Village de la Justice www.village-justice.com

La rédaction d’une politique de cookies et le RGPD. Par Jean-Pierre Mistral, Director Global Data Privacy.
Parution : vendredi 21 décembre 2018
Adresse de l'article original :
https://www.village-justice.com/articles/redaction-une-politique-cookies-rgpd,30287.html
Reproduction interdite sans autorisation de l'auteur.

Rédiger la politique "cookies" d’une entreprise n’est pas un exercice simple. Si on regarde les termes disponibles sur les sites web des entreprises nous constatons une très grande disparité avec des termes qui sont soit très génériques, très détaillés (peut être trop, ce qui nuit à une bonne information et compréhension), ou la liste des cookies n’est pas maintenue à jour (il suffit d’utiliser un outil de traçage de cookies tel que Gosthery pour le constater), ou alors l’absence d’une liste de cookies. À mon avis la rédaction des termes applicables à l’utilisation de cookies commence par une complète maîtrise de l’ensemble des cookies déposés et lus sur un site web et une compréhension de la technique qui permet l’installation des cookies.

En conséquence, avant de se plonger dans les conditions juridiques associées à l’utilisation de « cookies », il convient d’apporter un éclairage technique sur leur provenance.

Dans le cadre de cet article le terme "cookie" est à prendre au sens large et couvre l’ensemble des traceurs déposés ou lus lors de la consultation de pages web.

A/ L’aspect technique.

Un site internet est un ensemble de fichiers HTML [1], liés par des liens hypertextes, stockés sur un serveur web [2] hébergeant les pages web. [3]

Navigateur internet (browser en anglais) est un logiciel informatique qui affiche des pages web. Les navigateurs les plus populaires sont Google Chrome, Mozilla Firefox, Internet explorer, Safari et Opera. Pour atteindre un site web, vous devez saisir un nom de domaine dans la barre d’adresse de votre navigateur. Le navigateur affichera alors la page principale, appelée page d’accueil, du site web.

Un moteur de recherche est un type particulier de site web qui aide les utilisateurs à trouver les pages web d’autres sites web. Les moteurs de recherche les plus connus sont Google, Bing, Yandex, DuckDuckGo, Yahoo, Qwant. Par exemple le navigateur Firefox peut afficher par défaut sur sa page de démarrage la boîte de recherche Google.

Le serveur web sert aussi à envoyer des "cookies" au navigateur internet de l’utilisateur. Voilà ce qui se passe techniquement, après avoir reçu une requête un serveur web peut envoyer sa réponse (i.e., la page web que vous recherchez) avec un ou plusieurs cookies. Le cookie ou les cookies ainsi envoyés sont stockés par le navigateur, puis renvoyés lors des prochaines requêtes au même serveur web. Une date d’expiration ou une durée peut être spécifiée par cookie, après quoi le cookie ne sera plus envoyé. De plus, des restrictions à un domaine ou un chemin spécifiques peuvent être spécifiés, limitant quand le cookie est envoyé.

Les cookies ont leur propre domaine, qui peut être le même que la page web sur laquelle que nous utilisons, on parle alors de cookie interne (first party cookie en anglais) qui sont uniquement envoyés au serveur qui les a définis. Si le domaine est diffèrent on parle de cookie tiers (third-party cookie en anglais), ils sont principalement utilisés pour la publicité et le suivi sur le web. La plupart des navigateurs autorisent les cookies tiers par défaut. [4]

B/ Les conditions juridiques du RGPD.

Le RGPD fait référence au terme cookie qu’une seule fois dans le considérant 30 : Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.

L’idée est relativement simple : les cookies peuvent être utilisés pour identifier une personne de manière unique, ils doivent donc être traités comme des données personnelles. Cela affectera les identifiants utilisés pour l’analyse, la publicité, mais également ceux utilisés pour des services fonctionnels tels que les discussions et les sondages.

La possibilité pour un cookie de permettre l’identification d’une personne nous renvoie à la définition de données personnelles et à la notion de consentement dans le considérant 32 du RGPD : Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel.

Il est utile de rappeler qu’en droit européen une intention exprimée dans un préambule ou un considérant a une valeur juridique moindre qu’une disposition insérée dans les articles d’une directive ou d’un règlement. L’intention exprimée dans un considérant va servir de point de référence au juge national dans son interprétation du règlement et la loi locale qui en découle.

Il convient de noter que tous les cookies ne sont pas utilisés de manière à identifier les utilisateurs et donc ne sont pas soumis au principe de consentement de l’article 7 du RGPD. On parle alors de cookies de fonctionnement qui sont utilisés dans le seul but de réaliser la transmission d’une communication et strictement nécessaire pour la fourniture d’un service exigé par l’utilisateur du service. Le WP29 explique que les cookies suivant ne nécessitent pas un consentement préalable : [5]
- cookies de saisi utilisateur (identifiant de session) tels que les cookies propriétaires pour garder la trace de la saisie de l’utilisateur lors du remplissage de formulaires en ligne, de paniers d’achat, etc. pendant la durée d’une session ou de cookies persistants limités à quelques heures dans certains cas ;
- cookies d’authentification, pour identifier l’utilisateur une fois qu’il est connecté, pendant la durée d’une session ;
- les cookies de sécurité centrés sur l’utilisateur, utilisés pour détecter les abus d’authentification, pour une durée persistante limitée ;
- cookies de lecture de contenu multimédia, utilisés pour stocker des données techniques afin de lire du contenu vidéo ou audio, pendant la durée d’une session.
- cookies d’équilibrage de charge, pour la durée de la session.
- cookies de personnalisation de l’interface utilisateur telle que les préférences de langue ou de police, pour la durée d’une session (ou légèrement plus longue) ;
- cookies de partage de contenu plug-in social tiers, pour les membres connectés d’un réseau social.

