Rappel des bonnes pratiques de sécurité sur les cookies et traceurs, points de vigilance de la CNIL en 2020

Journal du Net

13 octobre 2020

Chronique de Balkiss Smaili, Akerva

La Commission Nationale de l’Informatique et des Libertés (CNIL) identifie chaque année des thématiques prioritaires lui permettant d’orienter sa stratégie de contrôle annuelle. L’une d’elles, évoquée dans son communiqué du 12 mars 2020, concerne les cookies et les traceurs.

Un cookie est « un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéos connectée à Internet, etc. ». – définition de la CNIL. Un cookie ne constitue pas un logiciel malveillant ni un virus, il dispose d’une date de préemption qui varie selon les sites visités. Plusieurs catégories de cookies peuvent être identifiées :

· Cookies strictement nécessaires. Ces cookies sont indispensables au bon fonctionnement des sites web et ne peuvent pas être désactivés des systèmes. Ces cookies sont activés en réponse à des actions effectuées par l’internaute et correspondent à une demande de service (configuration des références de l’internaute, remplissage d’un formulaire, etc.) Cette catégorie de cookies ne stocke pas de données personnelles et est toujours active pour assurer le bon fonctionnement de toutes les parties de votre site web.

· Cookies de performance et de mesure d’audience. Ces cookies permettent de tracer le nombre de visite et les sources du trafic sur le site web (adresses IP, identifiants de connexion…). Ils permettent aussi d’identifier les pages les plus visitées et de mesurer les tendances de l’internaute. Toutes données collectées par cette catégorie de cookies doivent être anonymisées. Ces cookies ne sont pas essentiels à l’utilisation des sites web, l’internaute doit donc pouvoir donner son consentement avant leur activation et le retirer facilement.

· Cookies de fonctionnement. Ces cookies servent à l’amélioration des fonctionnalités et à la personnalisation des sites web (exemple : utilisation des services de messagerie instantanée). Ce type de cookies peut être activé par l’entreprise ou par ses partenaires. Les internautes doivent être informés des entreprises susceptibles d’accéder à leurs données et doivent pouvoir choisir par qui ils souhaitent ou ne souhaitent pas que leurs données personnelles soient traitées. Ces cookies ne sont pas essentiels à l’utilisation des sites web, l’internaute doit donc pouvoir donner son consentement avant leur activation et le retirer facilement.

· Cookies pour une publicité ciblée. Ces cookies fonctionnent via l’identification du navigateur et de l’appareil de l’internaute. Ce type de cookie est activé sur le site web de l’entreprise par ses partenaires publicitaires. Ils servent à établir des profils sur les intérêts des internautes afin de leur proposer des publicités ciblées sur d’autres sites. Nous parlons ici du profilage, le consentement de la personne concernée par le traitement est donc d’autant plus obligatoire.

Cookies et consentement

En tant que propriétaire d’un site web, l’entreprise est amenée, via le fonctionnement des cookies, à collecter et à traiter des données à caractère personnel, il lui incombe donc de s’assurer de la légalité des traitements associés et de la façon dont ces données sont collectées. En effet, l’internaute doit pouvoir conserver la maîtrise de ses données lors de la navigation sur le site web de l’entreprise.

De ce fait, le consentement de l’utilisateur à la récolte et au traitement des données personnelles doit être recueilli. Ce consentement doit être explicite et obtenu avant toute activation des cookies. Il ne peut en aucun cas être forcé, il doit être donné librement et selon les lignes directrices relatives aux cookies et aux traceurs adoptées par la CNIL. L’utilisateur doit pouvoir :

· Activer certains cookies plutôt que d’autres ;

· Poursuivre sa navigation sur le site web sans être obligé d’accepter tous les cookies pour poursuivre ;

· Refuser de donner son consentement aussi facilement que de l’avoir accordé ;

· Retirer son consentement sans rencontrer de difficultés ou d’obstacles.

Comme pour tout autre traitement de données personnelles, une finalité de traitement doit être définie à partir du moment où des données personnelles (adresse IP de l’utilisateur, identifiant de l’utilisateur…) sont traitées via les cookies. Le consentement de l’internaute doit porter sur chacune de ces finalités. Il convient aussi d’informer les personnes concernées de l’identité des responsables de traitement et des partenaires susceptibles d’avoir accès aux informations ainsi récoltées. Ces informations doivent être mises à jour régulièrement pour se conformer au principe de transparence du RGPD.

Cookies et bannière

En pratique, le recueil du consentement des utilisateurs peut être formellement réalisé à l’ouverture du site web via l’affichage d’une bannière qui doit :

· Informer l’internaute des finalités précises des cookies utilisés et de la possibilité de s’opposer à ces derniers ;

· Laisser l’internaute choisir leurs préférences (accepter ou refuser la personnalisation du contenu, les publicités adaptées, les statistiques, etc.) ;

· Informer l’internaute que la poursuite de sa navigation, après avoir choisi ses préférences, vaut accord au dépôt sur son terminal des cookies nécessaires à la réalisation du service demandé.

Afin que la bannière soit conforme aux exigences du RGPD et de la CNIL, il est préconisé de respecter certaines règles lors de leur implémentation :

· Avoir des cases pré-cochées par défaut sur « Accepté » ne constitue pas la preuve d’un consentement valide ;

· Bloquer la navigation sur le site web si l’internaute refuse les cookies ne constitue pas la preuve d’un consentement libre ;

· Des mécanismes techniques doivent être mis en œuvre pour bloquer le fonctionnement des cookies tant que l’utilisateur n’a pas donné son consentement à leur utilisation.

Points d’attention

Tous les cookies liés aux opérations relatives à la publicité, les cookies des réseaux sociaux générés par le bouton de partage et certains cookies de mesure d’audience doivent absolument faire l’objet d’un consentement préalable des internautes.

A contrario, les cookies et traceurs identifiés comme impératifs à « la fourniture d’un service expressément demandé par l’utilisateur » ne requièrent pas le consentement de l’internaute. Notamment : les cookies d’authentification, les cookies de certaines solutions d’analyse de mesure d’audience, les cookies de « panier d’achat » pour un site marchand… Pour approfondir : https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite. Ceci est également vrai pour certains cookies de mesure d’audience sous réserve de respecter plusieurs critères, pour approfondir : https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience.

Le saviez-vous ?

· La durée de vie maximale d’un cookie doit être de 13 mois. À l’expiration de ce délai, le consentement devra être à nouveau recueilli.

· Si l’entreprise est détentrice de plusieurs sites web, le consentement peut être demandé pour un groupe de sites plutôt qu’individuellement pour chaque site. Points d’attention :

o L’internaute doit être informé de la portée de son consentement, donc de la liste des sites pour lesquels son consentement sera valable.

o Si le consentement est global, le refus doit l’être aussi.

· Le fait de bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi est considéré comme une non-conformité au RGPD.

· L’authentification de l’internaute n’exonère pas de la nécessité de recueillir son consentement.

· L’utilisation d’un seul traceur pour de multiples finalités n’exonère pas le recueil du consentement pour les finalités qui le nécessitent.

Publiée le 13 octobre 2020 par JDnet