Les cookies et le RGPD : quelles sont réellement vos obligations ?

Quand on pense au droit des données et aux législations en matière de protection de la vie privée, on pense souvent aux cookies puisqu’ils se rapportent directement à ces deux sujets. On pense donc souvent à tort que la Loi cookies (la Directive ePrivacy) a été abrogée par le Règlement général sur la protection des données (RGPD), alors que ce n’est pas le cas. Au contraire, vous pouvez considérer que la Directive ePrivacy et le RGPD s’appliquent conjointement et se complètent.

La Directive ePrivacy 2002/58/CE (également appelée Loi cookies) a été promulguée afin de mettre en place des lignes directrices sur la protection de la vie privée électronique, y compris en matière de marketing par e-mail et d’utilisation des cookies. Elle est toujours en vigueur à ce jour. Comme nous l’avons mentionné plus haut, le RGPD n’a pas abrogé la Directive ePrivacy ; vous pouvez considérer qu’elle le « complète ».

À proprement parler, lorsque vous utilisez des cookies, vous devez vous mettre en conformité avec la Loi cookies avant de vous intéresser au RGPD. La Loi cookies est en effet une « loi spéciale » dans le jargon juridique, ce qui signifie qu’elle prévaut sur le RGPD.

De façon générale, les directives définissent des objectifs et des lignes directrices que les États membres sont alors tenus de transposer en droit national. À la différence des directives, les règlements sont des actes législatifs contraignants dans tous les États membres dès leur entrée en vigueur. Les règlements sont mis en application conformément aux règles établies dans l’ensemble de l’UE.

Cela dit, la Directive ePrivacy sera bientôt abrogée par le Règlement ePrivacy. Le Règlement ePrivacy devrait être finalisé prochainement. Il s’appliquera en plus du RGPD pour réguler l’utilisation des cookies, les communications électroniques ainsi que la protection des données et de la vie privée.

En dehors des cookies, de quels sujets traite la Loi cookies ?

En réalité, la Loi cookies ne s’applique pas seulement aux cookies, mais plus largement à tout autre type de technologie qui dépose ou consulte des informations sur l’appareil d’un utilisateur (p.ex. pixel espion, empreinte d’appareil ou identifiant unique). Pour faire simple, toutes ces technologies, dont les cookies, sont couramment appelées traqueurs*.

De plus, la Loi cookies est en quelque sorte « neutre sur le plan technologique », ce qui signifie qu’elle s’applique non seulement aux sites Web et aux navigateurs, mais aussi à d’autres technologies, comme les applications pour smartphones, tablettes, télévisions connectées et autres appareils.

*Toutefois, dans ce guide, les termes « cookie » et « traqueur » sont utilisés de façon interchangeable.

Quelles sont exactement les exigences de la Loi cookies ?

La Loi cookies exige d’obtenir le consentement éclairé d’un utilisateur avant de déposer ou de consulter des informations sur son appareil.

Cela signifie que, lorsque vous utilisez des cookies, vous devez :

• informer vos utilisateurs de l’utilisation de cookies par votre site ou application (ou par tout service tiers utilisé par votre site ou application) ;
• expliquer, de façon claire et exhaustive, comment fonctionnent les cookies et à quoi ils vous servent ;
• obtenir le consentement éclairé de l’utilisateur avant de déposer ces cookies sur son appareil.

En pratique, vous devrez afficher un bandeau cookies (également appelé notification de cookie) lors de la première visite d’un utilisateur, mettre en œuvre une politique relative aux cookies et permettre à l’utilisateur de donner son consentement, excepté lorsque votre site Web n’utilise que des cookies exemptés, ce qui est peu probable. Vous ne devez installer aucun cookie (à l’exception des cookies exemptés) avant d’avoir obtenu le consentement de l’utilisateur.

Vous devrez afficher un bandeau cookies lors de la première visite d’un utilisateur, mettre en œuvre une politique relative aux cookies et permettre à l’utilisateur de donner son consentement. Vous ne devez installer aucun cookie (à l’exception des cookies exemptés) avant d’avoir obtenu le consentement de l’utilisateur

Affichage d’un bandeau cookies lors de la première visite d’un utilisateur

Le bandeau cookies doit :

• informer les utilisateurs de l’utilisation de cookies par votre site ou application (ou par tout service tiers utilisé par votre site ou application) ;
• indiquer clairement quels actes permettent de donner son consentement ;
• être suffisament visible pour le rendre remarquable ;
• inclure un lien vers une politique relative aux cookies ou fournir à l’utilisateur des informations détaillées sur les finalités des cookies, leur utilisation et les activités tierces qui s’y rapportent.

