les autres cookies et traceurs analogues sont détectés et bloqués automatiquement par le scanneur ultra-performant de Cookiebot CMP et ce jusqu’à l’obtention du consentement. Ainsi, un utilisateur peut continuer la navigation sur le site sans que les cookies soient activés par défaut.
Preuve et possibilité de retrait du consentement
D’après la CNIL, les responsables du traitement, tiers ou non, doivent être dans la capacité de prouver le consentement ou le refus des utilisateurs.
En tant que propriétaire de site web, il est de votre responsabilité de conserver les consentements des utilisateurs et de pouvoir montrer ces preuves à la CNIL en cas de contrôle.
Heureusement, Cookiebot CMP suit les conseils de la CNIL et, en tant que plateforme de gestion des consentements (ou CMP pour Consent Management Plateform), vous permet d’enregistrer automatiquement et de manière anonyme les informations liées au consentement à l’aide d’une clé chiffrée. Vous pouvez définir la période de renouvellement du consentement de l’utilisateur avant la réapparition du bandeau lors d’une nouvelle visite. Le consentement peut également être de nouveau requis en cas d’ajout substantiel de responsables de traitement détectés lors d’un audit mensuel automatisé.
En ce qui concerne les possibilités de retrait du consentement, la CNIL s’appuie sur le RGPD et demande qu’il soit aussi facile de retirer son consentement qu’il est de le donner. L’utilisateur doit être informé avant de donner son consentement des possibilités de le retirer ou modifier.
Cookiebot CMP produit pour chaque site un rapport de cookies qui peut être publié sur n’importe quelle sous page du site par la simple incorporation d’un code JavaScript.
Par exemple, sur le site web de Cookiebot CMP, cette déclaration relative aux cookies est accessible en 1 clic à partir de toutes les sous pages via le bandeau de bas de page.
Traceurs exemptés du recueil du consentement selon la CNIL
Certains traceurs nécessaires peuvent être exemptés du recueil du consentement de l’utilisateur pour être placés sur le terminal de ce dernier.
Dans l’article 5 des lignes directrices, la CNIL donne une liste partielle des traceurs pouvant être regardés comme exemptés. Il s’agit par exemple des traceurs :
- conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
- de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée).
Certains traceurs de mesure d’audience peuvent également être exemptés s’ils sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web. Ces cookies peuvent collecter des données si et seulement si :
- ils sont strictement limités à la seule mesure d’audience du site web pour le compte exclusif de l’éditeur,
- ils sont utilisés uniquement pour produire des données statistiques anonymes,
- ils ne permettent pas le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web,
- ils ne permettent pas le recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers.
Comme annoncé dans ses questions-réponses du 18 mars 2021, la CNIL met en œuvre un dispositif permettant aux fournisseurs de solutions de vérifier, auprès de ses services, la possibilité de se prévaloir d’une telle exemption de consentement. Elle publiera ensuite la liste des solutions retenues. Il est important de rappeler que les données à caractère personnelles sont en outre soumises au RGPD.
CNIL et cookie walls
Le 19 juin 2020, le Conseil d’État, la plus haute autorité administrative française, a décidé d’exiger le retrait du paragraphe évoquant les cookies walls à l’article 2 des lignes directrices de la CNIL suite un recours en annulation déposé par des associations et syndicats de la publicité en ligne, du e-commerce et des médias.
Le Conseil d’État a estimé que la CNIL avait excédé son autorité en déclarant que « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. » Il indique que la CNIL ne peut pas légalement interdire les cookie walls. Cependant, le Conseil d’État ne déclare pas que les cookie walls sont un moyen légal de se conformer au RGPD.
« Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue. » (Conseil d’État, 19 juin 2020)
Par cette décision, le Conseil d’État confirme également que les autres points contestés par les requérants sont légaux, seul le paragraphe concernant les cookie walls a du être modifié.
Dans ces nouvelles lignes directrices, la CNIL « estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté de consentement » (Article 2). La CNIL s’appuie ici sur le RGPD et sa définition d’un consentement libre.
La CNIL estime par conséquent que la licéité des cookies walls « doit être appréciée au cas par cas » (FAQ, 18 mars 2021), mais que l’information fournie à l’utilisateur doit clairement indiquer les conséquences de ses choix et, par exemple, l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
Apprenez-en plus sur la légalité des cookie walls pour le consentement des utilisateurs de l’UE.
Résumé
Dans cet article, nous avons décrit les exigences en matière de cookies pour les sites web recevant des visiteurs français.
Être en conformité avec les législations françaises et européennes en vigueur permet d’éviter de lourdes sanctions administratives, délivrées notamment par la CNIL, mais surtout de respecter la vie privée des internautes en créant de la transparence.
Cookiebot CMP vous accompagne pour donner aux utilisateurs de votre site web un véritable choix pour le traitement de leurs données et ainsi entretenir leur confiance.
Scannez gratuitement votre site web dès aujourd’hui pour découvrir quels cookies sont utilisés sur votre site web et si ce dernier est conforme.
FAQ
Qu’est-ce que la gestion du consentement conforme au RGPD ?
Selon le RGPD, votre site web doit informer ses utilisateurs de tout traitement de données personnelles qui a lieu sur le domaine, demander le consentement pour l’activation de cookies qui traitent les données personnelles, documenter et stocker de manière sécurisée les consentements obtenus et renouveler le consentement régulièrement.
Qu’est-ce qu’une plateforme de gestion des consentements ?
Une plateforme de gestion des consentements (CMP) est une technologie qui aide les sites web à se conformer aux exigences du RGPD en matière de traitement légal des données personnelles. Les plateformes de gestion des consentements scannent les sites web pour trouver les cookies et les traceurs qui traitent les données à caractère personnel et permettent aux utilisateurs du site web de donner leur consentement à ces cookies avant de traiter les données à caractère personnel.
Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.
Qu’est-ce qu’un bandeau de consentement conforme selon le RGPD ?
Un bandeau de consentement sur votre site web doit comporter des informations faciles à comprendre sur la configuration des cookies et les pratiques de traitement des données personnelles de votre site web. Un bandeau de consentement valide ne doit pas comporter de cases cochées (cookies activés par défaut), ne doit pas pousser ou forcer les utilisateurs à donner leur consentement (cookie walls) et ne doit pas interpréter comme un consentement l’activité de l’utilisateur telle que le défilement ou la poursuite de la navigation sur le domaine.
Essayez Cookiebot CMP gratuitement pour une conformité totale au RGPD
Les cookie walls sont-ils légaux ?
Non, les cookie walls sont un moyen non conforme pour les sites web d’obtenir le consentement de leurs utilisateurs. Le Conseil européen de la protection des données (EDPB) a adopté des lignes directrices en mai 2020 qui stipulent que les cookie walls ne sont pas un moyen valide d’obtenir le consentement. Le consentement valide doit être donné librement, selon le RGPD, et les cookie walls ne donnent pas aux utilisateurs un véritable choix, a déclaré le EDPB en mai 2020.
Ressources
Lignes directrices de la CNIL (PDF)
Recommandation « cookies et autres traceurs » (PDF)
Décision du Conseil d’Etat sur les lignes directrices de la CNIL
Loi Informatique et Libertés du 6 janvier 1978
Sanction de la CNIL envers Google LLC
Texte officiel du règlement général sur la protection des données (RGPD)
Directive « vie privée et communication électronique » (ePrivacy)
Communiqué de presse officiel de la Cour de justice de l’Union européenne sur l’affaire Planet49
Le Monde : Interview avec Marie-Laure Denis, présidente de la CNIL, sur la recommandation cookies