À partir du 1er avril, tous les sites web français devront être conformes aux nouvelles règles édictées en matière cookies par l’article 5(3) de la directive “ePrivacy” 2002/58/CE modifiée en 2009 et à l’article 82 de la loi Informatique et Libertés qui transpose ces dispositions en droit français.
Les cookies sont des traceurs placés automatiquement dans le navigateur lors de la visite d’un site internet. Certains d’entre eux sont sont indispensables au bon fonctionnement d’un site internet et permettent de simplifier l’interaction site-utilisateur. D’autres, cookies de ciblage marketing, collectent des informations sur l’internaute dans l’objectif de lui adresser de la publicité personnalisée selon les goûts et les centres d’intérêts détectés au fil des navigations. La réglementation vise donc à encadrer cette deuxième catégorie de cookies dans le but d’assurer la protection des données personnelles de l’utilisateur.
Ainsi, l’internaute doit être clairement informé des objectifs de ces cookies et il doit être aussi facile pour lui de les refuser que de les accepter. A partir du 1er avril 2021, tout site doit impérativement et préalablement informer l’internaute de façon claire et synthétique de la nature des cookies.Parmi les traceurs non soumis au consentement, on peut évoquer
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
- les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.
Hors de cette liste limitative, l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter. Il ne doit pas être obligé de passer par un paramétrage complexe et dissuasif. Le site doit donc garantir à l’utilisateur la capacité d’exprimer son consentement de manière “libre, spécifique, éclairé, univoque” et il doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il y a consenti.
Avant de cliquer sur « accepter », l’internaute doit comprendre facilement à quoi servent les traceurs publicitaires : publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux.
A noter que l’acceptation de conditions générales d’utilisation d’un site ne peut être une modalité valable de recueil du consentement.
L’éditeur du site doit conserver sous forme horodatée la manifestation du consentement de l’utilisateur.
Enfin, la réglementation impose exige que les cookies soient supprimés à des périodes régulières. En France, la CNIL recommande que les cookies aient une durée de vie de maximum 13 mois, suite à quoi le consentement aux cookies doit être renouvelé.
Si un site ne respecte pas les règles de protection des données, il est possible d’adresser une plainte à la CNIL qui après contrôle pourra éventuellement prononcer des sanctions.