Gardez à l’esprit que les exigences élémentaires mentionnées ci-dessus représentent le minimum exigé. Les exigences relatives au contenu du bandeau cookies peuvent varier d’un pays à l’autre en fonction du point de vue de chaque APD.

Mise en œuvre d’une politique relative aux cookies

La politique relative aux cookies doit :

• indiquer le type de cookies installé (cookies de première partie ou cookies tiers*) ;
• indiquer tous les tiers qui installent, gèrent ou consultent des cookies par le biais de votre site ou application, en incluant un lien vers leurs politiques respectives et tout formulaire de refus (le cas échéant) ;
• décrire en détail les finalités de l’utilisation des cookies ;
• être disponible dans toutes les langues dans lesquelles le service est fourni.

Blocage des cookies jusqu’au consentement

Conformément aux principes généraux de la législation en matière de protection de la vie privée, qui interdisent tout traitement préalable au consentement, la Loi cookies interdit le dépôt d’informations ou la consultation d’informations déposées sur les appareils de l’utilisateur tant que ce dernier n’a pas donné son consentement. En pratique, vous devrez peut-être mettre en place un script pour bloquer les cookies jusqu’à l’obtention du consentement de l’utilisateur.

Consentement aux cookies

Le consentement aux cookies doit être donné librement, spécifique, éclairé et explicite, ce qui signifie qu’il doit être indiqué par un acte positif (d’acceptation) clair. Par conséquent, lorsque vous utilisez par exemple des cases à cocher, celles-ci ne doivent pas être pré-cochées.

D’après le document du Groupe de travail sur la Loi cookies :

Pour faire en sorte qu’un mécanisme de consentement de cookies satisfasse aux conditions posées dans chaque État membre, ce mécanisme devrait présenter chacune des principales caractéristiques suivantes : informations spécifiques, consentement préalable, manifestation de volonté exprimée par le comportement actif de l’utilisateur et capacité de choisir librement.

De nombreuses autorités de protection des données de l’UE ont publié des guides sur les cookies et les technologies similaires qui contiennent des conseils et des recommandations quant aux méthodes valables d’obtention du consentement.

Par ailleurs, l’APD italienne a récemment mis à jour ses lignes directrices relatives à l’utilisation de cookies et autres traqueurs. Celles-ci ont été adoptées en juin 2021. Pour en lire un résumé, cliquez ici.

Par ailleurs, la loi impose de « donner la possibilité » aux utilisateurs de refuser leur consentement ou de retirer ce dernier une fois qu’ils l’ont donné. Le document du Groupe de travail développe ce point en indiquant que vous devez fournir aux utilisateurs, à l’égard du retrait ou refus de consentement :

• des informations sur la façon dont les utilisateurs peuvent retirer leur consentement ;
• un moyen de choisir d’accepter ou de refuser les cookies.

Vous n’êtes pas forcément tenu d’héberger directement ce moyen ou mécanisme. Dans certains cas, en vertu de la loi de certains États membres, les paramètres du navigateur sont considérés comme un moyen acceptable de retirer son consentement.

Les mécanismes de recueil de consentement considérés comme valables peuvent varier d’un État membre à un autre

Est-il nécessaire de lister les cookies un par un ?

En général, la directive ne vous impose pas spécifiquement de lister les cookies un par un. À la place, vous êtes explicitement tenu d’en indiquer clairement le type, la finalité et, s’agissant de cookies tiers, le tiers qui les gère (en incluant un lien vers sa politique de confidentialité ou de cookies).

Cette décision n’a certainement pas été prise par hasard, car demander de lister les cookies un par un imposerait aux propriétaires de sites Web et d’applications de surveiller constamment le moindre cookie tiers afin d’identifier des changements qui échappent à leur contrôle ; cette obligation serait fort déraisonnable, inefficace et probablement inutile pour les utilisateurs.

Pour aller plus loin, voici un extrait du Guide de l’ICO consacré aux cookies (l’ICO étant l’APD du Royaume-Uni) :

Il serait possible de lister tous les cookies utilisés, mais pour la plupart des utilisateurs, une explication plus générale du fonctionnement des cookies et des catégories de cookies utilisés sera la bienvenue. Une description des types de finalités des cookies d’analyse utilisés sur le site aura plus de chances de satisfaire les exigences qu’une simple liste exhaustive des cookies utilisés accompagnée de références élémentaires à leur fonction.

