Débutez la conversation ~ Licence : Contenu sous licence Creative Commons : attribution - pas d’utilisation commerciale - partage dans les mêmes conditions

Cookies informatiques, comment être (vraiment) en conformité avec la législation ?

Introduction

En tant qu’amateur de foot, je suis adepte du jeu Mon Petit Gazon (MPG). Je suis aussi un internaute très soucieux de la protection de sa vie privée.

Il y a quelque temps, en voulant me reconnecter à la suite d’un nettoyage de mes cookies, j’ai été interpellé par le message du bandeau en pied de page :

Moins surprenant qu’une décision VAR, on utilise des cookies 🍪 : pour personnaliser tes pubs et avoir des stats de visite. On part du principe que, si tu es là, tu es OK avec ça. Tu pourras si tu veux t’offrir un MPG sans pub dans le jeu 🌹. Et au cas où : notre charte.

Source : https://mpg.football

Si le début du message m’a fait sourire (les amateurs et amatrices de foot comprendront !), la suite me pose deux problèmes :

  • Il n’est pas conforme aux directives du RGPD, nous allons voir pourquoi plus bas ;
  • Il prend les internautes pour des vaches à lait en ne lui laissant que deux choix : accepter d’être pisté pour avoir des publicités ciblées ou payer un abonnement pour ne pas avoir de pub ;

Si ce modèle économique est discutable, ce n’est pas sur ce sujet que je vais m’attarder aujourd’hui.

Dans la suite de cet article, je vais plutôt vous aider à mettre votre site web en conformité avec la législation sur les cookies, cette réglementation étant trop souvent méconnue, mal interprétée ou mal implémentée.

En effet, une étude récente (en anglais) menée par plusieurs universités montre que sur 10 000 sites analysés, seuls 12 % sont conformes avec les obligations de base du RGPD, notamment en matière de cookies.

À noter que :

Je ne suis pas juriste, aussi le contenu de cet article relève de mon interprétation des textes et des informations que j’ai pu trouver sur des sites de référence, notamment celui de la CNIL. Il ne remplace pas l’accompagnement d’un professionnel du droit.

Aussi appelé « témoin informatique » ou « témoin de connexion » en français, l’utilisation des cookies en informatique remonte à 1994 et fait référence aux « fortune cookies », ces gâteaux qui contiennent tous un dicton différent.

Ce sont des fichiers qui sont déposés et lus lorsque vous visitez un site web, lisez un mail ou consultez une application mobile.

Les principaux types de cookies sont :

  • Les cookies de session permettant de garder un utilisateur connecté à un espace privé ;
  • Les cookies de panier qui permettent, sur un site marchand, de garder le contenu du panier d’une session à l’autre ;
  • Les cookies d’analyse statistique qui collectent des données sur l’utilisation du site ;
  • Les cookies publicitaires qui vous suivent de sites en sites, collectant des informations sur vos habitudes de navigation afin de vous proposer des publicités ciblées ;
  • Les cookies de personnalisation, qui gardent en mémoire vos préférences d’utilisation d’un site web (langue, monnaie…) ;

On distinguera également les témoins informatiques dits « first party », installés par votre site web, des cookies « third party » installés par des sites tiers (exemple : quand vous affichez une vidéo YouTube dans une page web, YouTube va installer un témoin).

La durée de vie des cookies est limitée et leur existence est conditionnée par votre acceptation. La CNIL recommande d’ailleurs qu’au-delà de 13 mois l’internaute renouvelle son consentement.

À noter que tous les sites web utilisent des cookies.

Quel est le problème avec les cookies ?

Si tous les sites utilisent des cookies, alors pourquoi vouloir réglementer leur usage ? En quoi les cookies posent-ils problème ?

Comme bien souvent, le souci ne vient pas de la technologie en elle-même mais de son usage.

L’ennui principal réside dans l’usage de ces témoins pour suivre votre parcours sur Internet et proposer des publicités en fonction de votre navigation.

C’est à cause (ou grâce, selon de quel côté de l’écran vous vous situez… ) des cookies qu’après avoir consulté un produit sur un site marchand, vous voyez des publicités pour ce même produit partout où vous naviguez.

Ce pistage permet donc à certaines régies publicitaires d’avoir un profil très détaillé de qui vous êtes et de vos habitudes, sans votre consentement ni même que vous en ayez conscience.

En 2016, la CNIL épinglait Facebook pour les raisons suivantes :

La Cnil a constaté que le site Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook.

En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook.

Source : https://www.zdnet.fr/actualites/facebook-le-cookie-datr-agace-les-cnil-39832706.htm

Les cookies peuvent donc poser un problème de vie privée, mais aussi de sécurité. En effet, si les données ne sont pas anonymisées, un hacker peut très bien se faire passer pour vous sur différents sites.

De plus, étant donné qu’il s’agit de fichiers stockés sur votre ordinateur ou smartphone, ils occupent de l’espace, ce qui peut provoquer des ralentissements ou des problèmes de stockage. D’où l’intérêt de les supprimer régulièrement. Pour connaître la procédure à suivre, je vous invite à consulter les pages d’aide du navigateur que vous utilisez.

Ce que dit la loi et comment se mettre en conformité ?

