Cookies et traceurs – Que faire pour mettre mon site ou mon application en conformité ?

Cookies par ci, Cookies par là… Impossible de passer à côté du sujet des traceurs ou des cookies. Nous avons tous été sollicités au moins une fois à accepter, refuser ou paramétrer nos consentements sur des sites web, applications ou logiciels. La CNIL en a fait un de ses axes prioritaires de contrôle pour l’année 2021, et a même prononcé des sanctions records à l’encontre d’Amazon et de Google pour des dispositifs non conformes. Mais justement, quelles nouveautés pour nos Cookies et traceurs ?

Quoi de neuf ?

Un nouveau cadre légal est maintenant en vigueur depuis le 31 mars 2021. Il vient remplacer les recommandations de la CNIL de 2013 pour mieux s’articuler avec le Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai 2018.

Ce nouveau cadre légal adopté par la CNIL est constitué de Lignes directrices qui visent à rappeler le droit applicable, mais aussi de Recommandations qui visent à guider les professionnels concernés dans leur démarche de mise en conformité, sans toutefois être prescriptive.

Le cadre légale encadre-t-il uniquement les cookies ?

Ce cadre légal s’applique pour « les opérations de lecture et/ou écriture de toute information stockée ou consultée dans un équipement terminal, qu’il s’agisse ou non de données à caractère personnel au sens du RGPD. »

Concrètement, cela concerne les Cookies, mais pas que ! Le Cookie appartient à la famille des traceurs, mais il existe de nombreux types de technologies qui sont considérées comme tels : le « local storage » (HTML 5), les « fingerprints », les identifiants générés par les OS, les identifiants matériels y compris les identifiants MAC, les Pixels invisibles…

On parle de Cookies par abus de langage, mais le cadre légal dépasse largement leur spectre. Cela concerne toutes les formes de traceurs : les sites web, mais aussi les applications et les logiciels sont concernés.

Entrons tout de suite dans le vif du sujet : que faut-il faire pour avoir un site web, une application ou un logiciel conforme au cadre légal Cookies/traceurs ?

1. Identifier les traceurs et cookies exemptés de consentement

Certains traceurs ne nécessitent pas de consentement de la part de l’utilisateur, et nécessitent seulement une information auprès de ce dernier (voir point numéro 4). C’est le cas des traceurs nécessaires au bon fonctionnement du site ou du logiciel.

Une liste non exhaustive est dressée au sein des Lignes directrices de la CNIL (voir image ci-dessous).

Les traceurs de mesure d’audience peuvent sous certaines conditions être exempté de consentement. Ainsi, c’est le cas d’une mesure d’audience qui remplit les 4 conditions cumulatives suivantes :

• Le traceur ne sert strictement qu’à réaliser de la mesure d’audience.
• Il existe un bénéfice seulement pour l’éditeur du site, pas d’autre destinataire de la data.
• La solution ne permet pas le suivi global de la navigation (à travers plusieurs sites externes).
• Le but se limite à produire des statistiques anonymes (agrégées).

Attention ! Google Analytics ne bénéficie pas de l’exemption, car les données collectées ne bénéficient pas seulement à l’éditeur du site, mais aussi à Google qui traite ces données pour ses propres fins.

Il existe aujourd’hui beaucoup d’alternatives de solutions de mesures d’audience qui respectent les 4 conditions énoncées plus haut. La CNIL a même procédé à un détail des spécifications à destination des professionnels du secteur afin de proposer une solution de mesure d’audience exemptée de consentement et ainsi proposer des alternatives efficaces.

2. Paramétrer correctement le consentement

La règle est simple. Le Cookie ne doit être déposé, ou le traceur ne doit être activé que lorsque la personne a donnée son consentement via un acte positif : cliquer sur un bouton, cocher une case non-pré cochée…

L’acceptation des Conditions Générales d’Utilisation (CGU) du site ou du logiciel, ou la poursuite de la navigation sans collecte du consentement (en ignorant le « bandeau Cookies » par exemple) ne vaut pas consentement.

Dans ses recommandations, la CNIL indique la possibilité pour les éditeurs de logiciel ou de site web de retarder la décision de l’utilisateur, c’est-à-dire que ce dernier pourra se prononcer plus tard concernant son acceptation ou son refus.

Cette faculté de retarder sa décision peut être matérialisée par une croix avec une explication sur l’effet de cette croix (voir image ci-dessous), ou un message de type « Je me prononce plus tard ». Une absence de réponse pendant un court laps de temps peut faire disparaitre la fenêtre et ce comportement doit être expliqué dans la fenêtre.

Attention ! Un tel retard de décision ne vaudra jamais consentement, mais l’utilisateur pourra alors être sollicité de nouveau tant qu’il n’exprime pas de choix (délai, nouvel page…). Cela peut être utile pour inciter l’utilisateur à accepter le traçage dans un second temps, en lui expliquant en toute transparence et avec un Legal Design attractif l’intérêt qu’a l’éditeur du site ou du logiciel à réaliser ce traçage (amélioration des fonctionnalités, personnalisation de la relation clientèle…).