Un sentiment que partage l’autorité italienne de protection des données (la Garante Privacy) qui indique explicitement :

Il semblerait impossible d’imposer à un éditeur de fournir des informations sur les cookies installés par des « tiers » sur son propre site et d’obtenir le consentement à l’installation de ces cookies, et ce, pour plusieurs raisons.

En premier lieu, cela demanderait à un éditeur de disposer des outils et des compétences juridiques et commerciales nécessaires pour assumer lui-même les obligations de tiers. Ainsi, l’éditeur serait tenu de vérifier régulièrement que les déclarations des tiers correspondent aux finalités réellement visées par le biais des cookies. Il s’agirait d’une tâche très ardue, car un éditeur n’a souvent aucun contact direct avec l’ensemble des tiers qui installent des cookies par le biais de son site Web et connaît rarement la logique sous-jacente de chaque traitement.

Par ailleurs, il n’est pas rare que des preneurs de licence s’interposent entre l’éditeur et ces tiers, s bien qu’en fin de compte, l’éditeur aurait de grandes difficultés à suivre toutes les activités de l’ensemble des parties prenantes.

En second lieu, les tiers peuvent modifier leurs cookies au fil du temps, et il serait irréaliste d’imposer aux éditeurs de suivre également ces modifications ultérieures.

De plus, il ne faut pas oublier que les éditeurs – une catégorie qui inclut des personnes physiques et des PME – sont souvent la partie « faible » dans ce cadre. À l’inverse, les tiers sont habituellement de grandes sociétés au poids économique important qui travaillent en règle générale avec plusieurs éditeurs, si bien qu’un éditeur a souvent affaire à un nombre de tiers considérable.

Pour toutes les raisons mentionnées ci-dessus, cette APD estime que les éditeurs ne devraient pas être tenus d’inclure, sur la page d’accueil de leur site Web, de déclaration relative aux cookies installés par des tiers par le biais du site Web concerné.

Pour en savoir plus à ce sujet, cliquez ici.

Consentement « donné librement » et interdiction des murs de traqueurs

D’après la loi, le consentement recueilli doit être donné librement par l’utilisateur pour être jugé valable. Le recours à des méthodes coercitives pour obtenir le consentement peut invalider ce dernier. La loi fait quelques concessions (dans la limite du raisonnable) dans les cas où le consentement ou l’absence de ce dernier affecte directement la capacité réelle d’un site à fournir certains services.

D’après le document du Groupe de travail :

Les sites Web ne devraient pas subordonner « l’accès général » au site à l’acceptation de l’ensemble des cookies et ne peuvent limiter que certains contenus lorsque l’utilisateur ne consent pas aux cookies.

Par conséquent, bien que certains contenus (dans la limite du raisonnable et pour des motifs légitimes) puissent être limités en fonction des préférences en matière de cookies, vous ne devez ni empêcher les utilisateurs d’accéder à l’ensemble de votre site lorsqu’ils ne donnent pas leur consentement ni les forcer à le donner.

À cet égard, gardez à l’esprit que dans leurs lignes directrices et recommandations, le CEPD et plusieurs APD de l’UE interdisent explicitement l’utilisation des murs de traqueurs (« cookie walls ») sur la base d’une approche « à prendre ou à laisser » qui impose aux utilisateurs de donner leur consentement pour accéder au contenu d’un service en ligne. Les murs de traqueurs ne sont pas considérés comme un moyen valable d’obtenir le consentement de l’utilisateur, puisque ce dernier n’a pas réellement le choix.

Exemptions de l’exigence de consentement

La Loi cookies prévoit deux exemptions de l’exigence de consentement, à savoir :

• l’exemption de communication, qui s’applique aux cookies et autres traqueurs ayant pour seule finalité de transmettre une communication sur un réseau (p.ex. identifier les points terminaux de communication, permettre l’échange de données dans l’ordre souhaité, ou détecter les erreurs de transmission ou les pertes de données) ;

Exemple : vous utilisez un cookie d’équilibrage des charges pour distribuer le trafic du réseau sur différents serveurs. Ce cookie a pour seule finalité l’identification de l’un des serveurs (soit un point terminal de communication) et, en tant que tel, bénéficie de l’exemption de communication.

• l’exemption de stricte nécessité qui s’applique aux cookies et autres traqueurs essentiels à la fourniture d’un « service de la société de l’information » (soit un service fourni sur Internet, comme un site ou une application) demandé par l’utilisateur.

