Outre la nécessité de déclarer un tel traitement, la loi impose désormais, dans certains cas, aux responsables de sites d’informer les internautes et de recueillir leurs consentements avant l’insertion de cookies.
Une publication de la CNIL en date du 26 avril 2012 apporte quelques précisions sur ce nouveau régime et doit permettre de guider la mise en conformité de vos activités sur Internet, si celle-ci n’a pas déjà été effectuée.
1. Quels « cookies » sont concernés ?
Les cookies sont les « informations stockées dans l’équipement terminal », qui sont déposées par un site Internet sur le terminal d’un utilisateur, notamment afin d’étiqueter et donc de « pister » un internaute pour constituer un profil.
Ce terme est à prendre au sens large et inclut les cookies « flash » (aussi appelés « Local Shared Object ») ou encore le stockage local web (aussi appelé « Stockage DOM »).
Les cookies soumis à la nouvelle réglementation ne contiennent pas forcément de données à caractère personnel. Toutefois, tous les cookies ne sont pas concernés. En effet, ces règles ne s’appliquent pas à un cookie qui a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Il reste cependant prudent de fournir une information sur l’utilisation de ces cookies dans la politique de confidentialité du site web.
Par ailleurs, la CNIL, consciente de la nécessité pour un éditeur de mesurer l’audience de son site Internet, a décidé de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées. Les conditions de cette exemption au consentement restent cependant très strictes.
2. Quels sont les changements apportés par le « paquet télécom » ?
D’après les nouvelles dispositions en vigueur :
l’information de l’internaute, quant à la finalité du dépôt de cookie et aux moyens dont il dispose pour s’y opposer, doit être préalable à l’action de dépôt,
et le consentement de l’internaute doit être demandé. Quant à lui, le droit de s’opposer à tout moment à l’utilisation d’un cookie d’ores et déjà installé demeure.
3. Qui doit informer l’internaute ?
C’est le responsable du traitement mettant en œuvre des cookies qui a la responsabilité d’informer l’internaute. Lorsque le cookie est inséré par un tiers (dans le cas, par exemple, d’une publicité ciblée insérée par une régie publicitaire), l’information et le consentement n’ont pas à être réalisés deux fois. Il est donc réalisé soit par le tiers, soit par le site Internet sur lequel la publicité est diffusée.
4. Comment recueillir valablement le consentement de l’internaute ?
L’ « accord » de l’internaute doit s’analyser comme « toute manifestation de volonté, libre, spécifique et informée », la validité du consentement étant liée à la qualité de l’information reçue, laquelle doit préciser la finalité du cookie.
Ainsi, le paramétrage du navigateur n’est pas une modalité valable du consentement dans la mesure où un navigateur qui accepterait par principe tous les cookies sans distinguer leur finalité ne permettrait pas de donner un accord spécifique.
Ceci étant, le législateur a prévu la possibilité, pour obtenir le consentement de l’internaute, de recourir à « tout autre dispositif placé sous son contrôle ». Cela pourrait être, par exemple, un module à ajouter au navigateur ou une plateforme web gérant les consentements.
Notons que la modification des conditions générales d’utilisation, où se trouvait en général l’information sur les cookies, ne permet pas de recueillir valablement le consentement de l’internaute pour chaque type de cookies.
Pour que le consentement soit recueilli valablement, il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement.
Plusieurs mécanismes sont ainsi envisageables, notamment :
une bannière en haut d’une page web,
une zone de demande de consentement en surimpression sur la page,
des cases à cocher lors de l’inscription à un service en ligne, étant précisé que les fenêtres « pop-up » classiques ne sont pas recommandées, car celles-ci sont souvent bloquées par les navigateurs.
Exemples de mécanismes recommandés :
Par ailleurs, si l’utilisateur a précédemment donné son accord (ou exprimé son refus) pour un cookie, il n’est pas nécessaire de solliciter de nouveau son accord lors des visites suivantes, ce principe étant valable aussi pour les cookies « tiers ». Ainsi, par exemple, si un internaute accepte de recevoir des cookies tiers provenant d’une certaine régie publicitaire pour de la publicité comportementale, alors cet accord sera valable sur tous les sites web qui affichent des publicités provenant de cette même régie publicitaire.
Enfin, en cas de refus par l’internaute pour un cookie, il est utile de mémoriser ce refus pour ne pas solliciter de nouveau l’internaute inutilement lors des visites suivantes. L’une des solutions possibles consiste précisément à utiliser un « cookie de refus ».
5. Quels sont les risques encourus en cas de non-respect de la nouvelle réglementation ?
La responsabilité du responsable du traitement mettant en œuvre des cookies est très large, puisqu’elle est engagée dès lors que le site permet à un tiers de déposer un cookie sur le terminal d’un internaute.
Ces nouvelles règles doivent être scrupuleusement respectées car tout manquement à la loi « informatique et libertés » est passible d’amendes pouvant aller jusqu’à 300 000 €.
Ayant conscience que la mise en conformité de certains sites nécessitera plus de délai que d’autres, la CNIL appréciera, en cas de plainte ou de contrôle, les efforts mis en œuvre par le responsable du traitement pour se mettre en conformité.
6. Quelques conseils pratiques
Au vu de ce qui précède, il convient donc sans tarder de :
lister les cookies déposés par le site Internet, vérifier lesquels sont concernés par la nouvelle réglementation et en profiter pour cesser de recourir aux cookies qui ne sont pas nécessaires au site,
inclure dans les conditions générales d’utilisation ou les mentions légales du site des informations plus complètes et plus apparentes sur les cookies,
choisir la méthode par laquelle vous allez informer l’internaute et recueillir son consentement, puis mettre en œuvre la méthode choisie ou, au moins, faire tous les efforts possibles pour respecter la nouvelle réglementation.