Par contre les cookies suivants nécessitent une information préalable et une demande de consentement, on peut notamment citer d’une manière non exhaustive (source CNIL) :
- les cookies liés aux opérations relatives à la publicité ciblée ;
- certains cookies de mesure d’audience (voir les exemptions sur le site de la CNIL https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi) ;
- les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu’ils collectent des données personnelles sans consentement des personnes concernées.

Il appartient donc aux organisations de trouver un moyen d’utiliser les cookies de manière légale. Le consentement implicite ou la désinscription ne sont pas possibles. Le visiteur doit donner une action affirmative claire (par exemple, en cliquant sur une case d’inclusion ou en modifiant les paramètres).

La personne qui visite un site web doit être informée, par un bandeau visible :
- des finalités précises des cookies utilisés (politique des cookies) ;
- de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
- du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Ce bandeau ne doit pas disparaître tant que la personne ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton "rechercher "). Le fait de visiter la page "Politique des cookies" ne vaut pas consentement au dépôt de cookies, ce qui est logique puisque la personne est en train de s’informer pour éventuellement accepter les cookies, les refuser ou effectuer des choix.

Il appartient donc à l’entreprise éditrice du site d’avoir une complète maîtrise de l’ensemble des cookies déposés et lus sur son site web et ainsi pouvoir informer les visiteurs des types de cookies que vous souhaitez utiliser. Laissez-les choisir lesquels ils acceptent. Par exemple, il y aura les cookies strictement nécessaires pour les fonctions normales du site web. Ces cookies ne peuvent pas être désactivés car le site Web ne fonctionnerait plus correctement, ces identifiants ne stockent aucune donnée personnelle. Assurez-vous que les utilisateurs comprennent cela. Pour continuer, il y aura les cookies utilisés pour l’analyse. Celles-ci ne sont pas obligatoires pour la fonctionnalité du site, elles ne peuvent donc pas être imposées à la personne concernée. Si l’utilisateur les désactive, vous ne pourrez pas surveiller correctement les performances de votre site Web. Encore une fois, assurez-vous que la personne concernée comprend tout cela, mais donnez-lui le choix de les désactiver. Enfin, il va sans dire que les identifiants utilisés pour la publicité ou les liens d’affiliation (third-party cookies) sont facultatifs. Il convient donc d’identifier clairement ces cookies puisque vous recherchez le consentement éclairé du visiteur.

Ne pas oublier que si même nous parvenons à obtenir le consentement requis par le RGPD, les visiteurs doivent également pouvoir retirer leur consentement ou se désabonner à tout moment. Cela doit être aussi simple que possible pour le visiteur.

Il existe des outils de gestion de cookies qui permettent de gérer et centraliser le recueil du consentement en un seul outil. Voici quelques exemples d’outils de gestion : Civic Cookie Control, Piwik PRO Consent Manager, Cookie bot, OneTrust, TrustArc. Je m’interroge sur l’utilisation par les visiteurs de l’outil de paramétrage, je n’ai pas trouvé d’étude mais je pense qu’il doit s’agir d’une utilisation très limitée du fait que la majorité des utilisateurs ne lisent pas la politique des cookies et ne sont pas des experts en informatique. Ce qui démontre un intérêt évident à éduquer les internautes dès le plus jeune âge.

Je conclus en citant cette solution intéressante (source DataGuidance) issue d’une décision de l’autorité autrichienne de protection des données ("DSB") en date du 30 novembre 2018 concernant la nature du consentement au traitement de données à des fins de marketing direct au moyen de cookies tiers, à la suite d’une plainte individuelle. Ce qui je trouve intéressant est la génération de revenue qu’offre le RGPD.

Un particulier avait allégué qu’un journal en ligne avait violé son droit de s’opposer à l’utilisation des cookies de marketing, et que son consentement n’avait pas été obtenu conformément au RGPD.

La DSB a constaté que le consentement au traitement de données était volontaire au sens de l’article 7 du RGPD, car les cookies de marketing n’étaient pas affichés sur le site web de la société jusqu’à ce que la personne ait délibérément décidé d’accéder à la page web. En outre, la DSB a estimé que l’individu disposait de plusieurs options pour révoquer son consentement sans subir de conséquences négatives importantes puisque le site web offrait la possibilité de refuser les cookies et donc de bénéficier du journal en ligne sans publicité, sans suivi des données et sans la configuration de cookies tiers, sous réserve de souscrire à un abonnement de 6 euros par mois, ce qui a été considère par la DSB comme une alternative légalement valide et non onéreuse.

Jean-Pierre Mistral Gemalto VP & Director Global Data Privacy

[1i.e., langage de balisage conçu pour représenter les pages web

[2i.e., un ordinateur connecte en permanence à internet

[3« Héberger » signifie que toutes les pages web et fichiers associés sont localement enregistrés sur cet ordinateur. À la demande d’un utilisateur, le serveur web transmettra la page web du site web hébergé au navigateur de l’utilisateur.

[4Si vous êtes curieux vous pouvez consulter cette page pour avoir la liste des cookies utilisés par Google https://policies.google.com/technol....