Cookies internet : quelles règles appliquer ?

  • Temps de lecture: min

Les cookies internet présentent l'intérêt de mémoriser votre identifiant client auprès d'un site marchand, le contenu courant de votre panier d'achat ou encore la langue d'affichage d'une page web. En traçant une navigation à des fins statistiques ou publicitaires, ils récoltent des données personnelles. Leur utilisation est strictement encadrée par le RGPD et mérite explication.

Définition d'un cookie internet

Un traceur ou cookie est un fichier qui permet la lecture et/ou l’écriture d’une information. Il est nécessairement stocké par un serveur dans le terminal d’un utilisateur (ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet) et est associé à un nom de domaine. Le fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.

Différents usages d'un cookie internet

Les cookies ont trois finalités :  

  • La gestion de session (connexions aux sites, paniers d’achats, scores de jeux ou toutes autres choses que les serveurs devraient mémoriser) ; 
  • La personnalisation (les préférences et autres éléments de configuration) ;  
  • Le pistage (l’enregistrement et l’analyse du comportement de la personne visitant le site). 
On distingue principalement deux catégories : 

Les cookies internes sont déposés par le site et consultés par l’internaute. Ils peuvent être utilisés pour le bon fonctionnement du site ou pour suivre le comportement de l’utilisateur à des finalités publicitaires. 

Les cookies tiers sont déposés sur des domaines différents de celui du site principal et généralement gérés par des tiers interrogés par les sites visités et non par l’internaute lui-même. Ils peuvent assurer le bon fonctionnement du site mais permettent majoritairement au tiers de « tracker » les pages visitées sur le site et de collecter des informations sur un utilisateur, souvent à des finalités publicitaires. 

La distinction entre les deux cookies n’a aucune incidence sur la nécessité d’un consentement préalable de l’utilisateur. 

En pratique, des bandeaux cookies permettent aux utilisateurs de sélectionner et d'accepter l'activation de certains cookies plutôt que d'autres. A cet effet, la validité du consentement est liée à la qualité de l'information reçue. 

Encadrement légal fonction d'une typologie de cookies internet

Le règlement général sur la protection des données (RGPD) régit au niveau européen toute collecte et tout traitement de données à caractère personnel provenant de personnes physique. Le principe qui gouverne l'encadrement des cookies implique un consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci. Une exception au consentement peut être acceptée si les actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique. 

Il existe donc différents types de cookies (cookies http, cookies "flash", pixels ancrés) et leur encadrement légal dépend de la finalité de leur usage.

Les cookies soumis au consentement : 

les cookies dont la finalité ne vise pas une facilitation de la communication par voie électronique ou ne sont pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ; 

exemple : Personnalisation des contenus d’un site : La visite du site est personnalisée en fonction  d’informations récoltées sur cet utilisateur. La pratique repose sur l’utilisation de traceurs pour identifier un utilisateur unique et identifier les pages les plus visitées.  

les cookies dans le cadre d’opérations de publicité personnalisée. L’intérêt est d’identifier les personnes individuellement afin de diffuser des publicités spécifiques à la typologie de l’utilisateur ; 

les cookies affichés lors d’une navigation sur les réseaux sociaux. 

 

Les cookies non soumis au consentement : 

les cookies dès lors  qu’ils conservent un choix exprimé par les utilisateurs ; 

les cookies destinés à l’authentification auprès d’un service, y compris s’il s’agit d’assurer la sécurité d’un mécanisme d’authentification ; 

les cookies destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur un produit acheté ; 

les cookies liés à la personnalisation de l'interface utilisateur (choix de la langue notamment) ; 

les cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie ou sur une période limitée) ; 

les cookies destinés à la mesure d’une audience. 

 

Formalisme du consentement

Plusieurs critères doivent être respectés : 

  • Obtention d’un consentement préalable et explicite avant toute activation de cookies (à l’exception des cookiede ceuxs nécessaires sur liste blanche). 
  • Possibilité de choisir d’activer certains cookies plutôt que d’autres. 

Le consentement doit être : 

  • donné librement .,  
  • facilement supprimé ou retiré , 
  • conservé en tant que document juridique . 
  • renouvelé annuellement a minima. 
Certaines lignes directrices sur la protection des données recommandent un renouvellement biannuel.

En pratique, des bandeaux cookies permettent aux utilisateurs de sélectionner et d'accepter l'activation de certains cookies plutôt que d'autres. A cet effet, la validité du consentement est liée à la qualité de l'information reçue.

A qui s'impose le cadre législatif en matière de cookies ?

En application de la loi informatique et libertés, l'obligation s'impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de la loi Informatique et Libertés. Il peut s'agir, par exemple, d'éditeurs qui autorisent le dépôt de cookies mais sont ensuite lus par des tiers comme des régies publicitaires. Ces derniers sont alors réputés responsables conjoints du traitement. En effet, ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l'équipement terminal des utilisateurs. 

Parmi les responsables de traitement, on trouve :  

  • les éditeurs de sites web et d'applications mobiles ;
  • les régies publicitaires ;
  • les réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux. 
Les propriétaires et opérateurs de sites web doivent s'assurer que les données personnelles sont collectées et traitées légalement. Un site web situé en dehors de l'UE est nécessairement tenu à une conformité RGPD s'il cllecte des données auprès d'utilisateurs situés dans l'UE.

En savoir plus pour vous permettre une mise en conformité RGPD selon 7 étapes ?

 

Sources : 

  • RGPD
  • Directive ePrivacy (ePR)
  • Lignes directrices de la CNIL
Créer Mon Pass Créa

La boîte à outils qui vous aide à construire votre projet de création ou de reprise d'entreprise de A à Z