Cookies : les recommandations de la CNIL

La réglementation impose que les personnes donnent leur consentement préalablement à l’insertion de traceurs et soient informées des types et finalités des cookies.

On appelle « cookie » tout type de traceurs « déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé ». (définition de la CNIL).

Les différents types de cookies :

Certains cookies et des traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur sont exemptés de consentement.

Selon la CNIL, les traceurs suivants ne requièrent pas de consentement :

  • les cookies de  » panier d’achat  » pour un site marchand ;
  • les cookies  » identifiants de session « , pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas ;
  • les cookies d’authentification ;
  • les cookies de session créés par un lecteur multimédia ;
  • les cookies de session d’équilibrage de charge ( » load balancing « ) ;
  • certaines solutions d’analyse de mesure d’audience (analytics) ;
  • les cookies persistants de personnalisation de l’interface utilisateur (choix de langue ou de présentation).

A contrario, les cookies nécessitant une information préalable et une demande de consentement sont, par exemple :

  • les cookies liés aux opérations relatives à la publicité ;
  • les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux lorsqu’ils collectent des données personnelles sans consentement des personnes concernées ;
  • certains cookies de mesure d’audience.

Pour être dispensés de consentement, les cookies de mesure d’audience doivent respecter les conditions suivantes :

  • L’éditeur du site doit délivrer une information claire et complète ;
  • Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tous les navigateurs, et tous les types de terminaux (y compris les smartphones et tablettes).
  • Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple).
  • Le cookie déposé doit servir uniquement à la production de statistiques anonymes ;
  • Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
  • L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
  • Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ;
  • les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois.

Les cookies de mesure d’audience qui ne respectent pas les conditions ci-dessus doivent faire l’objet du recueil du consentement préalable des utilisateurs.

https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

L’information et la collecte du consentement :

L’internaute doit être informé par l’apparition d’un bandeau dès son arrivée sur le site. Le bandeau doit comporter :

  • les finalités précises des cookies utilisés (ex : cookies publicitaires et de mesure d’audience);
  • la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien du type « en savoir plus » ou « paramétrer les cookies » ;
  • une information sur le fait que la poursuite de sa navigation vaut acceptation du dépôt de cookies sur son terminal.

Le bandeau ne doit pas disparaître tant que la personne ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, onglet).

Le droit d’opposition aux cookies :

En fonction des technologies utilisées et des fonctionnalités, il peut être proposé :

  • un renvoi vers des outils spécifiques d’opposition au traçage
  • un paramétrage des navigateurs, sous certaines conditions.

Les paramètres du navigateur est un moyen acceptable pour permettre de s’opposer aux cookies tiers uniquement si :

  • L’internaute a été informé avant le dépôt des cookies, de leurs finalités
  • l’ensemble des cookies déposés sur le site sont des cookies HTTP (les paramètres du navigateur ne permettent pas, en l’état actuel de la technique, de gérer des technologies autres que les cookies HTTP. Les pixels invisibles, les cookies flash, ou les techniques de fingerprinting impliquent donc de recourir à un outil spécifique pour respecter le droit d’opposition).
  • l’ensemble des cookies déposés sur le site sont des cookies tiers  : c’est à dire, des cookies placés par le serveur d’un domaine distinct de celui du site visité. Dans le cas contraire, le responsable de traitement devra mettre en place un autre mécanisme pour gérer les choix des utilisateurs en matière de cookies.
    Si la solution de mesure d’audience de Google (ou une autre solution s’appuyant sur des « first party » cookies) est utilisée, il conviendra d’ajouter le script de demande de consentement disponible sur le site de la CNIL.

L’internaute doit pouvoir s’opposer à certains cookies et en conserver d’autres, d’où l’importance de la notion de finalité.

Durées de conservation :

Les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement).

Pays d’origine des cookies :

De nombreux cookies sont installés par des sociétés américaines qui ne sont pas adhérentes au Privacy Shield, il appartient donc au responsable de traitement d’identifier la société en question et de lui faire signer les CCT (clauses contractuelles types validées par la Commission Européenne pour le transfert de données hors UE).

Charlotte GALICHET

Bookmark the permalink.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *