Cookies : ce qu’il ne faut plus faire !

« Le présent passe, le passé n’est plus rien, et l’avenir est incertain. » Ce proverbe français pourrait s’appliquer à la politique de gestion de cookies en pleine révolution. En effet, la délibération du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs est abrogée depuis le 19 juillet 2019 par une nouvelle recommandation* de la CNIL qui en annonce déjà une nouvelle en 2020.

Utilisation de cookies conforme au RGPD

Celle de 2019, désormais en vigueur, fait valoir en matière de cookies que le consentement de l’utilisateur doit impérativement être libre, spécifique, éclairé et univoque par une déclaration ou par un acte positif clair. Cette phrase à elle seule rend obsolète à plus d’un titre les dispositions prises jusque-là par les éditeurs de sites web et d’applications, sur la base de la recommandation précédente, afin d’assurer leur conformité.

Voici les choses à ne plus faire et les raisons qui imposent une mise à jour rapide.

Gare à l’obsolescence !

L’obsolescence des dispositifs précédents pourrait être illustrée par le bandeau si courant ci-dessous, et ce pour plusieurs raisons évoquées ci-après.

« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies, ces derniers permettent le bon fonctionnement de nos services. En savoir plus FERMER »

  • Un bandeau informatif ne suffit plus ! La présence d’un simple bandeau informant les internautes de la présence de cookies sur le site est révolue. L’application des notions RGPD renforce la protection des données des utilisateurs et par conséquent les obligations des éditeurs de sites web.
  • La poursuite de la navigation ne vaut pas accord au dépôt de cookies. Le consentement de l’utilisateur doit être univoque, c’est à dire qu’il doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer.
  • Informer l’utilisateur sur le paramétrage de son navigateur pour la gestion des cookies, c’est bien, mais ce n’est pas conforme. Cette information ne répond pas au critère de « consentement spécifique » et s’avère non-conforme. L’utilisateur doit donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. En clair, il doit pouvoir refuser un cookie et en accepter librement un autre. Il est possible de donner son consentement de façon globale seulement s’il peut également être donné de manière distincte pour chaque finalité.
  • Ne vous contentez pas de l’acceptation globale d’une politique de confidentialité, de conditions générales d’utilisation ou de cases pré-cochées. Ces dispositifs souvent accessibles via la mention « En savoir plus » dans un bandeau informatif sont insuffisants et non-conformes puisqu’ils s’opposent directement aux caractères univoque et spécifique du consentement.
  • Ne bloquez pas l’accès à votre site web aux utilisateurs en cas de refus des cookies. Bloquer l’accès à votre site web pour l’utilisateur qui refuse les cookies n’est pas conforme au RGPD. L’impossibilité d’accéder au site consulté constitue une conséquence négative, qui s’oppose au caractère libre du consentement. L’utilisateur doit désormais être en mesure d’exercer valablement son choix sans subir d’inconvénients majeurs en cas d’absence de consentement.

    Fuyez le plagiat !

    Attention aux fausses bonnes idées dans le domaine de la protection des données. Une tendance tentante mais périlleuse consiste à copier sur un site tiers qui a l’air sérieux
    Copier sur un site voisin, est-ce une bonne idée ? Surtout pas !!! Et ce, pour plusieurs raisons.

    D’abord, rien n’indique qu’il respecte au sens strict ses obligations. La législation et sa mise en œuvre dans ce domaine est en constante évolution. Tout récemment la CNIL a abrogé une de ses recommandations en matière de cookies et traceurs de 2013 et l’a remplacée par une nouvelle, ce qui a complètement rebattu les cartes, et ce qui a rendu obsolètes les procédures mises en œuvre jusque-là. Et une recommandation définitive sera publiée au premier trimestre 2020.

    Ensuite, vous ne disposez certainement pas ni du même nombre ni des mêmes types de cookies que le site web que vous êtes tenté de copier, de ce fait vous êtes dans l’impossibilité de vous mettre en conformité et d’assurer un consentement spécifique à vos utilisateurs.

    Enfin, en définitive seule votre responsabilité sera engagée en cas de contrôle ou de plainte de vos utilisateurs. Prenez soin de votre e-réputation !

    Attention : La procrastination précède la sanction !

    Une autre tentation pourrait être de remettre à demain la conformité de votre site web ou de votre application.

    La procrastination ne fait pas bon ménage avec la conformité. Si la conformité et ses nouvelles exigences en perpétuelle évolution vous rebute, appuyez-vous sur des tiers de confiance qualifiés. Assurer la conformité à vos internautes partenaires, c’est déjà leur donner un gage de professionnalisme et de sérieux qui vous distingue et les rassure. Pensez-y !

    * la Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies) publiée au Journal officiel le 19 juillet 2019.

    Articles liés à ce sujet :