Cookies et autres traceurs : comment mettre votre site web en conformité ?
Explications des lignes directrices de la CNIL du 17 septembre 2020
LE CONTEXTE
Comme vous le savez, le Règlement Général sur la Protection des Données (RGPD) est venu renforcer le régime de la protection des données personnelles dans vos entreprises, vos associations, vos communes, vos cabinets … Mais aussi sur vos pages Internet !
Si la Commission Nation Informatique et Liberté (CNIL) a longtemps était souple sur la mise en application du principe du consentement actif sur l’acceptation du dépôt de cookie, cela a changé depuis la parution de ses lignes directrices en date du 17 septembre 2020.
Ce document a pour objectif de vous énoncer les règles à suivre pour la bonne mise en conformité de votre site.
-
À partir de quand puis-je être sanctionné ?
Ces lignes directrices s’appliquent dès aujourd’hui. La CNIL laisse jusqu’à fin mars 2021 aux entités pour se mettre en conformité et prononcer des sanctions. Ce qui ne signifie pas qu’elle n’opérera pas de contrôle avant !
-
À qui s’applique-t-il ?
Cela concerne toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci.
-
Quel support est concerné ?
Nombreux dispositifs : tablette, smartphone, ordinateur, console jeux vidéo, télévision connectée, véhicule connecté, assistant vocal etc.
DPO-COSIPE réalise des audits Internet à la demande[1], n’hésitez pas si vous avez un doute ! Contactez-nous.
CE QU’IL FAUT FAIRE
Les règles essentielles à retenir sont les suivantes :
- Le refus doit être aussi mis en évidence et aussi simple que l’acceptation.
- L’absence de choix vaut par défaut, refus.
- Il faut pouvoir changer facilement de choix à tout moment.
- La personnalisation de son choix doit être toujours possible et facile.
- Le choix de l’utilisateur doit être conservé pour une durée allant de 6 mois à 13 mois maximum. Passé le délai, le choix doit être réitéré par l’utilisateur.
Exemple de bandeau cookies :
Il faut toujours être en capacité de fournir la preuve du consentement de l’utilisateur en cas de contrôle.
Point de vigilance : Si plusieurs acteurs contribuent au dépôt des cookies ou traceurs, veuillez contacter votre Délégué à la Protection des Données afin que vous puissiez savoir quoi faire suivant la qualification de ces acteurs (responsable de traitement conjoint ou sous-traitant).
Les cookies exemptés de ces règles :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
- les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d’audience qui sont cumulativement :
- strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application pour le compte exclusif de l’éditeur.
- uniquement utile à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas non plus nécessaires au fonctionnement du service.
CE QU’IL NE FAUT PAS/PLUS FAIRE
Les pratiques à bannir sont les suivantes :
- Vous ne devez plus renvoyer le paramétrage des cookies au paramétrage du navigateur, cela est désormais proscrit.
- Le consentement doit être explicite : la poursuite de la navigation signifie refus.
- Le choix d’accepter ou refuser doit être aussi aisé dans l’un ou l’autre sens : les deux boutons doivent être sous le même format (couleur, taille etc.)
- Et toujours, le refus de cookies ne doit pas impliquer l’arrêt de la navigation ou la sortie du site
Dans tous les cas, n’hésitez pas à contacter DPO-COSIPE pour vous conseiller sur le sujet !
[1] (*) cette prestation est incluse et réalisée régulièrement chez nos clients dont nous sommes DPO.