Les cookies, vous savez ces petites choses dont on entend parler à longueur de temps, qui nous sautent aux yeux sur tous les sites (… enfin plutôt ceux qui sont en conformité ? ), contenus dans le fameux « bandeau » qui s’affiche lorsque l’on atterrit sur un site web, celui qui vient nous demander inlassablement : « vous êtes d'accord / pas d'accord » ; au point que la plupart des internautes cliquent sur “oui j'accepte”, sans lire ce à quoi ils souscrivent.
Sauf qu’accepter les cookies c'est un petit peu comme signer un contrat de mariage : il vaut mieux avoir lu les petites lignes avant ! Parce qu'accepter les cookies, c'est s'engager à se mettre à nu sur Internet. Le feriez-vous en sachant que tout le monde vous regarde ? C'est pourtant ce qui se passe lorsqu'on dit oui sans se poser plus de questions.
Alors les cookies c'est quoi ? Et les bandeaux ne servent-ils que pour les cookies ?
De façon générale, et pour simplifier les choses, un cookie c'est un petit peu de texte qui va s'installer sur votre machine lorsque vous visitez un site web, qui va envoyer des informations au serveur du site web et qui va en envoyer à chaque fois que vous retournez sur ce site.
Cela peut permettre par exemple de savoir ce que vous avez fait juste avant, quel site vous avez visité, sur quelle page vous avez atterri en venant d'où, en ayant cliqué où, combien de temps vous êtes resté sur une page, sur quelle page vous vous êtes attardé etc.
Certains cookies sont tout à fait nécessaires au site que vous visitez, comme par exemple un cookie d'authentification, un cookie de panier, ou un cookie de personnalisation de la page. Objectivement, c’est vrai que ça ne serait pas drôle de devoir remettre les mêmes produits dans votre panier à chaque fois que vous changez de page ! Ce ne serait pas du tout fonctionnel… Et c'est pour cela qu'on les appelle les cookies de fonctionnement.
Attention, il ne s’agit pas que des cookies au sens propre. Les textes en vigueur parlent de "cookies et autres traceurs ». La définition est donc très large. Il faut tenir compte par exemple des identifiants Android ou des identifiants Apple présents sur vos smartphones, des pixels Facebook etc. Toutes ces petites choses qui font que l'on peut vous tracer d’où leur nom de traceur.
Et la réglementation, la législation, elles disent quoi ?
Alors là, quand on parle de textes, il s'agit bien de les mettre au pluriel ! Car pour savoir comment faire avec ces cookies / traceurs, il faut se référer à minima à la loi Informatique et libertés qui reprend la directive e-privacy, mais aussi au RGPD, sans oublier aussi au droit souple représenté par la directive de la CNIL sur les cookies de 2020 et les recommandations associées.
Bref, cela fait beaucoup de lecture et en plus c'est une lecture pas marrante du tout. Pas assez d’action dans ces bouquins.
Qui a envie de lire des textes qui commencent par nonobstant, hein?
Si si, on vous l’assure, ce mot est utilisé tant dans le RGPD que dans la loi informatique et libertés, vérifiez ! Ce n’est même pas un piège de notre part pour vous obliger à les lire.
Du coup, qu’est-ce qu’il faut en retenir de manière intelligible ? De façon globale, il faut comprendre que c'est comme pour rentrer chez quelqu'un : d'abord on sonne à la porte et on n’entre que si l'habitant nous a invité à le faire.
Le principe de base est donc le suivant – la recette magique : information préalable (je sonne à la porte pour me signaler) + consentement de l'utilisateur (invitation à entrer).
Dans la loi Informatique et libertés on retrouve la transposition de la directive européenne - de son petit nom “e-privacy” - concernant les cookies, notamment dans son article 82 qui précise que l'utilisateur doit être informé et doit donner son consentement avant que tout traceur ne soit installé sur son terminal… AVANT QU'IL NE SOIT POSÉ SUR LE TERMINAL…
Ce qui veut dire que le petit traceur n'a pas le droit de s'installer avant que l'utilisateur ait coché la case « oui ». Le consentement aussi est un préalable.