3. Attention aux Cookies wall !

Un Cookie Wall, c’est une pratique qui consiste à conditionner l’acceptation des traceurs soumis à consentement pour accéder au service (site ou application). Un refus empêche l’accès au service.

Depuis la décision du Conseil d’Etat du 19 juin 2020, la CNIL ne peut interdire l’utilisation de cette pratique, mais elle n’est pas légale pour autant…

Dans ses Lignes directrices, la CNIL précise qu’en cas « de mise en place de Cookie Wall, et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».

Une pratique à utiliser avec parcimonie, en l’attente d’une précision sur sa légalité.

4. Informer les personnes

L’information des personnes, c’est le minimum. Impossible d’y échapper. Et elle se décompose en 3 niveaux.

Un premier niveau d’information qui doit figurer dans une première fenêtre dès l’arrivée sur le site ou le lancement du logiciel qui doit indiquer :

• L’identité des destinataires des données : qui accède aux données ?
• Les finalités des traceurs : mesure d’audience ? Publicité ciblée ? Réseaux sociaux ?
• Les conséquences d’une acceptation / d’un refus : affichage de publicité non ciblée ?
• La manière d’accepter ou de refuser : comment faire ?
• L’existence de la possibilité de retirer son consentement : comment faire ?

Un deuxième niveau d’information doit se faire sur une seconde fenêtre, en cliquant sur le bouton permettant de paramétrer ses choix (voir point numéro 5).

Cette deuxième fenêtre doit détailler les finalités poursuivies par les traceurs et les données collectées, dans un langage clair et compréhensible (voir ci-dessous).

• L’identité du responsable de traitement, et les coordonnées de son DPO (si existe)
• Les finalités des traceurs
• Les bases juridiques de chaque finalité
• L’existence de transfert en dehors de l’UE et leur type d’encadrement
• Les durées de conservation des données
• La liste des différents destinataires de données
• L’existence des droits des personnes
• Le caractère obligatoire ou non des traitements, et les conséquences en cas de refus
• L’existence d’un profilage et ses conséquences sur les personnes

Attention ! Cette information ne peut être noyée au sein des Conditions Générales d’Utilisation (CGU), d’où l’importance de rédiger un document spécifique.

5. Bien designer le consentement

Il doit toujours être possible de donner ses consentements par finalité (consentement spécifique) via la deuxième fenêtre, mais il doit être aussi possible d’accepter/refuser en masse dès la première fenêtre.

Afin de ne pas induire en erreur les utilisateurs, il est obligatoire de proposer des interfaces de recueil des choix qui n’intègrent pas de pratiques de design potentiellement trompeuses susceptibles de biaiser le consentement des internautes.

Dans cet exemple, le bouton TOUT ACCEPTER présente le même design que le bouton TOUT REFUSER. L’utilisateur n’est pas incité à cliquer plus sur le premier ou le second.

La CNIL recommande de permettre à l’utilisateur de faire un choix individuel pour chaque destinataire des données (voir ci-dessous), en plus du choix pour chaque finalité. Néanmoins, les lignes directrices ne l’imposent pas, donc le choix est libre pour les éditeurs.

6. Permettre le retrait du consentement

Un lien ou un bouton permettant d’accéder à l’interface de gestion de ses consentements (la deuxième fenêtre) doit être accessible n’importe où depuis le site.

A minima une dénomination descriptive et intuitive telle que « module de gestion des cookies » ou « gérer mes traceurs » ou bien « cookies & traceurs », etc. (voir image ci-dessous)

7. Conserver la preuve du consentement

Deux éléments sont à prouver :

• L’existence et la validité du mécanisme permettant de recueillir le consentement. Par exemple, peut être prouvé via une capture d’écran horodatée, mise sous séquestre auprès d’un tiers du code informatique…
• Le consentement individuel de chaque utilisateur (quel terminal, quelle finalité, quelle horodatage). Par exemple, via un registre automatique interne, une plateforme de gestion des consentements (CMP)…

8. Renouveler le consentement

Un consentement (ou un refus) n’est pas valable pour la vie, il doit être limité dans le temps. Mais la CNIL laisse une marge de manœuvre aux éditeurs.

La CNIL considère que conserver les choix (tant le consentement que le refus) pendant une durée de 6 mois constitue « une bonne pratique » de la part des éditeurs. Mais libre à eux de faire plus, ou de faire moins.

Dans ses Recommandations, la CNIL précise : « Concernant les traceurs de mesure d’audience, leur durée de vie doit être limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de 13 mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire de ces traceurs peuvent être conservées pour une durée maximale de 25 mois. »

La réglementation sur la protection des données ne cesse d’évoluer et de se renforcer. Les consommateurs sont, eux-mêmes, de plus en plus attentifs et vigilants quant à l’utilisation de leurs données personnelles. À tel point, que la data éthique est devenu un réel enjeu pour les marques.
L’application de ces réglementations doit constituer un levier business et permettre de changer de paradigme. Le langage juridique doit être transformé en discours d’adhésion, les données disponibles mieux valorisées et des use cases profitables et industrialisables doivent émerger, nécessitant moins de données mais plus qualitatives. Pour en savoir plus

Benjamin Baratta – Consultant RGPD chez Witik