03. Janvier 2012

Cookies et consentement : la directive en pratique

Les obligations des sites internet marchands en matière de cookies dépendent de leur finalité. Le dépôt de certains cookies est libre, à condition de respecter une obligation d’information. Pour d'autres, le recueil d’un consentement préalable est exigé. En particulier, sont visés les cookies servant uniquement les intérêts commerciaux du marchand, tels que ceux employés par les outils d’analyse web ou les régies publicitaires.

A quelles exigences doivent répondre les sites marchands pour être en conformité ?

Depuis l’entrée en vigueur de l’ordonnance du 24 aout 2011 transposant entre autre la directive cookie, la publication de la doctrine de la CNIL sur la mise en œuvre pratique des exigences de ce texte était très attendue. C’est chose faite, avec une Fiche Pratique publiée le 26 octobre 2011 par la CNIL.

Vous déposez des cookies nécessaires au fonctionnement de votre site marchand

Selon la CNIL, les cookies strictement nécessaires au fonctionnement du site marchand sont :

  • les cookies utilisés comme panier d’achat ;
  • les cookies de session utilisateur (session ID) permettant de lier les actions d’un utilisateur lors d’un processus de commande ;
  • si vous proposez sur votre site des fichiers vidéo ou audio décrivant vos produits, les cookies nécessaires à leur fonctionnement ;
  • les cookies permettant d’enregistrer la langue ou le pays de résidence de l’utilisateur de votre site, ainsi que la monnaie dans laquelle il effectue ses achats.

La législation applicable à ces cookies est la suivante :

  • Ils peuvent être déposés sans recueil de consentement préalable.
  • Vous devez informer l’utilisateur de votre site de la présence de ces cookies, de leur finalité précise, ainsi que des moyens permettant de s’y opposer pour l’avenir.
  • Cette information devrait idéalement être facile d’accès et placée dans la politique de protection des données personnelles ou dans les CGV.

Selon le nouvel article 32 de la loi informatique et libertés, le principe est que ces règles s’appliquent dans tous les cas où le cookie :

- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

- soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Vous utilisez des outils d’analyse web et de publicité ciblée

Les cookies employés par les outils d’analyse web permettent d’établir des statistiques concernant la fréquentation du site. La plupart des outils d’analyse web imposent à leur clients dans leurs Conditions d’Utilisation d’informer sur l’utilisation de cookies et sur le moyen de les refuser. Certaines entreprises leader dans ce domaine vont jusqu’à mettre à la disposition de leurs clients des textes types d’information (par exemple e-tracker). Google Analytics a créé un module téléchargeable gratuitement par l’utilisateur , afin que Google Analytics soit désactivé.  Ces outils vous permettent de remplir votre obligation d'information sur la finalité de ces cookies et sur le moyen de s'y opposer.

Cela ne suffit cependant plus à satisfaire aux exigences de la nouvelle législation. Si cette information reste obligatoire, elle se doit d’être préalable au dépôt de cookie, et de faire l’objet d’un consentement exprès. Même si les cookies utilisés ne contiennent pas de données à caractère personnel de l’utilisateur, la CNIL précise que l’obligation de recueil du consentement préalable subsiste.

C’est également le cas des cookies permettant d’établir des profils d’utilisateur dans le but d’adresser de la publicité ciblée ou encore des cookies permettant d’enregistrer les derniers articles consultés par un utilisateur.

 Comment recueillir valablement le consentement

Selon les recommandations de la CNIL, le consentement préalable peut être valablement recueilli selon les modalités suivantes :

  • une bannière apparaissant lors de la connexion au site, sur laquelle l’information relative aux cookies est présente, ainsi qu’une possibilité d’opt-in – un exemple peut être examiné sur le site de la CNIL - ;
  • une zone en surimpression sur la page lors de la connexion au site
  • des cases à cocher lors de l’inscription à un service en ligne – attention, le dépôt des cookies doit être postérieur à l’inscription dans ce cas. Cette troisième solution n’a donc que eu d’intérêt dans le cas d’un site marchand classique, car lors de la commande ou de l’ouverture du compte client il est souvent trop tard pour déposer les cookies relatifs aux articles consultés par exemple. Cependant cette solution peut être utile pour des sites marchands sur lesquels il faut au préalable être membre pour accéder aux pages produits.

Il suffit de recueillir le consentement ou le refus une seule fois pour chaque cookie. Afin d’éviter les demandes à répétition, qui pourraient à terme entraver la navigation sur votre site, il vous est possible d’enregistrer le choix d’un utilisateur relatif à un cookie précis dans un cookie spécialement dédié à cela. Il faudra bien sur en informer l’utilisateur, comme le fait la CNIL sur son site.

Vous avez un partenariat avec une régie publicitaire

La loi met les obligations relatives aux cookies à la charge du responsable de traitement ou de son représentant, sauf si l’utilisateur a été informé au préalable par une autre personne. Dans le cas d’un partenariat avec une régie publicitaire, les cookies ne sont pas déposés par le cybermarchand, mais par la régie publicitaire elle-même.  Selon la CNIL, le cybermarchand n’en demeure pas moins  responsable dans la mesure où son site permet à un tiers, la régie, de déposer un cookie sur le disque dur d’un de ses visiteurs. Il conviendra donc de vous protéger en respectant vous-même la législation relative aux cookies, ou, comme le recommande la CNIL, en fixant contractuellement les obligations de chacun.

 

Nous ne pouvons que recommander aux cybermarchands de se mettre en conformité. La CNIL a annoncé qu’elle tiendrait compte des efforts faits par les responsables de traitement dans ce sens lors de contrôles éventuels. Cependant, les sites marchands ne respectant pas cette législation n’en restent pas moins passibles de sanctions financières pouvant s’élever à 300 000€.

 

Publié par
Partager ce post :

Réactions au post

Rédiger un commentaire