Site web, RGPD et cookies

 
Site web, RGPD et cookies
 

La fin de la récréation aura sonné le 31 mars 2021. La CNIL ne vous accordera plus aucun délai, si votre site web ne suit pas ses recommandations en matière de cookies.

 

Les cookies, que dit la loi ?

Tout d’abord, avant de rentrer dans le vif du sujet, il existe plusieurs types de cookies.

 

Définitions

  • Cookies techniques ou fonctionnels
  • Un cookie technique est un cookie qui est strictement nécessaire au bon fonctionnement du site. Ce peut être par exemple un cookie de durée de session ou qui contient un jeton (token)

  • Cookies de personnalisation
  • Un cookie de personnalisation est un cookie qui permet de personnaliser l’affichage en fonction des préférences de l’utilisateur. Par exemple, ce peut être un cookie qui mémorise la langue dans laquelle l’utilisateur souhaite afficher le site, ou mémorise l’ordre des colonnes d’un tableau.

  • Cookies marketing et publicitaires
  • Un cookie de marketing ou publicitaire est un cookie qui permet de collecter des données personnelles afin de suivre le comportement des utilisateurs et de proposer du contenu personnalisé, notamment à des fins publicitaires.

  • Cookies tiers et Réseau sociaux
  • Un cookie tiers est un cookie déposé par ou pour un tiers. Les réseaux sociaux, entre autres, déposent des cookies quand vous intégrez leurs boutons “J’aime” ou “Partager”, ou des vidéos hébergées sur leurs sites.

 

Principe général

Maintenant nous avons posé les bases, et vous savez différencier les types de cookies.
 
Le principe général posé par la directive e-Privacy (Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009) est l’interdiction de déposer ou lire des cookies sans le consentement de l’utilisateur.
 
Le recueil du consentement est donc obligatoire.
 
Pour être valable, le consentement ne peut être implicite ou supposé. On parle alors d’opt-in, c’est une action volontaire de la part de l’utilisateur : cocher une case par exemple.
 
A contrario, l’opt-out sera de décocher une case précochée par défaut. L’opt-out est une pratique non conforme.
 
En cas de refus , vous devez indiquer les conséquences qu’entraine ce refus.
 

La règle

La règle est le consentement. Sauf pour les cookies nécessaires le recueil du consentement est obligatoire avant tout dépôt de cookie.
Il vous appartient alors de démontrer la nécessité des cookies au bon fonctionnement de votre site internet.
 
Vous devez à l’utilisateur une information préalable, transparente et loyale : vous devez informer du type de cookies déposés, de leurs finalités, de leurs durées de conservation et des destinataires. Il est donc possible d’organiser vos cookies par finalité.

 

Découvrez la suite de notre article dans notre webinaire sur la conformité d’un site web.

 

Textes de référence

  • Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
  • Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques modifiée par la directive 2009/136/CE du 25 novembre 2009
  • Directive 2008/63/CE du 20 juin 2008 relative à la concurrence dans les marchés des équipements terminaux de télécommunications, notamment son article 1
  • Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-I-2°-b et 82
  • Décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
  • Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679 adoptées le 4 mai 2020 par le Comité européen de la protection des données (CEPD)
  • Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur

Article rédigé par Frédéric – 16/02/2021