Gestion des cookies, ce qu’il faut savoir

Publié le jeudi 08 avril 2021 à 11:22 , mis à jour le jeudi 08 avril 2021
7 mins

Vous avez sans doute vu fleurir de nouvelles popup d’acceptation des cookies sur la toile. Une véritable course contre la montre s’est enclenchée depuis le 1er Avril 2021. Pourquoi une telle accélération du mouvement sur la gestion des cookies ? On vous explique tout ce que vous devez absolument savoir sur ce sujet…

Les lignes directrices sur les consentements cookie ont été publiées au 4 Juillet 2019, mais la CNIL (Commission nationale de l’informatique et des libertés) a souhaité se montrer conciliante auprès des entreprises en leur accordant un délai pour la mise en conformité. Ce délai vient tout juste d’expirer ! Depuis cette date fatidique du 1er Avril 2021, la CNIL promet de renforcer les contrôles afin que tout le monde applique enfin ce qui est maintenant devenu une loi.

Afin de répondre à cette problématique, une multitude d’acteurs ont vu le jour sur le marché. Ces acteurs proposent des solutions clé en main permettant d’ajouter votre gestion des consentements cookies sur votre site en très peu de développement (un simple code javascript à rajouter dans l’en-tête de votre site). Vous utiliserez alors un configurateur visuel pour définir ce que sera votre popin-privacy, et aurez à disposition les KPI sur les consentements récoltés. Ces outils peuvent vous aider aussi dans la mise en place de vos registres et pièces justificatives à fournir en cas de contrôle. Alors comment s’y retrouver, quels sont les points critiques à prendre en compte lors de votre choix ?
Nous verrons dans un premier temps les notions et termes employés sur le sujet afin que vous puissiez vous y retrouver dans les différents articles présents sur le net. Puis nous verrons ce que dit la loi, ce que votre gestion des consentement doit impérativement proposer. 

La terminologie pour la gestion des consentements

Cookie

Commençons par la base, qu’est-ce qu’un cookie précisément ? Il s’agit d’un fichier au format texte déposé sur votre navigateur (Chrome, Safari, Firefox, Edge, etc…). Ce fichier permet de sauvegarder temporairement (le cookie a une durée de vie définie en fonction de son utilité) certaines données compilées issues de votre navigation. 

Certains cookies sont nécessaires à la navigation. En effet, pour un site internet qui nécessite votre authentification (ex: votre compte sur un site de e-commerce), il existe des cookies dits de session. Ces cookies (token d’accès) attestent que vous vous êtes bien identifié avec le bon mot de passe, et vous permettent ainsi de continuer votre navigation authentifiée.

Popin-privacy

La Popin-privacy est la fenêtre qui s’ouvre automatiquement et qui permet d’obtenir vos consentements sur l’utilisation des cookies. Cette popin s’ouvre lors de la première navigation sur un site, et reste visible tant que vous n’avez pas donné votre consentement personnel.

Dans d’autres cas, ces données peuvent être utilisées ultérieurement ou dans le cadre de la consultation d’autres sites afin de cibler certaines publicités en fonction de vos goûts ou vos recherches du moment.

CMP ou Consent Management Platform

Sous l’acronyme CMP se cache en fait une plateforme de gestion depuis laquelle vous pourrez procéder à la configuration de votre popin-privacy, consulter l’ensemble des consentements obtenus, et éventuellement suivre l’évolution des cookies mis en place sur vos différents domaines. Ce type de plateforme est particulièrement intéressante quand vous devez gérer plusieurs sites de clients différents. Il est très important de regrouper l‘ensemble de ces informations en un seul et même endroit, car c’est bien une déclaration globale que vous aurez à réaliser auprès de la CNIL.

Les finalités

Les finalités correspondent à des catégories dans lesquelles nous pourrions classer et typer les cookies. Pour donner quelques exemples, on retrouve les cookies « Nécessaires », « Fonctionnels », ou encore purement « Marketing », …

Consentement

Le consentement signifie l’acceptation informée par le client sur l’utilisation d’une ou plusieurs finalités (ensemble de cookies) ou pour un ou plusieurs cookies spécifiquement.