Voyons plus loin que le simple Navigateur…
En plus on ne parle pas que des cookies qui s'installent dans les paramètres du navigateur. Non, bien sûr que non, cela serait trop facile. On parle de n'importe quel terminal connecté : votre ordinateur, votre smartphone mais aussi n'importe quel objet connecté comme une TV, un réfrigérateur...
Nous parlions donc de l'article 82 de la loi Informatique et libertés modifiée (oui on dit “modifiée” parce qu'elle a été tellement de fois...). Sauf que voilà : ni la directive e-privacy, ni la loi Informatique et libertés ne définissent ce grand mot qui est le consentement (pour les GAFAM ce serait même un gros mot plus qu’un grand mot). Ainsi, pour définir le consentement il faut se tourner vers le RGPD, vous savez ce texte européen qui a fait couler beaucoup d'encre depuis 2018 (il date de 2016 et il est d’application directe dans les états membres depuis 2018).
Et il dit quoi le RGPD sur le consentement ?
A ceux qui viendrait penser que : « si on ne dit pas non, c’est qu’on dit oui », ces gens-là ont tout faux.
Le consentement sur Internet doit être représenté par un acte positif COMME DANS LA VRAI VIE ! En gros, ça signifie que la case ne doit pas être cochée par avance, que l'utilisateur n'a pas été poussé dans son choix, qu'on ne doit avoir aucun doute sur ce choix, que la personne doit être informée sur ce qui va se passer pour ces données avant de dire oui ou non, et on ne peut en aucun cas déduire le consentement d'un manque d'action : c'est tout l'inverse.
Exit l'ancienne recommandation de 2013 qui laissait la possibilité de penser que la poursuite de la navigation valait consentement : encore une fois "c'est pas parce qu'on dit rien qu'on dit oui".
"Oui mais il existe l'exemption de consentement" : En effet , à partir du moment où le cookie est strictement nécessaire à la fourniture du service demandé par l'utilisateur alors il est exempté de consentement. Nous parlerons d’ailleurs du cas de l’exemption pour certains outils de mesure d’audience un peu plus loin.
Alors, qu’est-ce qu’on doit faire ? Ou plutôt, comment doit-on le faire ?
Si vous ne voulez pas vous retrouver dans la liste des 422 plaintes de l'ONG NOYB, il serait mieux de suivre les recommandations de la CNIL.
La CNIL propose des outils complémentaires du droit : les lignes directrices (synthèse du droit applicable) et les recommandations qui sont des exemples de modalités pratiques. Vous savez, le fameux droit « souple ». Nous ne saurions d’ailleurs que vous recommander le 2nd texte, d'autant plus qu'il est gratuit et accessible publiquement. Vous n'avez plus aucune excuse pour ne pas mettre vos sites en conformité !
Les recommandations précisent justement que la poursuite de la navigation ne vaut pas consentement, propose des modalités pratiques de recueil du consentement, de refus du consentement, de retrait du consentement et de preuve du consentement. Et au-delà de le mettre en œuvre, n’oubliez pas que vous êtes également sensés pouvoir le prouver ! Rassurez-vous : on ne prouve pas que chaque utilisateur particulier a donné ou refusé le dépôt des traceurs, mais on doit en tout cas pouvoir prouver la validité du processus de recueil du consentement.
Et si vous êtes polyglotte ou si vous avez la traduction automatique sur votre navigateur, vous pouvez même aller voir la FAQ de NOYB.
C'est quoi alors la recette pour un bon bandeau?
Faire un bon bandeau, c'est tellement complexe que la Commission européenne de protection des données a décidé fin septembre de mettre en place un groupe de travail, notamment pour coordonner la réponse aux différentes plaintes qui ont été déposées par l’ONG NOYB auprès des autorités de contrôle européennes (pour la France l'autorité de contrôle est la CNIL).
En effet, NOYB a analysé de façon automatique de nombreux sites web et envoyé un projet de plainte à plus de 500 entreprises.
