Numérique

Internet : le point sur les nouvelles règles applicables aux cookies

Permettre aux internautes de refuser les cookies aussi simplement que de les accepter : rappel de la réglementation en matière de publicité ciblée des sites Web, alors que la Cnil multiplie les contrôles et mises en demeure, en cas de non-respect de la législation.

Internet : le point sur les nouvelles règles applicables aux cookies

La Commission nationale de l’Informatique et des Libertés (Cnil) a adopté, à l’automne dernier, des lignes directrices et une recommandation organisant les obligations à respecter par les éditeurs de sites Internet utilisant des cookies et autres traceurs (ces petits fichiers qui permettent de stocker des informations sur un internaute). Après un temps d’adaptation, ces nouvelles règles, applicables depuis le 1er avril 2021, font l’objet de contrôles réguliers de la part de la Cnil.

Sous le régime antérieur, la poursuite de la navigation par tout internaute, après l’apparition du bandeau l’informant du placement de cookies / traceurs, pouvait emporter l’acceptation du dépôt de cookies et du traitement de ses données personnelles en découlant.

Ce qui a changé

En résumé, les lignes directrices de la Cnil et leur recommandation associée prévoient cinq principes :

- Permettre à l’utilisateur de consentir par un acte positif clair, a contrario, toute action expresse de refus, ainsi que le silence et, plus généralement, toute inaction de l’internaute (notamment la poursuite de la navigation sur le site à la suite de l’apparition du bandeau cookies) sont des expressions du refus au placement de traceurs. Il faut un acte positif pour consentir aux cookies et tout silence ou refus explicite sont des expressions de refus ;

- « Triple » information fournie à l’internaute, avant de placer des cookies, doit préciser l’existence de ceux-ci, leurs finalités, ainsi que les solutions permettant aux internautes de s’opposer aux cookies et retirer leur consentement à tout moment ;

- Ces informations doivent être compréhensibles et facilement accessibles sur le site, à tout moment.

- L’internaute doit pouvoir consentir et refuser les cookies avec le même degré de simplicité.

- Il doit être permis à l’utilisateur de retirer son consentement sur le site à tout moment.

L’option la plus évidente consiste à prévoir deux boutons : « Tout accepter » et « Tout refuser » (et éventuellement un bouton « Personnaliser mes choix »)

Toutefois, dès lors que le refus de l’internaute peut résulter d’autres types d’actions / inactions (exemple : fermer la fenêtre, poursuivre de la navigation…), une autre option pour prendre en compte ce refus (sans avoir à ajouter un bouton supplémentaire) peut consister à ajouter une mention dans la bannière cookies pour indiquer à l’internaute que son refus peut être manifesté par la simple fermeture de la fenêtre de recueil du consentement, ou encore par l’absence d’interaction avec celle-ci pendant un certain laps de temps.

De plus, lorsque le refus peut être manifesté par la poursuite de la navigation, la Cnil recommande que la bannière cookies sollicitant le consentement disparaisse assez rapidement, afin de ne pas « contraindre » l’internaute à devoir accepter les cookies pour continuer à utiliser le site.

Mise en conformité

Afin de se mettre en conformité avec ces nouvelles règles, il est donc particulièrement conseillé :

- De connaître les cookies (de l’éditeur, mais également, le cas échéant, de régies extérieures) utilisés sur le site.

- De définir parmi ceux-ci, ceux qui nécessitent le consentement des internautes ;

- De proposer une gestion des consentements adaptée aux recommandations de la Cnil, voire de proposer un bouton spécifique, sur le site, de gestion des cookies ;

- Et de s’assurer que l’information délivrée aux internautes quant aux cookies mis en place est adaptée (finalités des cookies, durée de conservation, etc).

Rappelons que la Commission nationale de l’Informatique et des Libertés a d’ores et déjà mis en demeure, depuis l’entrée en application de ces nouvelles dispositions, entre mai et juillet, une soixantaine d’organismes (publics et privés), pour des pratiques non conformes, dont notamment des acteurs internationaux de l’économie numérique, et même deux « services publics en ligne » et « importantes collectivités locales ». De plus, elle a annoncé qu’elle mènerait de nouvelles vérifications à la rentrée.