RGPD, les must have juridiques dans la gestion des cookies en 2018

Le 25 mai 2018, la RGPD (Réglementation Générale de Protection des Données, ou GDPR pour General Data Protection Regulation en anglais) entre en vigueur.

Cette réglementation impacte la manière de collecter des données sur les écosystèmes digitaux. En effet, les données récoltées sont soumises à un certain nombre de règles à suivre, modifiées par la RGPD.

Les impacts de la RGPD

Financiers

Le principal impact est avant tout dans la sanction, particulièrement pour les entreprises à fort Chiffre d’Affaires : de 10 millions d’euros maximum de sanction jusqu’au 24 mai à 20 millions d’euros ou 4% du Chiffre d’Affaires annuel mondial à partir du 25 mai. Pour rappel, jusqu’au 31 décembre 2017, les entreprises risquaient une amende de 100 000 euros maximum.


Gestion des cookies

Ce que dit la CNIL

Le traitement spécifique des données web ‘anonymes’ (gérées par des cookies) n’a pas réellement changé depuis 2012 - et pourtant, il n’est mis en place que par une toute petite partie des acteurs du web.

En modifiant l'article 5(3) de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, le législateur européen a posé le principe :

  • d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées.
  • sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

L'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.

En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.

Source : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi


Les conséquences pour l'analytics

Deux types d’outils sont utilisés dans le cas de l’analytics :

  • Des outils de mesure “on site” (appelés outils de “tracking” ou de mesure d’audience), qui utilisent généralement des cookies “first party”, lié au nom de domaine du site
  • Des adservers, qui utilisent généralement des cookies “third party”, valables sur plusieurs sites, pour suivre le visiteur lors de son passage du site éditeur au site annonceur par exemple

Ces outils ne sont pas strictement nécessaires à la délivrance d’un service de la société, ces outils ne rentrent donc pas dans le cas d’exception

Il est donc nécessaire :

  1. D’informer l’utilisateur qu’il va être suivi et d’obtenir son consentement lors de sa première venue sur le site, avant de commencer à mesurer son activité
  2. De lui laisser la possibilité de s’opposer à ce suivi d’activité
  3. De l’autoriser à continuer sa visite sans mesurer son activité s’il s’y est opposé


Les deux étapes pour utiliser des cookies en conformité avec la RGPD

Etape 1 : Informer l'utilisateur sur les cookies utilisés et leur finalité, puis obtenir le consentement

L'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l'apparition d'un bandeau :

  • Des finalités précises des cookies utilisés
  • De la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • Du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Source : https://www.cnil.fr/fr/exemple-de-bandeau-cookie

Il s’agit donc d’obtenir l’accord “implicite” (autrement appelé “opt-out”) : il reçoit l'information qu’il va être suivi, et s’il continue sans s’opposer à ce suivi, il a “implicitement” accepté ce suivi.

En termes pratiques, ceci signifie qu’il n’est pas possible de suivre un internaute lors de sa première arrivée sur le site, tant qu’il n’a pas réalisé une action. La première page de la première visite n’est donc pas comptabilisée tant que l’utilisateur n’a pas continué sa visite :

  • En affichant une deuxième page
  • Ou en faisant défiler l’écran de la première page (scroll) jusqu’à ce que la ligne de flottaison se retrouve en haut de l’écran
  • Ou en cliquant sur un élément (interaction), sans qu’il n’y ait forcément de chargement d’une nouvelle page

Le consentement ne doit pas être ambigu : le bandeau ne doit pas disparaître tant que la personne n'a pas poursuivi sa navigation.

Etape 2 : laisser la possibilité de s’opposer à ce suivi d’activité

Le site doit proposer aux utilisateurs une solution permettant d’effectuer leur choix de suivi ou non.

Cette solution, lisible sur tous les terminaux, doit informer de manière claire et concise l’usager sur ce qu’est un cookie et lui offrir la possibilité d’exprimer son choix, après la description de la finalité de chaque famille de cookies. La mise en place d’une solution interne présente les avantages de :

  • gérer les cookies internes aux sites comme les cookies tiers ;
  • gérer toutes les technologies et non uniquement les cookies HTTP ;
  • permettre aux éditeurs de sites d’avoir une maîtrise des cookies déposés et lus sur leur site.

Source : https://www.cnil.fr/fr/exemple-de-bandeau-cookie

Concrètement, ceci signifie que le site doit comporter :

  • Une partie qui liste chaque cookie utilisé et sa finalité
  • La possibilité de s’opposer au suivi directement depuis le site, en cochant ou décochant une option, qui désactivera les cookies concernés sur ce site uniquement. Mentionner comment paramétrer son navigateur pour refuser les cookies n’est donc pas suffisant.

A noter : La page "en savoir plus", qui comporte toutes ces informations et possibilités légales, ne vaut pas consentement au dépôt de cookies. Si l’utilisateur se rend sur cette page lors de sa première visite sur le site, alors qu’il n’a vu qu’une seule page auparavant, il est donc toujours interdit d’activer les cookies.


Vous avez une remarque, vous souhaitez en savoir plus, vous avez besoin d’aide pour vous mettre en conformité juridique ? N’hésitez-pas à nous contacter.