RGPD Cookies : informer et recueillir le consentement : comment faire en pratique ?

RGPD cookies : nombreuses sont les entreprises qui se heurtent à ces 2 problématiques juridiques et aux exigences de la CNIL lorsqu’elles ont un site internet.

Lorsque l’entreprise utilise des cookies, ou d’autres traceurs, sur son site internet, elle doit respecter des règles bien précises, comme prévoir une politique sur les cookies, recueillir le choix des internautes et leur permettre de changer d’avis, sous peine de sanctions.

Mais les entreprises se heurtent également aux aspects pratiques : comment faire, concrètement, pour informer et recueillir le consentement ou encore conserver la preuve du consentement ?

C’est ce que nous allons voir dans cet article.

Table des matières

Comment informer les internautes sur les cookies

L’entrée en application du RGPD a renforcé les conditions du consentement valable. Le consentement doit être « éclairé ».

Cela signifie que l’internaute non informé ou mal informé ne peut pas donner un consentement éclairé.

La qualité de l’information est donc essentielle. C’est elle qui va en bonne partie conditionner le consentement valable donné par une personne.

L’information donnée à l’internaute devra principalement porter sur (i) les finalités des cookies et (ii) l’identité des responsables de ces cookies.

Comment faire en pratique pour donner l'information aux internautes ?

Nous conseillons, sur la base des recommandations de la CNIL de donner cette information à 2 niveaux :

  • Information de niveau 1 : de manière courte et synthétique

L’utilisation d’un bandeau cookies adapté peut permettre de répondre à cette exigence d’information courte et synthétique.

Exemple d’information courte et synthétique :

« Nous vous informons que ce site utilise des cookies pour afficher de la publicité personnalisée en fonction de votre navigation et de votre profil. Pour en savoir, consultez notre charte d’utilisation des cookies ».

  • Information de niveau 2 : de manière plus détaillée

Une politique sur les cookies est adaptée pour donner l’information détaillée de niveau 2.

Un bouton de renvoi vers cette chartesitué à proximité de l’information de niveau 1 permettra à l’internaute d’obtenir, de manière claire et complète toutes les informations détaillées sur les cookies.

Dans cette politique seront notamment expliqués : ce qu’est un cookie et à quoi il sert ; les types de cookies utilisez sur le site ; si des cookies tiers sont utilisés et, le cas échéant, l’identité de ces tiers. La charte rappellera également à l’internaute quels sont ses droits (information, consentement).

Comment le choix des internautes doit-il s’opérer sur les cookies ?

Pour rappel, le consentement préalable de l’internaute aux cookies est obligatoire, sauf pour les cookies nécessaires au site, permettant ou facilitant son fonctionnement (j’accepte, je refuse, je ne choisis pas, je change d’avis).

En pratique, les entreprises ont souvent l’habitude d’utiliser une Consent Management Platform (CMP), c’est-à-dire une solution tiers dédiée à la gestion des recueils de choix, et proposant un bandeau cookies paramétrable.

Les cinq principaux fournisseurs de ce type de solutions logicielles sont : Cookiebot, Crownpeak, OneTrust, Quantcast et TrustArc.

Attention cependant au choix du fournisseur de CMP !

Selon une étude publiée en janvier 2020, des chercheurs anglais ont analysé ces plateformes utilisées par les 10 000 sites les plus visités du Royaume-Uni.

Conclusion de l’étude : près de 9 sites sur 10 utilisant ces solutions n’étaient pas conformes aux exigences règlementaires.

Le propriétaire du site devra donc être particulièrement vigilant et s’assurer que la solution choisie permet réellement de répondre, tant au plan juridique que technique, aux dernières recommandations de la CNIL :

  • La poursuite de la navigation ne vaut pas consentement. Tant que l’internaute n’a pas été informé et n’a pas donné son consentement express, les cookies ne doivent pas être déposés ou lus sur son terminal.
  • Le consentement doit être demandé pour chaque finalité de cookie (par exemple par un bouton « J’accepte »).
  • L’internaute doit avoir la possibilité de refuser le dépôt de ces cookies (par exemple par un bouton « Je refuse »).
  • L’internaute doit pouvoir retarder son choix et se décider plus tard (par exemple en fermant le bandeau par une croix). Tant que son consentement n’est pas donné, aucun cookie ne doit être déposé.
  • Les cases précochées et les sliders activés par défaut sont à proscrire car le consentement doit être actif.
  • La liste des fournisseurs de cookies tiers doit être donnée au moment du recueil de consentement.
  • L’internaute doit pouvoir changer d’avis et retirer son consentement, à tout moment et, aussi facilement qu’il l’a donné (par exemple en intégrant un module de gestion des cookies accessible depuis toutes les pages du site)
  • Le consentement de l’internaute doit être demandé de nouveau régulièrement (maximum tous les 13 mois, sachant que la CNIL recommande 6 mois).
  • Le choix exprimé par l’internaute (j’accepte, je refuse, je ne choisis pas, je change d’avis) doit être stocké à des fins de preuve.

Comment prouver le consentement sur les cookies ?

La CNIL demande que le propriétaire du site internet soit en mesure de démontrer qu’il a bien respecter les règles légales sur les cookies.

Concrètement, en cas de contrôle de la CNIL le propriétaire du site devra démontrer deux choses :

  • Que chaque internaute a pu exprimer son choix sur les cookies (j’accepte, je refuse, je ne choisis pas, je change d’avis) ;
  • Que le mécanisme mis en place au moment où ce choix a été fait, répondait bien à toutes les exigences posées par la CNIL (celles vues aux points 1 et 2)

En pratique, cela implique d’avoir recours à un mécanisme de preuve horodatée.

Quelle solution de preuve utilisée ?

Voici les propositions de la CNIL en matière de preuve :

  • Une preuve de validité du consentement peut être obtenue par une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile ;

ou

  • Une capture d’écran du rendu visuel affiché sur un terminal mobile ou bureau peut être conservée pour chaque version du site ou de l’application ; ou
  • Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre.

Quelle solution de conformité pour les cookies ?

Différentes solutions sont possibles, par exemple des solutions de Consent Management Platform (CMP) dédiées à la gestion des recueils de choix, et proposant un bandeau cookies paramétrable.

Mais soyez vigilant quant au choix de la solution car certaines ne sont pas toutes conformes à la règlementation.

NUMETIK AVOCATS propose, en complément d’un bandeau cookies (permettant de délivrer l’information de niveau 1) d’obtenir en ligne une politique de cookies fiable et adaptée à son site internet grâce à son générateur NumeDoc.

Cette politique permet de délivrer l’information de niveau 2 sur les cookies (sur les types de cookies utilisés, leur finalité, sur les droits des personnes concernées, conformément au RGPD).