Ce que dit la loi

En France, les cookies sont réglementés par l’article 82 de la loi « Informatique et liberté » qui transpose en droit français une directive européenne.

L’entrée en vigueur le 25 mai 2018 du RGPD vient renforcer cette loi, notamment en matière de validité du consentement.

À noter que…

La CNIL, chargée de faire appliquer ces réglementations en France, est en train de faire évoluer ses lignes directrices et a initié un plan d’action en deux étapes qui devrait se terminer en 2020.

Les directives européennes excluent également explicitement que la poursuite de la navigation sur un site puisse constituer une expression valable du consentement. C’est en cela que l’exemple de MonPetitGazon mentionné en début d’article n’est pas légal.

De plus, les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement.

Bien que le contexte réglementaire soit en pleine évolution, ce qui peut créer un flou, on peut tout de même retenir 3 grandes obligations :

  • Informer les internautes que des cookies sont installés et leur finalité ;
  • Obtenir leur consentement, avec une durée de validité recommandée de 13 mois — ce qui induit le fait de ne pas déposer de cookies AVANT que l’internaute ait donné son consentement ;
  • Fournir aux internautes un moyen de les refuser

Comment se mettre en conformité

En toute transparence, c’est assez difficile de se mettre en conformité, surtout si vous n’êtes pas un·e professionnel·le du web (même pour nous, ce n’est pas toujours simple…).

Si informer les internautes est assez simple, la complexité réside dans le fait de ne pas installer de cookie AVANT d’avoir le consentement de l’internaute. La plupart des concepteurs et conceptrices de sites web ne savent pas trop comment faire et ne comprennent pas forcément l’intégralité du périmètre de la loi (voire n’en ont jamais entendu parler !).

Certains sites non-européens ont d’ailleurs tout simplement pris le parti de se couper de leur audience européenne plutôt que de chercher à se mettre en conformité.

C’est par exemple le cas des sites Unroll.me ou le journal New York Daily News qui affichent les messages suivants :

On voit également fleurir des bandeaux de toutes sortes, certains très basiques, d’autres plus complexes, certains respectant la législation, d’autres non :

À ce stade de l’article, vous devriez pouvoir identifier ceux qui ne sont pas conformes, non ? N’hésitez pas à indiquer en commentaire ceux que vous pensez être conformes ou non.

Pour mettre en place ces bandeaux, si vous n’êtes pas développeuse ou développeur, vous allez devoir passer par une solution tierce pour vous mettre en conformité.

Vous avez alors le choix entre des solutions payantes, gratuites et freemium (avec une partie gratuite et une autre payante).

Parmi les outils français, l’un des plus puissants – d’ailleurs recommandé par la CNIL – s’appelle Tarteaucitron. Oui je sais, c’est un nom bizarre pour un outil de gestion des cookies 🙂

Cet outil est toutefois complexe à installer si vous n’êtes pas développeuse ou développeur ou si vous n’êtes pas prêt·e à payer 15 €/mois pour une extension WordPress.

D’ailleurs, si vous utilisez WordPress, une recherche avec le mot « cookie » sur le répertoire officiel d’extensions renvoie un grand nombre de résultats. Pas simple de faire son choix !

Celui qui est le plus souvent recommandé pour sa puissance et sa simplicité d’utilisation est le suivant :

Complianz | GDPR/CCPA Cookie Consent

Complianz | GDPR/CCPA Cookie Consent

Configurez vos notification de cookies, consentement aux cookies et politique de cookies avec notre assistant et notre analyse des cookies. Prend en charge les RGPD, DSGVO, CCPA et PIPEDA.

Really Simple Plugins

C’est également celui que j’utilise sur ce site. L’avantage de cette extension est qu’elle réalise un scan pour identifier les cookies utilisés et les catégorise automatiquement. Une aide précieuse quand on ne sait pas trop comment faire !

Parmi les solutions tierces utilisables avec n’importe quelle technologie, on peut aussi citer :

À noter que je n’ai jamais utilisé ces solutions, je n’ai donc pas d’avis sur leur fonctionnement ou leur conformité avec la législation.

D’ailleurs, d’après l’étude citée en début d’article, la plupart de ces solutions présentent des options qui ne sont pas conformes avec le RGPD. Il faut donc les utiliser avec précaution.

Conclusion

Comme nous avons pu le voir dans cet article, rendre son site conforme à la réglementation sur les cookies n’est pas chose aisée, d’autant que le contexte juridique peine à se stabiliser.

En conclusion, je peux vous donner les conseils suivants :

  • Limitez le nombre de services tiers sur votre site vous permettra d’avoir un meilleur contrôle sur les cookies installés ;
  • A minima, informez vos utilisateurs du fait que vous utilisez des cookies et pourquoi ;
  • En cas de doute, n’hésitez pas à solliciter une personne juridiquement compétente.

Si vous avez des questions, n’hésitez pas à m’en faire part en commentaire ou à me contacter, je serai ravi d’y répondre ou de vous aider.

Débutez la conversation

Lancez ou participez à la discussion en laissant un commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Consulter la politique de confidentialité (ouverture dans un nouvel onglet).

Retour en haut de page