Comment avoir une bannière de cookies conforme au RGPD ?

Suite à la publication des lignes directrices de la CNIL en matière de cookies et traceurs, il convient de respecter un certain nombre de critères afin de s’assurer de la conformité de son bandeau cookies.

Qu’est ce qu’un cookie ou traceur ?

En naviguant sur internet, différents acteurs suivent vos habitudes de consultation, de consommation, de déplacement, de navigation,... dans un but purement lucratif. En plaçant sur votre navigateur des cookies, cela va permettre aux entreprises de vous fournir des publicités dîtes “ciblées” ou d’autres services personnalisés en fonction de vos comportements. Toutes ces données récoltées sont une mine d’or et sont sujettes à différentes législations.

Certains cookies en revanche sont exemptés de consentements car considérés comme “essentiels” ou “techniques” et sont nécessaires au bon fonctionnement du site internet. Une analyse type “Analytics” ne peut être légalement considérée comme essentielle par exemple.

Qui est responsable?

Il est obligatoire de recueillir le consentement et d’informer les utilisateurs sur la finalité des données collectées via une bannière de cookies conforme au RGPD. Les acteurs suivants sont responsables :

• Editeurs de sites web et d’applications mobiles
• Régies publicitaires
• Réseaux sociaux

Que dit la loi ?

Lorsque des utilisateurs visitent un site un site web, ils doivent être informés et donner leur consentement préalable au dépôt ou la lecture de cookies ou autres traceurs (sauf si ceux-ci sont exemptés de consentement). Cet acte se réalise grâce à une bannière de cookies et celle-ci doit être conforme au RGPD et aux recommandations de la CNIL.

Les utilisateurs doivent être informés de manière claire et complète sur la finalité des informations stockées dans leurs équipements. Ces visiteurs doivent également être en mesure de s’y opposer de manière simple. En pratique cela se traduit par une option “refuser tout” au même titre que l’option “accepter tout” sur sa bannière. Une erreur souvent observée est liée à la non présence de ce bouton pourtant obligatoire, cela rend la bannière inutile et non-conforme au RGPD.

Recueillir un consentement valide sur sa bannière de cookies requiert de suivre un certain nombre de prérequis :

• Tout d’abord l’utilisateur final doit clairement être informé. Cette option doit être présentée de manière claire au moment du choix de l’utilisateur.
• Des termes simples et compréhensibles de tous doivent être utilisés.
• Une brève description est tolérée pour des raisons de clarté d’affichage mais il est vivement conseillé d’offrir une description plus complète et détaillée dans une politique de cookies par exemple. Celle-ci doit être régulièrement mise à jour.
• Donner la possibilité au visiteur de consentir par un “acte positif clair”. La CNIL précise et recommande également de ne pas utiliser de “pratiques de design trompeuses”. Cela pourrait se traduire par un bouton “Accepter Tout” ultra-visible et un bouton “Refuser tout” caché en haut à droite, vivement déconseillé et non conforme au RGPD !
• Permettre un choix par finalité. Il est recommandé de recueillir un consentement spécifique pour chaque finalité comme le propose par exemple la bannière de cookies SP ainsi que son centre de préférences.
• L'exercice de ces choix doit s’effectuer selon le même degré de simplicité. Les choix des visiteurs doivent “en principe” être enregistrés afin de ne pas demander à nouveau ces informations. La solution SP avec son outil de gestion de consentement vous permet d’enregistrer chaque consentement de manière indépendante et conforme au RGPD.
• L’utilisateur doit également être en mesure de revenir sur sa décision à tout moment. La CNIL recommande ici un lien en bas de page par exemple ou un bouton de gestion des cookies accessible à tout moment sur la page comme le propose SP avec son Trust Badge.

Toutes ces recommandations sont encadrées par un cadre juridique clairement défini :

• L'article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe 
• L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.
• Article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018
• Les articles 4(11) et 7 du RGPD
• Les lignes directrices du 17 septembre 2020

En 2021, la CNIL a plus que jamais contrôlé la bonne exécution et le respect des points évoqués mais a également sanctionné les entreprises peu scrupuleuses. Plus de 14000 plaintes ont été déposées et ce nombre ne fait qu’augmenter. 

Il est primordial d’agir avec parcimonie et prudence lorsque l’on traite des données personnelles. Certaines entreprises font preuve d’initiative en adoptant des approches “Privacy by Design”. Tous ces éléments permettent d’améliorer le sentiment de confiance ainsi que la transparence avec ses visiteurs. Outre l’aspect légal, c’est un acte citoyen de respect. 

Pour avoir plus de détails sur comment votre bannière de cookies doit respecter le RGPD