Lorsque les sites web ont commencé à se développer sur la surface de la planète, dans les dernières années 1990, une pratique technique s'est vite implantée, notamment sur les sites ayant des intérêts commerciaux, de tracer les comportements et les usages des internautes visitant leurs sites.
Ainsi sont nés les fameux "cookies" dont aucune traduction française ne s'est imposée (les québécois ont proposé "témoin" et "témoin de navigation" pour "browser cookie").
Rappelons qu'il s'agit de ces petits fichiers qui s'installent sur l'ordinateur de l'internaute – à l'origine sans qu'il le sache – et que les sites visités utilisent pour surveiller le comportement de l'internaute dans le but commercial – peut-être louable – de proposer des produits proches des intérêts des internautes.
Des traitements de données personnelles qui ne disent pas leur nom
Peu à peu, la conscience s'est faite dans les esprits qu'il s'agissait ni plus ni moins que de traitements de données à caractère personnel. D'où la nécessité – en Europe du moins – d'informer les internautes que des données les concernant et concernant leurs agissements sur le web sont collectées et leur demander de déclarer qu'ils ont été informés, voire de s'y opposer. Ces obligations sont passées dans le dispositif législatif et réglementaire des données à caractère personnel, soutenues par la Cnil.
L'emprise de la loi s'est renforcée comme pour tout autre traitement de données personnelles avec l'entrée en application du RGPD le 25 mai dernier.
Les nouvelles obligations pour les sites qui utilisent des cookies
Il importe donc de comprendre quelles sont les obligations qui aujourd'hui doivent être respectées par le dispositif des cookies sur les sites web.
Information et choix offert à l'arrivée sur le site
Tout d'abord, il convient d'informer, comme par le passé, l'internaute du fait que des cookies sont susceptibles d'être déposés sur son ordinateur, dans son navigateur (article 13 du RGPD).
C'est à ce niveau d'information que se bornaient les plupart des sites jusqu'au RGPD, se contentant en outre de prévoir un clic permettant à l'internaute de manifester le fait qu'il a été informé et qu'il a compris (le classique bouton "OK" ou la croix à cliquer).
Les nouvelles rigueurs du RGPD
Depuis le RGPD, il importe d'ajouter d'autres détails et de prendre de nombreuses précautions.
Le recueil du consentement
Pour respecter l'article 6, 1, a), il importe que la "personne concernée" (l'internaute) donne son consentement exprès : le clic sur un bouton manifeste donc aujourd'hui, non plus un simple "je suis informé" mais "j'ai donné mon accord pour qu'on traite des données sur ma navigation sur le site".
Le stockage du consentement
L'article 7, 1 impose que le responsable du traitement (éditeur du site) soit en mesure "de démontrer que la personne concernée a donné son consentement". D'où la nécessité de détenir sous forme électronique la trace du consentement des visiteurs du site.
Isolement des consentements traitement par traitement
L'article 7, 2 prévoit que la personne doit pouvoir donner son consentement pour chaque traitement prévu. En d'autres termes, si plusieurs fichiers de cookies visant des finalités différentes, voire issues d'organismes divers sont déposés (exemple : cookies déposés par Google Analytics pour les statistiques, cookies déposés par des partenaires commerciaux), la personne concernée doit pouvoir donner son consentement isolé pour chaque type de cookies.
Retrait du consentement isolé à tout moment
L'article 7, 3 prévoit – et c'est une nouveauté du RGPD – que la personne concernée peut à tout moment retirer son consentement. C'est pourquoi, sur certains sites, l'accès au module de choix des cookies est disponible en permanence sur le site ou en surimpression du site (comme sur le présent site) afin de permettre à tout visiteur du site de modifier ses choix à tout moment et donc retirer tout ou partie de son consentement.
Informations dans les mentions légales obligatoires du site
Outre les informations exigées au titre du traitement des données à caractère personnel en général sur le site, il importe de faire figurer une information sur la pratique des cookies qui reprenne ce que nous venons d'énoncer.
Des exemples ?
On peut considérer sans trop se risquer que meilleur exemple est fourni par le site de la Cnil lui-même :
Un bandeau informe sur les cookies, en tête de page. Ou lorsque l'internaute à donné son accord, un lien est disponible – en tête également – vers la rubrique flottante Gestion des cookies.
La rubrique Données personnelles, en pied de page, renvoie à une longue page expliquant comment les données personnelles sont gérées sur le site, et notamment l'intertitre "A propos de cookies" qui donne toutes informations sur les types de cookies et présente pour chacun les paramètres de gestion de ceux-ci.
Par exemple il est possible d'identifier l'application "Tarteaucitron" qui sauvegarde les choix en matière de consentement aux cookies, dont la durée de conservation est de 12 mois.
Toutes nos actualités sur le RGPD.