Le responsable du traitement (définition CNIL)


Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Ce que demande la CNIL

Avant d’entrer dans le vif du sujet, revenons un instant sur les étapes qui ont mené à l’application aujourd’hui de ce règlement sur la gestion des cookies.

Les dates clés

4 Juillet 2019

La CNIL rédige les lignes directrices relatives aux cookies et aux traceurs.

Cookies et autres traceurs : la CNIL publie de nouvelles lignes directrices

1er Octobre 2020

Les directives de la CNIL entre en application dans le droit français.

Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation

Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

Article 82 de la loi Informatique et liberté paru au 1er Octobre 2020 (lignes directrices modificatives et sa recommandation)

19 Juin 2020

Le Conseil d’Etat valide pour l’essentiel des lignes directrices relatives aux cookies et traceurs, mais rejette la disposition sur la pratique des “cookie walls”, qui sont utilisés par les sites web pour refuser l’accès aux utilisateurs s’ils ne consentent pas à tous les cookies et traceurs présents sur ce site.

Cookies et autres traceurs : le Conseil d’État rend sa décision sur les lignes directrices de la CNIL

1er Avril 2021

Le délai accordé pour mettre en conformité les sites et applications mobiles aux règles en matière de traceurs prend fin le 31 mars 2021.

Nouvelles règles pour les cookies et autres traceurs : bilan de l’accompagnement de la CNIL et actions à venir

À présent, mettons au clair ce que la CNIL impose sur la gestion des cookies sur votre site internet :

Un consentement éclairé

Le consentement doit être informé, spécifique, et se traduire par une action positive de l’utilisateur. L’information donnée à l’utilisateur doit être claire et transparente (consultation conviviale et compréhensible). Un bouton spécifique à chaque cookie devra être présent donnant la possibilité de lire « les politiques de sécurité » sans pour autant perdre le fil de son action sur les consentements.
Cette présentation implique que dès l’affichage de la première page , où figurent par exemple les boutons cliquables « J’accepte », « Je refuse » et « J’affine mes préférences » , l’utilisateur soit informé des destinataires de ses données, et que l’éventuel consentement qu’il donnerait en cliquant sur le bouton « J’accepte » soit un consentement informé.

L’utilisateur doit aussi être informé de l’identité des sociétés par qui ses données seront traitées et qui auront, de ce chef, la qualité de responsable du traitement.

Point sur l’acceptation

Si une facilité d’utilisation peut être proposée par un bouton d’acceptation ou de refus global, cette fonctionnalité ne peut pas être présentée à l’utilisateur avant que les différentes finalités du traitement ne lui soient exposées. Dans la popin privacy, les différentes finalités présentées à l’utilisateur ne doivent pas être précochées (acceptées par défaut) et ne pas être activées si l’utilisateur venait à accepter globalement les cookies..

Droit de retrait et consentement

L’utilisateur doit avoir le pouvoir de retirer son consentement. Tous les consentements donnés doivent être consignés dans les archives comme preuve que le consentement a été obtenu (Mécanisme d’enregistrement, d’impression des informations).

Rejet  des “cookies walls”

L’utilisateur doit avoir accès au site et à ses fonctions même si tous les cookies, à l’exception des cookies strictement nécessaires, ont été refusés.

Durée de vie

Certains cookies ont une durée de vie d’une session et d’autre jusqu’à 13 mois maximum, le consentement doit être renouvelé lors de la première visite de l’utilisateur sur le site. Cette notion de date doit être inclue dans le formulaire de consentement. Au bout des 13 mois, pop-up, plugin, bannière,.. devront à nouveau s’afficher.

Marketing du reconsentement

Un conseil, soyez vigilant sur les décisions que vous prendrez à propos du marketing de reconsentement. Cette pratique soulève encore des ambiguïtés au niveau de la loi. Il s’agit de noter la durée de vie du cookie dans le popin privacy côté client, mais dans les faits cette popin pourra à la demande du développeur s’ouvrir à chaque session.

