Cookies : êtes-vous en conformité avec la loi ?

Les cookies font partie de ces éléments  au coeur des relations “invisibles” qui s’établissent entre votre navigateur et les sites web que vous visitez. Voici un rappel sur les bonnes pratiques, ce que dit la loi… et sur ce qui se passe vraiment !

Lorsque vous naviguez sur le web, la plupart des sites recueillent des informations sur votre navigation,  vos déplacements et vos  habitudes de consultation ou de consommation  à des fins publicitaires.

Ce recueil d’informations se fait au moyen de cookies (petits fichier enregistré sur le disque dur de l’ordinateur via un site  Web visité contenant des informations sur la navigation), ou d’autres techniques (ETag,  fingerprinting… voir l’article du JDN). Dans tous ces cas,  une directive européenne de 2009, transposée en 2011, rend obligatoire de recueillir le consentement de l’utilisateur avant le dépôt et la lecture de cookies ou autres traceurs.

Que dit la loi ?

La loi Informatique et Libertés précise que chaque site doit préalablement recueillir le consentement de l’internaute avant d’enregistrer ses données de navigation. Il doit également être informé clairement des conséquences de son choix. Il doit pouvoir à tout moment s’opposer à la transmission de ses données de navigation.

Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent informer les internautes de la finalité des cookies, obtenir leur consentement et fournir aux internautes un moyen de les refuser.

Les cookies nécessitant une information préalable et une demande de consentement, sont:

Les cookies liés aux opérations relatives à la publicité

Si vous affichez des publicités sur votre site, les chances sont grandes que votre régie, ou votre outil de gestion de bannières, utilise des cookies afin de tracer le comportement de vos visiteurs. Il vous faudra donc un consentement préalable de leur part.

Les cookies des réseaux sociaux générés par les boutons de partage

Si vous utilisez des boutons de partage sur votre site, les chances sont très grandes pour que le script que vous utilisez utilise des cookies. Il vous faudra donc obtenir le consentement préalable de vos visiteurs.

La majorité des cookies de mesure d’audience

Si, comme près de 75% des  sites,  votre site utilise Google Analytics, vous devez obtenir le consentement préalable des visiteurs. A date, le seul outil ne nécessitant pas de consentement préalable est Piwik. Piwik est actuellement en test chez Kokmoka.

Comment se mettre en conformité

Il y a globalement deux solutions:

  1. Soit  vous  ne mettez pas de publicité sur votre site, pas de boutons de partage (ou seulement avec des outils spécifique tel que Social Share Privacy), pas de web analytics (ou sinon avec l’outil Piwik).
  2. Soit vous demandez le consentement à vos visiteurs.

Il s’agit donc de demander, lors de la première visite de site par l’internaute, son consentement sur l’utilisation des cookies. Cette demande disparait si l’utilisateur accepte le consentement et peut disparaitre si le visiteur continue sa visite sur le site ( la poursuite de la visite équivaut au consentement.)

La CNIL recommande l’utilisation d’un bandeau dont le message contient:

  • les finalités  des cookies utilisés , 
  • la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • une explication sur  fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Un exemple de message avec le site d’actualités huffingtonpost.fr :

huffington_consentement

Bandeau de consentement préalable sur le site huffingtonpost.fr

 

un autre sur le site institutionnel  de Procter & Gamble:

procterandgamble_consentement

 

La page « En savoir plus » doit comprendre  des solutions leur permettant de refuser l’insertion des cookies.

Conclusion

Nous ne ferons aucune remarque sur l’efficacité de telles mesures (qui lit les informations sur les cookies d’un site avant de le visiter?  et combien de personnes sont susceptibles de les comprendre ?).

Et même si nous ne voyons encore que peu de sites suivant ces directives européennes,  à  la question: « doit-on se mettre en conformité ? », nous répondons évidemment, oui. Le bandeau demandant le consentement étant finalement assez peu efficace intrusif, cette mise en conformité peut donc se faire sans trop déranger votre site. 

Quelques liens utiles: