RGPD et cookies, quelle incidence ?

RGPD : l’épée de Damoclès du cookie ?

Le Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018, sur tout le territoire de l’Union européenne, poursuit un double objectif :

• améliorer de manière significative la sécurisation des données à caractère personnel
• Responsabiliser les acteurs chargés de traiter ces données.

Pour ce faire, les autorités de régulation bénéficient, dès lors, de pouvoirs de contrôle conséquent, et d’un impressionnant arsenal de sanctions administratives et pénales.

Dans ce cadre là, l’utilisation des cookies peut-être fondamentalement remise en cause, même si, pour l’heure, les carottes ne sont pas encore totalement cuites !

Afin de bien cerner la portée de cette nouvelle réglementation, et son incidence, il convient, au préalable, de les définir de manière intelligible afin d’en apprécier au mieux les conséquences.

L’utilisation du cookie et le RGPD

Il n’est évidemment pas ici question du petit biscuit nord américain agrémenté de pépites de chocolat, mais bien du petit fichier, innocent de prime abord, déposé par le navigateur internet lors de différentes recherches ou saisies d’information.

Ce dernier est un fichier informatique exclusivement composé de texte et produit par le serveur auquel l’utilisateur est connecté. Il permet, lors d’une nouvelle connexion sur le même site, via le même serveur, de récupérer le fichier généré initialement et contenant les informations saisies.

Qu’il s’agisse d’un panier d’achats ou d’identifiants de connexion, le cookie sera automatiquement réintroduit dans la page internet (car enregistré sur le disque dur de l’ordinateur auquel le serveur n’a, théoriquement, pas l’accès direct), et simplifiera dès lors la navigation.

Bien que d’apparence inoffensif, le cookie stocke quantités d’informations sur l’utilisateur et son comportement sur internet. C’est là que le bât blesse et l’on peut y voir quelques contradictions avec l’esprit du RGPD.

En effet, ce petit fichier peut servir à identifier l’internaute sans son consentement explicite !

Quel est l’impact du RGPD?

Son impact est limpide. Dès lors deux solutions sont proposées aux entreprises :

• Stopper la collecte
• Invoquer une raison légitime, conforme au règlement, pour continuer à les collecter et à les traiter.

La corrélation est ici parfaite entre ce que le règlement impose, et le consentement explicite de l’utilisateur.

Il convient donc d’obtenir l’aval express et éclairé de l’internaute avant même la génération du ou des fichiers.

Ce qu’en dit la CNIL

Chargée du contrôle et des sanctions en cas de manquements, la CNIL, conformément au règlement européen, a un avis bien tranché sur la question.

Pour elle, avant de générer un cookie, l’éditeur de site internet ou d’application doit :

• Informer de la finalité de son utilisation
• Obtenir impérativement le consentement de l’internaute
• Proposer une alternative et le moyen de refuser.

Une exception existe cependant pour les cookies strictement nécessaire au bon fonctionnement sur site ou de l’application.

Se mettre en conformité

Afin d’éviter de lourdes sanctions, pouvant mettre en danger la pérennité d’une entreprise, il est fortement conseillé de se mettre en conformité avec le RGPD.

Obtenir le consentement

L’obtention du consentement de l’utilisateur doit être explicite concernant la collecte et l’éventuel traitement des données saisies.

Ici, il est possible, dès la page d’accueil, de le demander de manière générale pour toutes les fonctionnalités du site ou de l’application en question, ou, à défaut, de reformuler une demande distincte à chaque ouverture de service.

Le principal inconvénient de la demande globale est le refus de l’internaute qui pourrait légitimement se sentir méfiant. Son avantage est la facilité, tant côté éditeur qu’utilisateur.

En terme de rédaction, la formule « pour continuer à naviguer, vous accepter que… » est strictement interdite. Le site doit proposer le choix « refuser » et « autoriser », sans oublier, au préalable, de mentionner tous les termes dans un langage intelligible au plus grand nombre. L’usage veut qu’un enfant puisse comprendre le contenu du message.

Garder la preuve du consentement

Une fois ce dernier obtenu, il est plus que nécessaire d’en garder la preuve, dans le cas où un recours serait formulé par l’utilisateur.

La durée de validité du consentement

Le consentement, en tant que tel, dispose d’une durée de validité indéfinie. Si de nouveaux services ou programmes s’ajoutent à la page, il conviendra toutefois de renouveler l’aval de l’utilisateur.

Cependant, s’agissant du cookie en lui-même, la CNIL, dans un excès de bienveillance, a jugé nécessaire de limiter sa durée de vie à 13 mois.

Ainsi, suite à un premier dépôt réalisé sur le terminal de l’utilisateur (ordinateur, tablette, smartphone), le consentement devra être réitérer 13 mois plus tard. En aucun cas il n’est possible de proroger ce délai par des visites ultérieures à la visite initiale sur le site.

Mise en place technique

Du point de vue de l’éditeur du site, une mise en place technique est indispensable pour se mettre en conformité avec le RGPD.

L’alerte préalable, indispensable

Ainsi, dès la première connexion, il est primordial de subordonner l’accès au site par un message de prévention et de demande d’autorisation, qui mentionnera obligatoirement :

• La possibilité de s’opposer au(x) cookie(s) et la marche à suivre si tel est le cas
• Le but et les finalités poursuivis par ces derniers
• Le fait que la poursuite de la navigation vaut accord de dépôt sur l’ordinateur, la tablette ou le smartphone.

Ce message d’informations, qui prendra souvent la forme d’un bandeau, ou d’une fenêtre interactive, doit être en mesure d’obtenir de l’utilisateur son consentement clair et non ambigu. En ce sens, il doit rester visible et intelligible tant que l’utilisateur n’a pas formulé son choix.

En outre, si ce dernier ne poursuit pas sa navigation, il est formellement interdit de déposer quelque fichier que ce soit ! Il en est de même s’il actionne le paramétrage des cookies via le bandeau ou la fenêtre d’alerte.

Enfin, l’absence d’action de sa part ne saurait, en aucun cas, être interprétée comme un consentement implicite.

Qui est responsable ?

La question de la responsabilité reste épineuse dans le cas du recueil des données et de leur utilisation.

Il semble logique que le gestionnaire du site engage son entière responsabilité vis-à-vis de la CNIL. Mais il n’est pas le seul concerné. En effet, avec la mise en application du RGPD, tout acteur impliqué dans la création ou l’édition de sites ou applications peut voir sa responsabilité engagée. C’est le cas, par exemple, des sous-traitants.

Toute la chaîne des intervenants doit donc être en alerte quant à ces questions.

Pour avoir l’esprit tranquille

Afin de se mettre en conformité avec le règlement, et ainsi, éviter toute sanction ou amende de la CNIL, il est plus que nécessaire de « verrouiller », administrativement et techniquement parlant, tout site internet ou application.

De nombreux professionnels du net peuvent apporter une aide technique précieuse dans la mise en place de processus permettant cette mise en conformité. Cette étape est bien évidemment subordonnée aux conseils avisés d’un juriste ou d’un avocat spécialisé qui, lui seul, pourra apporter une réponse personnalisée et légitime à chaque cas de figure.