Sur le site cookiefirst.com, le marketing de reconsentement est décrit d’un point de vue commercial : “ La fonction de reconsentement vous permet d’obtenir des taux d’acceptation plus élevés en définissant des objectifs pour les visiteurs qui reviennent. Par exemple, si un visiteur du site Web n’accepte que les cookies de performance mais pas la catégorie publicitaire, vous avez la possibilité de montrer à nouveau la bannière à l’utilisateur après un certain laps de temps, jusqu’à ce que l’objectif soit atteint. Cela peut entraîner des taux d’acceptation plus élevés pour les catégories pour lesquelles vous souhaitez obtenir le consentement.”

Cependant, si on consulte le texte de loi, cette pratique pose toujours question :

– interdisant de solliciter de nouveau, pendant la durée de conservation de l’expression du refus, le consentement préalable de l’utilisateur ou comme autorisant qu’il soit mis fin à la durée de conservation de l’expression du refus préalable lorsque, sollicité à nouveau, l’utilisateur exprime un consentement préalable en lieu et place de son refus (question n° 8) ?

Question n°8 du deuxième point du texte du Conseil d’état relatif à la gestion des cookies, https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion.

En cas de contrôle

Si vous subissez un contrôle de la CNIL, vous devez pouvoir apporter les preuves de conformité pour chaque site. Tous les consentements doivent être stockés en lieu sûr afin qu’ils puissent être utilisés comme preuves en cas de contrôle. L’obligation de recueil du consentement s’impose aux responsables de sites, aux éditeurs d’applications mobiles, aux régies publicitaires, aux réseaux sociaux, aux éditeurs de solutions de mesure d’audience qui ont l’entière responsabilité de se mettre en accord avec la loi.

Réflexion globale sur les outils du marché

Il semblerait que l’adoption d’un outil tiers soit la meilleure solution compte tenu de l’incertitude qui règne autour de l’évolution de la réglementation…

« Cependant, l’absence de réelle orientation et les négociations en cours entre les régulateurs et les entreprises semblent indiquer que ces réglementations vont continuer à évoluer. Il est donc particulièrement important pour chaque entreprise d’adopter une solution souple qui permettra aux politiques de consentement, de collecte et de partage des données d’évoluer au fil de l’évolution ou l’apparition de nouvelles lois. »

Extrait TrustCommander

La désactivation des cookies en fonction du consentement donné peut être automatique ou manuelle (recommandé). Tous les outils ne permettent pas cette désactivation automatique (nécessité d’effectuer du développement et nécessité d’identifier toutes les sources de cookies)..

Lorsque l’on souhaite mettre en place une popin privacy, le processus idéal est le suivant :

  1. Scan automatique du site (cookie crawler) :
    découvrir l’ensemble des cookies actifs sur le site (il peut y avoir des surprises !).
  2. Création de la popin privacy en fonction des résultats
    contenu, configuration, personnalisation (branding).
  3. Planification du Cookies crawler :
    Scans planifiés pour rester à jour des cookies utilisés sur chaque finalité. Certains outils permettent même de mettre à jour automatiquement la popin privacy avec les nouveaux cookies détectés de manière quotidienne.
  4. Reporting :
    Rendre compte des consentements au travers d’un portail de gestion commun (CMP) à l’ensemble des domaines suivis.

Enfin, voici les points importants à prendre en compte pour choisir votre outil CMP :

  • Portail centralisé pour gérer l’ensemble des domaines.
  • Dashboard et historique des consentements sécurisés.
  • Cookie crawler automatisé, ou intégration du Tag Manager utilisé (GTM, Tag Commander, etc…) selon le besoin.
  • Automatisation tant que possible de la désactivation des Cookies en fonction des préférences de consentement.
  • Création automatique des registres associés à destination de la CNIL.

Vous avez maintenant toutes les cartes en main pour rester dans les clous de la CNIL sur la gestion de vos cookies.

Co-Auteurs de l’article : Frédéric Tanchou, Christophe Laffont (Pôle R&D d’OpenStudio) et Pascale Bonhontal (Pôle Qualité d’OpenStudio).