L’ONG a accompagné ce courrier d'une FAQ et d'un tuto pour paramétrer un outil de gestion des consentements. C'est pour dire s'ils sont gentils
Schématiquement, ils disent : « vous n'êtes pas en conformité mais on va vous aider à le faire, par contre si vous ne le faites pas, là on dépose plainte pour de vrai dans la vraie vie ».
Certaines entreprises se sont immédiatement mises en conformité, d'autres ont tenté le diable, pardon, ont tenté Max Schrems, le co-fondateur de l’ONG.
Et quand on joue avec le feu.... les plaintes ont été déposées.
422 plaintes basées sur des analyses automatiques d’où étaient ressorties par exemple les observations suivantes : des cases pré-cochées, une absence de possibilité de refus, une mauvaise utilisation de couleurs, ou une invocation de l'intérêt légitime pour suivre l'utilisateur sans son consentement.
36 plaintes supplémentaires ont été déposés sur la base de bandeau non conforme souvent pour des grandes sociétés selon lesquelles il serait légal de manipuler les utilisateurs pour qu'ils cliquent sur OK.
Au vu de tout ça on comprend mieux pourquoi le CEPD a nommé une Task force.
Mais alors du coup c'est quoi un bon bandeau ? On vous l'a dit la recette de base c'est : information préalable + consentement (préalable aussi).
Qu’y a-t’il dans cette information préalable ? Pour le savoir suivons la règle du « CQQCOQP ».
Dans le désordre (on peut mélanger les ingrédients comme on veut, pourvu qu’il n’en manque aucun sinon la recette ne prend pas...
Qui ?
L’utilisateur doit pouvoir connaître l’identité du responsable de traitement des opérations de lecture écriture sur ces traceurs. Si vous ne savez pas qui est responsable de traitement, nous vous invitons à lire notre article du blog sur le RGPD.
Pourquoi ?
Il faut indiquer la finalité des opérations via une petite question (par ex : effectuer des stats sur…).
Comment ?
L’utilisateur doit être informé de la manière d’accepter ou de refuser les traceurs.
Sinon quoi ?
Il doit aussi être informé des conséquences de son refus par exemple il se peut qu’il ne bénéficie pas de tous les services justement parce qu’il a refusé certains cookies.
Quoi ?
Il faut indiquer le périmètre pour lequel le consentement est donné, comme lorsque le consentement dépasse le cadre du site visité (cross device, lorsque le consentement est donné vaut aussi pour l’application mobile).
Quand ?
Parce qu’évidemment il est interdit de conserver ces données à vie ! Il faut donc préciser au bout de combien de temps les cookies s’auto-détruisent.
Il manque le « C » de combien nous direz-vous !
La question sera plutôt : "combien ça fait si on ne le fait pas” ?
La réponse : jusqu’à 20 millions d’euros ou 4% du chiffre d'affaires mondial de l'entreprise. Ça c'est pour la sanction. C’est dit.
Attention, on a failli oublier : il faut en plus informer l'utilisateur de son droit de retirer ou de redonner son consentement à tout moment. Car non content d'avoir montré le bandeau une première fois, il faut pouvoir le montrer à la demande à chaque fois que l’utilisateur le souhaite, en cliquant par exemple sur un lien de type « gestion des cookies » que vous aurez pris soin de mettre de façon visible, par exemple, à côté des « mentions légales » et de la « politique de confidentialité ».
Si dans une certaine acception collective, le vert signifie qu’on peut passer et le rouge qu'il faut s'arrêter, pensez qu’il vous est interdit de biaiser le jugement de l’utilisateur par des couleurs qui viendraient lui signifier la bonne conduite à suivre en matière de cookies… Par exemple, évitez absolument un bouton “tout accepter” en vert et un bouton “tout refuser” en rouge. De la même manière, il est interdit de prévoir un bouton en accès rapide “tout accepter” alors que notre bouton pour refuser les cookies ne pourrait s’activer qu’au prix de moult clics… En matière de cookies, il faut que refuser soit aussi facile qu’accepter !
"Et si je pré-cochais les cases en disant que c'est mon intérêt légitime ?"
Rappelez-vous simplement, comme dit précédemment dans cet article : « pré-cocher c'est mal ». De plus on peut parler d'intérêts légitimes comme base légale pour traiter de données à caractère personnel (RGPD), mais ça n'a strictement rien à voir avec le fait que pour avoir le droit d'entrer dans une maison il faut avoir l'autorisation de l'habitant !
Traduction : l'article 82 de la loi Informatique et libertés dit qu'il faut obtenir le consentement de l'utilisateur avant de déposer un traceur.
Et si ce traceur embarque des données à caractère personnel, les 2 textes, art 82 loi Informatique et libertés et RGPD, sont applicables !
"Et si j’anonymise les données, du coup je suis exempté de consentement ?"
Et bien non ! Qu’il y ait des données à caractère personnel ou non, l'article 82 de la loi Informatique traite des cookies et vous demande d'obtenir le consentement de l'utilisateur avant de déposer le traceur.
Le fait que les données soient anonymes ou à caractère personnel permet de savoir si en plus il faut - notamment - le déclarer dans le registre des traitements tel que requis par le RGPD.
"Toute façon je m'en fous, s'il ne veut pas, je lui demande tous les jours en lui affichant le bandeau sous le nez à chaque visite".
Alors là, non plus. Pas bien ! On frôle le harcèlement là.
Ici le consentement n'est pas libre. C’est plutôt forcer le clic : l’utilisateur dirait oui juste pour être tranquille. Un tel consentement n’est pas valide.
L’ironie dans tout ça, c'est que même si l'utilisateur refuse le dépôt des cookies, il faut quand même en déposer un – sans son consentement en plus puisque c’est un cookie fonctionnel : celui qui va conserver le choix qui a été fait.
La CNIL recommande de conserver ce choix - refus où acceptation - pendant 6 mois. C'est une recommandation, ce n'est donc pas une obligation. Mais comme c’est la CNIL qui sanctionne, on vous conseille donc de suivre ses recommandations !
C'est comme pour la durée de vie des cookies : avant c'était facile, dans la recommandation de 2013 on disait qu'il devait durer au maximum 13 mois. Dans la recommandation actuelle, ces 13 mois ne concernent que les cookies de mesure d'audience, les "analytics".
Mais alors quid des autres traceurs ? Gardez à l’esprit cette règle de base : on n'a pas le droit de conserver des informations à vie. Il faut forcément une date de fin, et cette durée de conservation doit être adaptée aux finalités.
De ce fait plus cette durée s'éloigne de 13 mois, plus la CNIL sera tentée de vérifier si c'est bien pertinent avec les finalités déclarées.
Puisqu'on en parle, savez-vous si les cookies de mesure d'audience - ces fameux analytics - sont exemptés de consentement ? Et bien ça dépend.
L'exemption qui a été introduite en 2013 existe toujours dans les lignes directrices actuelles, mais uniquement lorsqu'il s'agit de fournir un service demandé par l'utilisateur, et ils doivent avoir pour seule finalité la mesure d'audience statistique du site web.
De fait, cela exclut le suivi global de la navigation par exemple. Cela exclut aussi les outils pour lesquels l'éditeur se permet de conserver les données pour l'amélioration de son propre service.
La CNIL tient une liste à jour de solutions de mesure d'audience bénéficiant de cette exemption. Mais attention, il faut suivre à la lettre la configuration associée à chaque outil sans quoi l'exemption ne tient pas.
"Non mais mes traceurs c'est que pour afficher de la pub qui n'est pas personnalisée alors je n'ai pas besoin de consentement"
Et bien si en fait, parce que à partir du moment où cela n'est pas strictement nécessaire à la fourniture du service demandé par l'utilisateur, son consentement est requis.
Peu importe que la publicité soit personnalisée ou non, cela n'entre pas en ligne de compte.
Comme nous l’avons écrit plus haut, le consentement est lié à la finalité. Si la finalité du traceur est autre que celle de fournir le service demandé par l'utilisateur, le consentement est requis.
Alors, facile non ? Maintenant, vous savez ce qu'il vous reste à faire.
Et si vous ne savez pas, ça tombe bien, chez IPgarde, nous sommes des spécialistes de ces questions, et vous pouvez toujours nous appeler !