Note informative sur les cookies

Découvrez notre Politique de Cookies pour comprendre comment nous utilisons les données de navigation. Nous utilisons des cookies pour améliorer votre expérience sur notre site et personnaliser le contenu. Apprenez à gérer les préférences de cookies et vos droits en matière de confidentialité.

I. INFORMATIONS LEGALES RELATIVES AUX COOKIES ET AUTRES TRACEURS : 

Les termes de « cookie » ou « traceur » recouvrent par exemple :

les cookies HTTP,

les cookies « flash »,

le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d'un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage),

les pixels invisibles ou « web bugs »,

tout autre identifiant généré par un logiciel ou un système d'exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).

Ils peuvent être déposés et/ou lus, par exemple lors de la consultation d'un site web, d’une application mobile, ou encore de l'installation ou de l'utilisation d'un logiciel et ce, quel que soit le type de terminal utilisé : ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet.

L'article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe : 

d'un consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci ;

sauf si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.

La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.

Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.

Cette obligation s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés (par exemple lorsque les éditeurs autorisent le dépôt de cookies qui sont ensuite lus par des régies publicitaires). Ces derniers sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs.

L'obligation de recueil du consentement peut donc s'imposer notamment :

aux éditeurs de sites web et d'applications mobiles ;

aux régies publicitaires ;

aux réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux.

De manière générale, les éditeurs de sites ou d’applications mobiles, du fait d’un contact direct avec l’utilisateur, sont souvent les plus à même de porter à la connaissance de ce dernier l’information sur les traceurs déposés et de collecter leur consentement.


1. Quels cookies nécessitent le consentement préalable des utilisateurs ?

Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur nécessitent le consentement préalable de l’internaute. Parmi les cookies nécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notamment citer :

les cookies liés aux opérations relatives à la publicité personnalisée ;

les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

En ce qui concerne les traceurs non soumis au consentement, on peut évoquer :

les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;

les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;

les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;

les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;

les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;

les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;

certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.

Le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions simples d’usage.

L'acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.

Le consentement doit être préalable au dépôt et/ou à la lecture de cookies.

Tant que la personne n'a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.

Il doit être requis à chaque fois qu'une nouvelle finalité nécessitant le consentement vient s'ajouter aux finalités initialement prévues.

Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l'information reçue.

Elle doit être visible, mise en évidence et complète.

Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.

Elle doit permettre aux internautes d'être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.

Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.

Le consentement n'est valide que si la personne exerce un choix réel.

L'utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité.

Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».  

Par ailleurs, la CNIL recommande que ce choix soit effectué sur chacun des sites ou applications concernés par le suivi de navigation.

Le consentement doit pouvoir être retiré simplement et à tout moment par l'utilisateur.

Il doit être aussi simple de retirer son consentement que de le donner.

Des solutions permettant aux utilisateurs de retirer leur consentement doivent être mises à la disposition de l’utilisateur. Elles doivent être accessibles à tout moment.


2. Comment prouver que l’on a bien recueilli le consentement ? 

Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes, non exclusives :

Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;

Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;

Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;

Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP « Consent Management Platform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions

 

II. LA MISE EN CONFORMITE DES SITES INTERNETS 

1. Recueillir un consentement valide : 

Informer l’utilisateur. L’information doit notamment comprendre :

l'ensemble des finalités d’usages liées aux traceurs, qui doit être présentée à l'utilisateur au moment de faire son choix. Pour des raisons de clarté et de concision, cette première description peut être limitée à une brève présentation des objectifs poursuivis par les traceurs ; une description plus détaillée peut être fournie à l’utilisateur dans un second temps.

une liste, régulièrement mise à jour, des responsables du ou des traitements de données accessible directement ou indirectement (via un lien hypertexte par exemple) sur le premier niveau d’information. 

Permettre à l’utilisateur de consentir par un acte positif clair : le silence des personnes, qui peut passer par la simple poursuite de leur navigation, doit désormais s’interpréter comme un refus. En revanche, une demande de consentement effectuée au moyen de cases à cocher, et décochées par défaut, est facilement compréhensible par les utilisateurs. La CNIL recommande de s’assurer que les interfaces de recueil des choix n’intègrent pas des pratiques de design trompeuses : bouton décoloré, barre de défilement (« slide bar ») difficilement compréhensible, etc.

Permettre à l’utilisateur de faire un choix par finalité : il est recommandé de permettre à l’utilisateur de donner son consentement de façon indépendante et spécifique pour chaque finalité, par exemple au moyen de cases à cocher. Il est possible de proposer à l’utilisateur de consentir de manière  globale à un ensemble de finalités, en intégrant, par exemple, des boutons « tout accepter » ou « tout refuser », mais uniquement si l’ensemble des finalités est présenté préalablement.

Permettre à l’utilisateur d’exercer ses choix avec le même degré de simplicité : par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser ». Les choix de l’utilisateur doivent, en principe, être conservés durant leur navigation sur le site.  La CNIL recommande que le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. Une durée de six mois, tant pour le consentement que le refus est en général appropriée.

Permettre à l’utilisateur de revenir sur sa décision à tout moment : l’utilisateur doit avoir la possibilité de retirer son consentement à tout moment, par exemple avec un lien en pied de page ou un autre mécanisme de gestion des cookies accessible à tout moment sur le service concerné.