Pour beaucoup d’entreprises, un site web constitue une vitrine indispensable. Mais avez-vous pensé à mettre le vôtre en conformité avec le RGPD ? En effet, lorsqu’ils visitent votre site, les internautes issus de l’Union Européenne doivent être informés de l’utilisation que vous faites des cookies. Ils doivent être en mesure de donner leur consentement préalable à leur dépôt ou leur lecture. Voici un éclairage pour mettre en place une politique de gestion des cookies conforme aux exigences du RGPD.
Qu’est-ce qu’un cookie ?
Les cookies (ou traceurs) sont des fichiers textes qui se déposent sur le navigateur des visiteurs lorsqu’ils visitent votre site web. Ils vous permettent d’obtenir des informations sur eux, comme leurs données de connexion, leurs préférences linguistiques, leur âge ou encore leurs habitudes de navigation. Certains cookies dits nécessaires sont indispensables au bon fonctionnement des sites et servent à optimiser l’expérience des utilisateurs. Les cookies de ciblage marketing, en revanche, visent à mettre en place un marketing personnalisé lors des navigations futures grâce aux données personnelles qu’ils ont pu collecter. Évidemment, ce sont surtout ces derniers qui inquiètent les internautes !
Quoi qu’il en soit, votre site web doit demander l’autorisation aux utilisateurs avant de déposer des cookies sur leur navigateur, qu’il s’agisse de cookies de tracking que vous utilisez vous-même ou de cookies déposés par des sites tiers. Par exemple ceux de Google Analytics ou des régies publicitaires. Si recueillir le consentement de vos visiteurs est impératif, il convient avant toute chose de les informer quant aux types de cookies que vous utilisez.
Informer les utilisateurs
Les mots d’ordre d’une bonne politique de gestion des cookies sont le respect et la transparence.
Les utilisateurs doivent savoir exactement quels cookies ils acceptent et de quelle façon leurs données seront utilisées.
Pour être en conformité avec la règlementation, vous devez faire apparaître un bandeau de cookies dès l’arrivée de l’internaute sur votre site web, et ce quelle que soit la page sur laquelle il atterrit. Ce bandeau doit indiquer explicitement :
- L’identité et les coordonnées du responsable de traitement (MFA) à l’origine du dépôt : en d’autres mots, vous !
- L’identification des cookies présents sur votre site.
- Le but poursuivi par chacun des cookies utilisés (la CNIL recommande la classification suivante : nécessaires, préférences, statistique, marketing).
- La possibilité de s’opposer à l’utilisation des cookies et de changer les paramètres.
Cookies et RGPD – Recueillir un consentement valide
Pour qu’un consentement soit valide, il faut qu’il soit actif et spécifique, c’est-à-dire que l’internaute doit effectuer une action pour exprimer son consentement, en l’occurrence cocher explicitement une case. Sous-texte : l’absence d’action équivaut à un refus de sa part, et une case cochée par défaut ne constitue pas un consentement valable. En plus de ce consentement préalable à tout dépôt ou lecture des cookies, le consentement doit être :
- Granulaire, c’est-à-dire que les utilisateurs doivent pouvoir activer certains cookies plutôt que d’autres, sans avoir à les accepter ou les rejeter en bloc.
- Donné librement et de façon éclairée, c’est-à-dire qu’il ne doit pas être forcé. L’information doit être rédigée en termes compréhensibles par tous.
- Retiré simplement à tout moment. Les moyens de retirer le consentement doivent être indiqués clairement (par exemple, via un clic vers une page dédiée).
Attention : vous devez impérativement conserver les preuves de consentement de vos visiteurs sous séquestre, en tant que documents juridiques.
Existe-t-il des cookies exemptés de consentement ?
Oui ! Certains traceurs bénéficient d’exemptions prévues par l’article 82 de la loi Informatique et Libertés. Ce sont les cookies « strictement nécessaires » qui correspondent à la liste blanche suivante :
- Les cookies qui conservent le choix exprimé par l’utilisateur sur le dépôt de cookies.
- Les cookies destinés à l’authentification auprès d’un service.
- Ceux visant à garder en mémoire le contenu d’un panier d’achat.
- Les cookies de personnalisation de l’interface utilisateur.
- Les cookies permettant l’équilibrage de la charge des équipements.
- Ceux permettant aux sites payants de limiter l’accès gratuit à leur contenu.
Créer une politique de confidentialité transparent
Afin de créer un climat de confiance entre vous et l’internaute, il vous faut également mettre en place une politique de confidentialité.
C’est pourquoi cette dernière doit exprimer de manière transparente, concise et parfaitement compréhensible vos engagements en matière de traitement des données personnelles que vous avez recueillies via les cookies (mais aussi via d’autres canaux, comme par exemple les formulaires de contact ou encore les jeux concours sur votre site marchand). Ne faites surtout pas l’impasse dessus : elle est obligatoire, et s’inscrit en complément d’une bonne politique de gestion des cookies.
Cookies et RGPD
Concrètement, votre politique de confidentialité doit couvrir les sujets suivants :
- Quels types de données sont recueillies ?
- Quelles sont les procédures de collecte mises en place ?
- Dans quel but les données sont-elles recueillies ?
- A qui sont-elles communiquées ?
- Où les données sont-elles stockées ?
- Combien de temps sont-elles conservées ?
- Comment sont-elles protégées ?
- Quelle est la politique de collecte des données des mineurs ?
Pensez également à informer vos visiteurs que vous pouvez modifier à tout moment votre politique de confidentialité. Fournissez-leur une adresse ou tout autre moyen de vous contacter, s’ils ont des questions quant au traitement de leurs données personnelles.
- Informer l’utilisateur de la nature des cookies utilisés sur votre site,
- recueillir son consentement préalablement à leur dépôt et leur lecture,
- établir une politique de confidentialité transparente,
sont les 3 étapes indispensables qui vont vous permettre de mettre votre site web en conformité avec le RGPD.
Afin de répondre à toutes les obligations qui vous incombent en tant qu’éditeur de site web, le mieux est encore de vous faire accompagner par un professionnel. Il vous aidera à élaborer une politique de cookies ainsi qu’une politique de confidentialité dépourvues de failles juridiques.
Ne pas respecter ces règles vous expose à des sanctions sévères de la Commission nationale de l’informatique et des libertés (CNIL).
