Ça fait déjà plusieurs années que les sites web et les applis doivent alerter les internautes sur les cookies qu’ils souhaitent déposer sur les ordinateurs des internautes. Pourtant, entre les propriétaires de sites qui traînent des pieds et les prestataires qui ne s’emparent pas du sujet, il reste encore beaucoup de chemin à faire pour que tout le monde soit dans les clous.
Le sujet est perçu comme complexe, alors voici les grandes idées à retenir pour respecter les exigences de la CNIL et les bonnes pratiques du RGPD.
Historiquement, n’importe qui déposait n’importe quoi comme cookie sur les navigateurs des internautes. Le terme cookie est d’ailleurs un raccourci et il engloble tous les mécanismes de traçage (pixels invisibles, fingerprinting, identifiant matériel…).Les propriétaires de sites web et des acteurs de la pub et du profilage engrangeaient des données des internautes sans leur demander s’ils étaient d’accord. Ce temps-là est révolu : les données personnelles des internautes sont désormais mieux réglementées et les pratiques plus encadrées. Les plans de tracking doivent impérativement prendre en compte la notion du consentement.
Les cookies en 9 points
- Quand un internaute arrive sur un site web, personne ne peut déposer de cookie non essentiel. Concrètement, seuls sont autorisés les cookies obligatoires liés à l’activité (cookie de session, cookie de panier en ecommerce, cookie d’authentification, cookie de personnalisation de l’apparence par exemple).
- Lorsqu’il arrive sur un site web, l’internaute doit pouvoir naviguer sans se positionner sur le consentement. Les boites de dialogue liées au consentement ne doivent pas empêcher la consultation.
- Le consentement doit être positif et non influencé. L’internaute doit faire une action pour donner son consentement. Pour faire une analogie avec les emails, on est dans une logique d’optin et l’optout est interdit. Par non influencé, le contenu et l’apparence ne doivent pas inciter l’internaute à cliquer de préférentielle sur un bouton, aussi, les différents boutons doivent faire la même taille et être de la même couleur. Avoir un gros bouton « Accepter » et un petit lien « Refuser » ou une simple croix ne sont pas des solutions valides par rapport à l’esprit de la loi.
- Ne pas donner son consentement, c’est refuser. Certaines anciennes pratiques consistant à simplement informer l’internaute sur les cookies ou écrire dans les CGU qu’après avoir interagi avec la page (scroll, nombre de pages vues…), un cookie peut être déposé sont interdites. Dit autrement, l’adage « qui ne dit mot consent » ne peut pas être appliqué.
- Le consentement peut être donné ou repris depuis n’importe quelle page. L’internaute doit pouvoir accéder à ses préférences de cookie même après s’être positionné. Pour cela, un lien en footer ou une petite fonctionnalité flottante discrète présente dans un coin de l’écran convient parfaitement.
- Le consentement (ou le non consentement) doit être stocké de façon sécurisée. Le propriétaire du site ne doit avoir accès au consentement qu’en lecture seule afin de ne pas pouvoir le modifier. Ça veut dire qu’il faut que ce soit stocké à l’extérieur. Autrement dit, il faut passer par un tiers qui stocke ces informations pour nous. Donc, prestation payante. Dans la majorité des cas, pas possible de l’internaliser.
- Le consentement est donné cookie par cookie. L’internaute doit pouvoir se prononcer pour chaque cookie. Il n’est pas autorisé d’imposer des choix groupés pour « simplifier la vie » de l’internaute. Les cases à cocher de type tout ou rien peuvent être utilisées mais ne doivent pas empêcher une sélection fine cookie par cookie.
- L’internaute lambda doit comprendre ce qu’il accepte ou refuse. C’est pourquoi, chaque cookie doit avoir un nom simple, une rapide explication et un lien vers la documentation complète sur le traitement des données personnelles du tiers qui émet le cookie.
- Le consentement a une durée de vie finie. 13 mois maximum. Passé ce délai, le cookie expire et l’internaute doit redonner son consentement.
Bien s’occuper de ses cookies
- Contrôler tous les cookies déposés sur le site. Il existe des outils en ligne pour le faire mais il est aussi possible de simplement utiliser les options des navigateurs et de constater les cookies qui sont déposés.
- Faire le tri entre cookies indispensables (pas besoin de tracking) et cookies optionnels.
- En profiter pour faire le tri dans les cookies optionnels et vérifier les durées de conservation.
- Mettre à jour ses docs légaux (traitements RGPD et page de données personnelles sur le site).
- Implémenter une CMP (Consent Management Platform). Par exemple Axeptio ou Sirdata.
- Auditer régulièrement et mettre à jour
La bonne implémentation des cookies dans le cadre d’une CMP
Il existe différentes façons de gérer les cookies. Voici une méthode fiable et pas trop pénible.
- Toutes les pages du site web exécutent Google Tag Manager (ou n’importe quel gestionnaire de tags) mais aucun cookie n’est déclenché.
- Le consent mode de Google (l’outil dédié au consentement de Google) est initialisé à faux pour tous les trackers.
- La boite de dialogue de consentement de la CMP est déclenchée par GTM.
- En fonction des choix de l’internaute, la CMP renvoie à GTM des informations sur le consentement. Cookie par cookie, il faut écouter ce qui remonte de la CMP et agir.
- Si l’internaute a donné son consentement, le consent mode est actualisé à vrai pour le type d’action réalisé par le cookie. Le script de tracking est déclenché (avec le dépôt de cookie)
- Si l’internaute n’a pas donné sont consentement, rien ne bouge. Le consent mode reste à faux et le tracker ne se déclenche pas.
À noter qu’il est aussi possible de tracker sans cookie mais ce n’est pas forcément une meilleure idée car le souci c’est la collecte de données personnelles, pas la techno des cookies.