Cookies : réglementation et bonnes pratiques

La récente condamnation de Google à l’amende maximale de 150 000 euros que peut prononcer la Cnil (Commission nationale Informatique et Libertés) concerne sa politique de confidentialité des données, jugée non conforme à la loi Informatique et Libertés. Concrètement, Google n’informe pas suffisamment les utilisateurs de ses services sur la finalités des cookies qu’elle installe dans leurs terminaux et les dépose sans leur accord préalable. En décembre dernier, la Cnil a publié ses recommandations en la matière [1] . Un document, destiné aux éditeurs de site et émetteurs de cookies (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d’audience…) pour les aider à se mettre en conformité.

Cookies soumis à accord préalable des internautes

Pour la Cnil, compte tenu des risques qu’ils entraînent sur la vie privée, les cookies nécessitant une information et un consentement préalables des utilisateurs sont notamment :

 ceux liés aux opérations relatives à la publicité ciblée ;
 les cookies de mesure d’audience (à l’exclusion de certains définis ci-après) ;
 les cookies traceurs des réseaux sociaux générés par les « boutons de partage de réseaux sociaux ».

La Commission précise que ces règles s’appliquent aux cookies déposés et lus, notamment lors de la consultation d’un site Internet, la lecture d’un courrier électronique, l’installation ou l’utilisation d’un logiciel ou d’une application mobile. Et ce, quel que soit le système d’exploitation, le navigateur ou le terminal utilisé (ordinateur, tablette, smartphone, télévision connectée, console de jeux vidéos connectée au réseau Internet). Elle rappelle les modalités pratiques pour recueillir l’accord préalable des utilisateurs.
Tout d’abord, au regard de la définition du consentement, la Cnil considère que l’acceptation des conditions générales d’utilisation n’est pas une modalité valable du recueil du consentement.
La Commission, après concertation avec les professionnels concernés, recommande une procédure de recueil du consentement en deux étapes.? Dans un premier temps, l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire) doit être informé, par l’apparition d’un bandeau, indiquant :

 les finalités précises des cookies utilisés par le site ;
 la possibilité de s’y opposer et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
 le fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation sur le site.

Par conséquent, le dépôt et la lecture de cookies ne doivent pas être effectués :

 si l’internaute se rend sur le site (page d’accueil ou directement sur une autre page du site à partir d’un moteur de recherche) et ne poursuit pas sa navigation ;

 s’il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, en refuser le dépôt.

Dans la seconde étape (clic sur « Pour en savoir plus et paramétrer les traceurs »), les internautes doivent être informés, de manière simple et lisible, des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement :

 pour l’ensemble des technologies visées par l’article 32-II de la loi Informatique et Libertés modifiée [2] ;
 par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience.

Cookies soumis à la seule information préalable

Certains cookies peuvent être déposés ou lus sans recueillir le consentement préalable des internautes :

 ceux ayant pour finalité exclusive de permettre, ou faciliter la communication par voie électronique ;
 strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur ;
 les cookies de mesure d’audience limitée à la mesure d’audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l’ergonomie du site ou de l’application.

Pour bénéficier de cette exception, les cookies de mesure d’audience doivent notamment être limités au seul éditeur, établir des statistiques anonymes, supprimer l’adresse IP une fois la géolocalisation effectuée au niveau de la ville, et avoir une durée de vie de 13 mois maximum.

A ce jour, seul le service d’analytics Piwik peut être conforme à ces conditions après un léger paramétrage. Ainsi, si vous utilisez Google Analytics ou Universal Analytics, vous devrez mettre à jour votre page Web afin de bloquer les cookies tant que vous n’avez pas obtenu le consentement de l’utilisateur . [3]