Exemple : votre site e-commerce utilise un cookie de session qui permet à ses utilisateurs de « conserver » des articles dans leur panier tant qu’ils utilisent le site ou pendant la durée d’une session. Dans ce scénario, le cookie est nécessaire au fonctionnement du service d’achat explicitement demandé par l’utilisateur lorsqu’il indique qu’il souhaite ajouter l’article à son panier. De la même façon, les cookies utilisés pour retenir les préférences linguistiques d’un utilisateur peuvent bénéficier de l’exemption de stricte nécessité.

Il est essentiel de comprendre que lorsque ces exceptions à l’exigence de consentement s’appliquent, vous devez tout de même informer l’utilisateur de votre utilisation de cookies et de technologies similaires par le biais d’une politique relative aux cookies. Le bandeau cookies n’est pas forcément obligatoire dans ces cas précis, à condition que la politique relative aux cookies soit facile d’accès et visible depuis chaque page du site.

Les cookies et autres traqueurs utilisés à des fins d’analyse sont-ils susceptibles de bénéficier d’une exemption ?

Il est impossible de répondre à cette question de façon catégorique. En effet, les autorités de protection des données de l’UE ont des points de vue différents en la matière. Par exemple, d’après les lignes directrices de l’ICO du Royaume-Uni, les cookies d’analyse ne bénéficient pas de l’exemption de stricte nécessité et requièrent donc toujours le consentement de l’utilisateur. Les APD belge et irlandaise ont des points de vue similaires. À l’inverse, les APD française, allemande, néerlandaise et italienne estiment que les cookies d’analyse peuvent bénéficier de l’exemption de stricte nécessité dans des situations précises (p.ex. lorsqu’il s’agit de cookies de première partie, que les données sont anonymisées en cas de refus ou de retrait du consentement et que le suivi sur plusieurs domaines n’est pas activé). En conclusion, vous devriez vérifier avec le plus grand soin quelles règles s’appliquent aux cookies d’analyse dans votre pays de référence.

À quelle fréquence le consentement peut-il être demandé et le bandeau cookies affiché ?

Après avoir affiché le bandeau cookies lors de la première visite d’un utilisateur, vous n’avez pas à l’afficher de nouveau à chaque visite ultérieure de cet utilisateur. Toutefois, il est préférable de donner aux utilisateurs la possibilité de faire réapparaître la bannière ultérieurement, au cas où ils auraient besoin de modifier leurs préférences.

Si l’utilisateur n’a pas donné son consentement, ou a donné son consentement seulement à l’utilisation de certains cookies, le bandeau ne doit pas être présenté à nouveau, sauf dans les cas spécifiques suivants :

• lorsque au moins une des conditions relatives au traitement change de manière significative, ex. les tiers ;
• lorsqu’il est impossible pour le fournisseur de savoir si un cookie technique a déjà été installé sur l’appareil de l’utilisateur (ex. lorsque l’utilisateur supprime les cookies) ;
• lorsque au moins six mois se sont écoulés depuis le dernier affichage du bandeau.

Il existe un certain nombre de raisons pour lesquelles vous devriez donner la possibilité à vos utilisateurs de retirer leur consentement. Certaines autorités de protection des données exigent que les utilisateurs aient facilement accès aux préférences qu’ils ont exprimées et puissent les modifier. Par exemple, l’APD italienne (le « Garante ») suggère d’afficher une icône constamment visible lors de la navigation et qui récapitule les choix exprimés par l’utilisateur. Pour en savoir plus et comprendre les exigences d’autres APD à ce sujet, consultez notre Aide-mémoire sur la conformité RGPD du consentement aux cookies. Il est bon de mentionner que ceci est également un point fondamental pour les ONG sur la protection de la vie privée comme Noyb, qui requiert la possibilité pour les utilisateurs de retirer leur consentement.

Gardez également à l’esprit que de nombreuses raisons et situations peuvent nécessiter une nouvelle demande du consentement des visiteurs et, par conséquent, un nouvel affichage du bandeau cookies.
Prenons pour exemple l’utilisation d’un nouveau cookie tiers qui ne bénéficie d’aucune exemption. Dans cette situation, vous devez obtenir un nouveau consentement, car le consentement déjà donné par l’utilisateur n’est valable que pour les tiers que vous aviez déclarés au moment du recueil du consentement précédent.

Pour vous aider à satisfaire cette exigence, nous vous permettons de renouveler facilement le recueil de consentement à chaque mise à jour de votre politique relative aux cookies.

