Vous le saviez certainement, la CNIL surveille de très près, par rapport au RGPD, tout ce qui concerne les cookies et autres traceurs utilisés par les sites web, applications etc. C’est un point fondamental dans la gestion des données personnelles que vous devez prendre très au sérieux. Dans ce nouvel article, nous vous expliquons comment vérifier que le bandeau des cookies de votre site web est bien conforme au RGPD et qu’il respecte bien les dernières préconisations de la CNIL.
1. A quoi servent les cookies ?
Les cookies (ou autres traceurs) sont des fichiers, stockés sur votre ordinateur, permettant de mémoriser des informations. Ce sont les sites internet que vous visitez qui les stockent sur votre PC.
L’exemple le plus simple permettant de comprendre ce qu’est un cookie est lorsque vous vous connectez à votre espace client d’un site internet. En effet, vous avez certainement déjà remarqué que, lorsque vous vous connectez à votre espace personnel, le site internet vous propose de mémoriser vos informations de connexions afin de ne pas avoir à les ressaisir lors de votre prochaine visite.
Si vous acceptez cette mémorisation, votre identifiant ainsi que votre mot de passe seront enregistrés dans un cookie sur votre ordinateur. Cet exemple montre l’un des côtés positifs de ce système en exploitant les cookies de manière à vous faire gagner du temps. Voir image ci-dessous.
Il existe une multitude de cookies ayant des objectifs très variés. Les cookies les plus fréquemment utilisés servent à obtenir des statistiques de visites ou à connaître vos habitudes de navigation (publicités ciblées). De manière générale, chaque site WEB va utiliser ses propres cookies pour retenir les informations dont il a besoin.
Globalement, ces fichiers sont inoffensifs pour votre ordinateur toutefois il y a un problème qui vient du fait que les données personnelles que les cookies stockent ont été enregistrées à votre insu, et ce, sans que vous soyez informés de l’objectif de cet enregistrement. C’est la raison pour laquelle, la législation en matière de protection des données personnelles (RGPD et autres) et les préconisations de la CNIL évoluent car elles ont pour objectif de faire respecter la vie privée des citoyens. SANS votre accord préalable, un site internet ne doit plus traquer vos habitudes pour vous envoyer de la publicité, des informations commerciales etc.
C’est la raison pour laquelle le bandeau des cookies est apparu. Son objectif est de VOUS INFORMER de des finalités des différents cookies utilisés par le site et de vous demander votre accord préalable (ou consentement).
2. Le bandeau des cookies, qu’est-ce que c’est ?
Le bandeau des cookies est une bannière apparaissant sur la page d’accueil ou sur toute première page d’un site internet à laquelle peut accéder un internaute. Ce bandeau apparaît souvent tout en bas de la page du site. Il s’affiche lors de votre première visite sur un site ou lorsque vous y revenez après avoir nettoyé votre ordinateur (en ayant utilisé un logiciel spécifique comme CCleaner par exemple).
Ce bandeau doit obligatoirement être présent sur votre site internet mais il doit également respecter plusieurs règles pour être en conformité au RGPD.
3. Que doit contenir un bandeau des cookies pour être conforme au RGPD ?
En octobre 2020, la CNIL a publié de nouvelles recommandations concernant les éléments devant apparaître sur le bandeau des cookies d’un site internet.
Pour être conforme au RGPD, le bandeau des cookies doit respecter certaines règles :
- Afficher un message rapide dès l’arrivée d’un internaute sur un site qui indique que le site utilise des cookies en précisant lesquels sont utilisés et leurs finalités
- Permettre à un visiteur d’accepter, de gérer ou de refuser les cookies du site internet
- Permettre à un internaute de connaître l’objectif de chacun des cookies « non nécessaires » utilisés par un site internet
- Permettre à un utilisateur d’accéder à la politique de confidentialité via un lien affiché directement sur le bandeau des cookies
- IMPORTANT, à tout moment, un internaute qui accepte les cookies utilisés par un site internet peut revenir sur sa décision. De ce fait, la politique de confidentialité doit lui donner la possibilité de refuser les cookies précédemment acceptés
En respectant ces différentes règles, le bandeau des cookies sera conforme, mais, qu’en est-il de la technique permettant de désactiver les cookies d’un site WEB en cas de refus de la part d’un internaute ?
4. Votre site internet désactive-t-il réellement les cookies lorsque l’internaute les refuse ?
Il y a encore quelques mois, le bandeau des cookies avait donc un objectif informatif permettant d’accepter les cookies. Il était également considéré par la CNIL que le fait de poursuivre sa navigation impliquait l’acceptation implicite de la part de l’internaute.
Depuis les dernières préconisations de la CNIL, en octobre 2020, le bandeau des cookies doit également permettre aux visiteurs de votre site d’interagir avec les cookies utilisés. Il a donc dorénavant un objectif supplémentaire qui permet de laisser les cookies acceptés par un visiteur actifs et de les désactiver en cas de refus. Un visiteur doit également pouvoir, à tout moment, accéder au bandeau des cookies pour modifier ses choix initiaux (exemple : refuser des cookies qu’il aurait accepté lors de sa première visite).
Effectivement, votre bandeau qui permet techniquement à l’internaute de refuser les cookies « non nécessaires » doit également désactiver de votre site internet les cookies qui ont été refusés. Si le visiteur de votre site refuse un cookie correspondant à un outil de statistique, comme par exemple Google Analytics, alors votre site ne devra pas enregistrer ce cookie. Par conséquent, si votre bandeau des cookies ne respecte pas cette règle, il n’est pas conforme au RGPD. Pensez donc à bien vérifier que l’outil de gestion des cookies utilisé par votre site internet remplit correctement son rôle et répond aux exigences de la CNIL.
Pour être certain de respecter cette obligation, il faut donc vous tourner vers des solutions de gestion des cookies ayant des fonctionnalités adaptées. Pour notre site internet kitrgpd.fr nous avons utilisé l’outil tarteaucitron.js qui répond parfaitement à nos besoins.
Pour mettre votre site internet, vitrine ou marchand, en conformité au RGPD, notre kit est fait pour vous. Cliquez-ici pour en savoir plus.