La réglementation évolue et impose aujourd’hui à tout site internet une gestion de l’acceptation par l’utilisateur des cookies utilisés.
L’utilisateur doit être informé de la présence de cookies, donner son accord ou le refuser, ce qu’on appelle le recueil du consentement, et pouvoir par la suite le modifier, ce qui est appelé la gestion des cookies.
Nous allons examiner ici les incidences de ces obligations et comment les mettre en œuvre de manière pratique en 3 points.
Pourquoi réglementer l’usage des cookies ?
Les cookies, petits traceurs laissés à chaque visite d’un site, permettent notamment de suivre le parcours des utilisateurs.
Avec le dépôt de cookies tiers, c’est-à-dire des cookies non seulement laissés par le site visité mais provenant de sites affiliés, il devient possible de consolider les informations de visites sur différents sites, de déterminer le parcours utilisateur d’un site à l’autre, et de créer un profil très détaillé d’un utilisateur. Cela constitue un atout majeur pour le marketing en ligne.
On peut citer les cookies Facebook (et autres mécanismes comme le Facebook pixel), qui ont l’avantage de fournir un état civil du visiteur, alors que d’autres systèmes ne permettent que de suivre des IPs anonymes.
La mise en place de la législation
Face à cet enjeu et à la puissance hégémonique des GAFAM dans ce domaine, l’Union Européenne a légiféré pour donner de la transparence aux utilisateurs sur cet aspect technique souvent ignoré et leur redonner le contrôle sur leurs informations personnelles.
C’est l’objet du fameux RGPD (Règlement général sur la protection des données), qui a été précisé ou complété par des dispositions annexes, comme celles de la CNIL. Pionnière dans ce domaine, l’Europe a été par la suite prise pour source d’inspiration dans d’autres pays.
Les mesures qui en découlent
La RGPD est un ensemble vaste, mais concernant spécifiquement les cookies, voici trois dispositions essentielles :
1. Alerter
- Alerter l’utilisateur de la présence de cookies
- Sensibiliser l’utilisateur à la nature d’un cookie informatique
2. Informer
- Informer sur l’origine et la portée des cookies utilisés : cookies de site ou cookies tiers partagés
- Informer sur la finalité et l’exploitation des cookies utilisés
3. Conserver
- recueillir et stocker l’accord ou le désaccord sur l’utilisation des cookies (le consentement utilisateur)
- permettre de visualiser le consentement précédemment donné, et pouvoir le modifier (révision du consentement)
En pratique : 3 éléments à mettre en place
Concrètement, le site doit être aménagé pour respecter l’ensemble des mesures et contenir les trois éléments suivants :
- Bandeau informatif : Lors de la première visite, un bandeau informatif visible sur toutes les pages doit informer sur la présence de cookies, demander l’acceptation ou le refus initial et proposer un lien vers la page Politique de Cookies.
Exemple de bandeau de consentement initial Politique de cookies : Cette page présente la notion de cookie informatique de manière générale, les différents aspects de l’utilisation des cookies sur le site, et la liste complète précisant leur origine et leur finalité.
Exemple de page de Politique des cookiesSystème de gestion des cookies : Ce système permet de recueillir, afficher et modifier le consentement global précédemment recueilli ainsi que de sélectionner les cookies à activer ou désactiver individuellement.
Exemple de système de de gestion des cookies
Systèmes de gestion des cookies
Heureusement il existe des systèmes complets de gestion des cookies sous forme d’extensions ou de scripts à intégrer au site, tels que Tarteaucitron.js, Cookiebot, etc.
Une fois installée, l’extension est paramétrée pour s’inscrire dans le contexte particulier du site (liste des cookies avec leur nature et leur finalité, contenu de la politique de cookies, design visuel, etc.) afin d’être complet et garantir pleinement la conformité RGPD.
Ce qui n’est pas autorisé
- Consentement forcé : Si l’utilisateur ne dispose que du bouton « accepter » pour poursuivre sa navigation, cela ne constitue pas un véritable consentement. On notera que de nombreux sites utilisent encore cette approche, non conforme à la RGPD.
Consentement biaisé : Les boutons pour accepter ou refuser doivent être présents et visibles de manière égale. De nombreux sites ne respectent pas cette règle en rendant moins visible le bouton « refuser » afin d’inciter l’utilisateur à accepter d’office, rendant le consentement caduque.
Consentement à minima : Imposer des cookies non désactivables revient à ne pas proposer un réel consentement utilisateur. Tous les cookies doivent pouvoir être désactivés sauf ceux nécessaires au fonctionnement technique du site.
Ce qui est autorisé…et étonnant !
- Sites à accès payant : Paradoxalement, un site peut interdire son accès, le rendre restreint ou payant si l’utilisateur n’accepte pas l’usage des cookies.
Cela permet de repérer les sites qui exploitaient de manière intensive les données utilisateur sans les en informer avant la RGPD, en en faisant une activité lucrative par la revente des données.
On citera quelques exemples notoires : Marmiton, Doctissimo, Le Parisien, etc.
Astuce : Il est possible de contourner ces limitations en passant en navigation privée, et y accepter les cookies, qui seront automatiquement détruits après navigation.
- Les limites du modèle : Ironiquement, le consentement est stocké…dans des cookies. C’est-à-dire que le refus de l’utilisateur à l’utilisation des cookies…est stocké dans un cookie. Et paradoxalement, et c’est plus grave, possiblement dans un cookie tiers généré par le système externe de gestion des cookies…
Le quizz
Voici des captures des bandeaux de consentement initial sur quelques sites des plus utilisés en France.
Trouverez-vous les bons et les mauvais élèves ?
En conclusion
Le simple bouton ‘OK’ pour les cookies n’est plus suffisant. – EL
La gestion des cookies sur les sites web est devenue une obligation réglementaire depuis la mise en place du RGPD.
Des aménagements techniques et contenus doivent être mis en place pour assurer cette conformité, notamment via 3 éléments : un bandeau de consentement initial, une page Politique de cookies et un système de gestion du consentement utilisateur par cookie.
Ces mesures permettent aux utilisateurs d’évoluer sur votre site avec transparence tout en gérant leurs données personnelles conformément à la réglementation européenne.
Sources :
- Règlement général sur la protection des données / Wikipedia
- Les règles à suivre pour les cookies / CNIL
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE / European Union