Veuillez noter que certaines APD de l’UE ont précisé quelle période de validité du consentement aux cookies peut être considérée comme raisonnable. Par exemple, d’après l’APD française, une période de six mois est considérée comme raisonnable. Notre produit Privacy Controls and Cookie Solution vous permet de définir facilement cette période. Pour en savoir plus sur les périodes de validité du consentement aux cookies, consultez notre Aide-mémoire sur le consentement aux cookies.

Registre des consentements

Bien que la Loi cookies n’exige pas explicitement la tenue d’un registre des consentements (seulement la conservation de preuves), dans la plupart des cas, les cookies traitent des données personnelles, de sorte que les exigences de tenue de registre prévues par le RGPD peuvent s’appliquer. De nombreuses autorités de protection des données à travers l’UE ont donc aligné leurs règles en matière de cookies et traqueurs sur les exigences du RGPD.

Le Registre des Préférences Cookies et Consentements est désormais disponible dans Privacy Controls and Cookie Solution. Activez cette fonctionnalité d’un simple clic pour conserver et gérer facilement les preuves du consentement de vos utilisateurs exigées par le RGPD.

En quoi iubenda peut vous aider à gérer le consentement aux cookies

Notre solution complète de gestion des cookies simplifie la mise en conformité avec les dispositions de la Loi cookies de l’UE. En tant que plateforme de gestion du consentement (CMP) validée par l’IAB, notre produit Privacy Controls and Cookie Solution vous permet de respecter les normes du secteur et de transmettre les préférences en matière de consentement aux annonceurs en toute conformité.

Elle vous permet de :

• fournir facilement des informations aux utilisateurs par le biais d’un bandeau cookies et d’une page dédiée à votre politique relative aux cookies (qui est automatiquement liée à votre politique de confidentialité et qui intègre toutes les informations nécessaires à la conformité avec la Loi cookies) ;
• recueillir et sauvegarder les paramètres de consentement aux cookies ;
• recueillir un consentement précis pour chaque finalité ;
• bloquer les scripts jusqu’au consentement à titre préventif ;
• appliquer le Cadre de transparence et de consentement (TCF) de l’IAB d’un simple clic ;
• conserver des preuves des préférences des utilisateurs dans le Registre des Préférences Cookies et Consentements.

Privacy Controls and Cookie Solution fournit aux utilisateurs des informations adéquates sur :

• les cookies potentiels, leur finalité et leur utilisation ;
• les cookies tiers et leur finalité (avec un lien direct vers les politiques des tiers) ;
• leurs (nombreuses) options à l’égard du consentement et de son retrait ;
• les actes qui leur permettent de donner leur consentement ;
• la façon dont ils peuvent gérer leurs préférences en matière de cookies.

Notre solution permet d’obtenir un consentement actif par le biais :

• de la poursuite de la navigation ;
• du défilement de la page ;
• d’un clic à un endroit précis.

Elle vous propose des options supplémentaires pour :

• choisir entre le dépôt de cookies « avec consentement préalable » (avec un blocage des scripts jusqu’au consentement de l’utilisateur et réactivation après son obtention) et « sans consentement préalable » (sans blocage des scripts) ; lorsque l’option « avec consentement préalable » est sélectionnée, avant de donner son consentement, l’utilisateur peut lire la politique relative aux cookies et refuser les scripts de suivi à l’aide des outils de refus proposés par chaque tiers. N’oubliez pas que le blocage des scripts jusqu’au consentement est exigé dans certaines régions, dont l’UE ;
• ajouter les boutons explicites « Accepter » et « Refuser » exigés en vertu de la loi de certains États membres ;
• personnaliser l’emplacement et l’apparence de votre bandeau cookies, p.ex. modifier les couleurs du bandeau pour l’assortir à votre site Web, y ajouter votre logo et le personnaliser en accord avec votre marque ;
• suivre et sauvegarder les paramètres de consentement de chaque utilisateur pendant une période pouvant aller jusqu’à 12 mois à compter de sa dernière visite sur le site, tel que l’exige la loi ;
• l’intégrer facilement à votre site. Copiez-collez directement le code d’intégration dans l’en-tête (section <head>) des pages de votre site, ou utilisez un module (il en existe actuellement pour WordPress, Joomla!, PrestaShop et Magento).

Voir aussi

• Privacy Controls and Cookie Solution de iubenda – Introduction et guide de démarrage
• Aide-mémoire sur le consentement aux cookies conforme au RGPD
• Comment personnaliser l’apparence et le comportement du bandeau cookies
• Introduction au blocage préalable des scripts