Cookies pour les débutants : guide d'utilisation, nécessité et conformité

Ne pensez-vous pas parfois qu'Internet fonctionne de manière mystérieuse ? Trouvez-vous difficile d'expliquer certaines choses, telles que des annonces publicitaires sur des produits que vous avez peut-être surfés distraitement il y a quelques jours ? Si vous surfez sur Internet, vous avez probablement déjà vu les « pop-ups », vous obligeant à accepter l'utilisation de ce que l'on appelle des « cookies ». Quelle est votre réaction? Acceptez-vous sans plus tarder ou prenez-vous la peine de lire la politique ? Ces cookies sont responsables de la publicité ciblée trouvée en ligne.

Les cookies sont un outil indispensable pour les stratégies de marketing en ligne de toutes les organisations (grandes et petites), non seulement parce qu’ils permettent de cibler facilement les publicités, mais aussi parce qu’ils sont utilisés pour analyser l’efficacité des campagnes de marketing. Pour en savoir davantage, vous pouvez consulter l’article sur le marketing en ligne.

Dans cet article, nous expliquerons les types de cookies et leur réglementation conformément au RGPD et à la Directive vie privée, et nous vous donnerons des conseils pratiques pour les mettre en œuvre sur votre site Web.

Que sont les cookies ?

Selon l’Information Commissioner’s Office (« ICO »), les cookies sont de petits fichiers alphanumériques stockés sur un appareil lorsque l'internaute accède à certains sites Web. Les cookies sont stockés sur le site Web d'origine et permettent au site de reconnaître le périphérique de l'utilisateur. Il existe différents types de cookies ayant différentes finalités et stockant des données personnelles pendant différentes périodes.

Quels sont les différents types de cookies ?

Les cookies sont principalement utilisés pour personnaliser les campagnes de sites Web, lire le comportement des utilisateurs en ligne et cibler les publicités. En plus, les cookies stockent les informations de la visite, sa durée et les éléments consultés par l'utilisateur sur un site web spécifique.

Les cookies peuvent être classés en fonction de leur durée et du domaine auquel ils sont liés. La durée de vie d'un cookie peut également nous aider à déterminer la nécessité ou non d'un cookie particulier.

Selon la durée, les cookies peuvent être :

  1. Cookies de session : en général, ils constituent un type de cookies nécessaires car ils permettent la transmission de la communication ou qu'un utilisateur peut passer d'une page à une autre sur un site Web. Ces cookies sont automatiquement supprimés à la fermeture du navigateur ou à l'expiration de la session ; et
  2. Cookies persistants : ils restent sur l'ordinateur/disque dur de l'utilisateur pendant une certaine période.

Selon le domaine auquel ils sont liés, on peut distinguer :

  1. Cookies propriétaires : ils sont gérés par le serveur du site Web visité et partagent le même domaine.
  2. Cookies tiers : ils sont gérés par un tiers et stockés dans un domaine différent du site Web visité.

 

Quelle législation devez-vous garder à l'esprit lors de l'utilisation de cookies ?

Les cookies étant des identifiants uniques d’un ordinateur, ils vous permettent de suivre les mouvements en ligne de cet ordinateur et de collecter des données personnelles. Par conséquent, le système européen de protection des données à caractère personnel doit être appliqué. Cela inclut le Règlement Général sur la Protection des Données (RGPD), la législation régissant la confidentialité des communications électroniques, à savoir la Directive 2002/58/CE modifiée par la Directive 2009/136/CE (Directive vie privée et communications électroniques) et la législation locale pertinente de chaque État membre.

 

Quelle est la base juridique pour le traitement des données personnelles à l'aide de cookies ?

Dans la plupart des cas, la Directive vie privée exige le consentement préalable de l'utilisateur pour le traitement de données à caractère personnel avec des cookies et des technologies de suivi similaires ; et précise que les exigences en matière de consentement sont celles établies dans le RGPD. Pour en savoir davantage, vous pouvez consulter l’article sur le consentement.

Conformément à l'article 5, paragraphe 3, de la directive, « l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données ».

Selon cette disposition, pour installer des cookies (propriétaires ou de tiers) sur le terminal/navigateur d'un utilisateur, il est essentiel d'obtenir le consentement préalable et éclairé de l'utilisateur. Les applications utilisant des cookies ou des technologies similaires doivent également se conformer à la Directive. Cependant, certains cookies peuvent être exemptés de l'obligation de consentement en vertu de la Directive et/ou de la législation locale en matière de protection de la vie privée.

Existe-t-il des cas où les cookies peuvent être placés sans le consentement préalable des utilisateurs ?

Oui, les cookies strictement nécessaires (en général, les cookies de session) peuvent être placés sans autorisation préalable, car ils facilitent la transmission de communications ou la fourniture d'un service.

Cette exception est énoncée à l'article 5, paragraphe 3, de la Directive vie privée :

« Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. »

Par exemple, les cookies propriétaires qui « suivent » les informations saisies par un utilisateur lors d'un achat électronique sont nécessaires à la fourniture d'un service. Par conséquent, le consentement ne serait pas nécessaire. Cependant, même dans ce cas, il est important de fournir aux utilisateurs suffisamment d'informations sur ces cookies.

Les États membres, par le biais de la législation locale en matière de vie privée, peuvent autoriser des exceptions supplémentaires à l'obligation de consentement. Par exemple, selon la loi néerlandaise sur les télécommunications [Telecommunicatiewet], le consentement n'est pas nécessaire lorsque des technologies sont utilisées pour collecter des données sur la qualité et l'efficacité d'un service demandé et lorsqu'elles ont peu ou pas d'effet sur la vie privée des utilisateurs. En fait, l'autorité de surveillance néerlandaise fournit des instructions spécifiques pour l'utilisation de Google Analytics sans affecter la vie privée. Ces différences entre les législations des États membres disparaîtront avec l'application très attendue du règlement sur la vie privée et les communications électroniques.

Que dois-je faire si je place des cookies sur l'ordinateur d'un utilisateur ?

Comme nous l'avons expliqué ci-dessus, pour placer un cookie ou tout autre identifiant similaire sur l'ordinateur d'un utilisateur, il est nécessaire d'avoir son consentement préalable. Le défi consiste à mettre en œuvre des mesures garantissant que le consentement de l'utilisateur est obtenu conformément au RGPD. Le règlement définit le consentement comme « toute manifestation de volonté libre, spécifique, éclairée par laquelle la personne concernée accepte le traitement des données à caractère personnel qui le concernent ». Pour en savoir davantage, vous pouvez consulter l’article sur le consentement.

L'utilisateur doit exprimer son consentement en cliquant sur un bouton ou en effectuant une action similaire. Vous pouvez également obtenir le consentement implicite, bien que cela soit plus compliqué et vous oblige à vous assurer que l'utilisateur a reçu des informations claires et pertinentes sur l'accès au site. L’ICO déclare que « pour être sûr, le fournisseur doit s'assurer que les utilisateurs peuvent facilement accéder à des informations claires expliquant ce qui se passe lorsqu'ils accèdent au site et quelles options ils ont pour contrôler ce qui se passe ». Le consentement implicite doit résulter d'un accord partagé entre vous (en tant que propriétaire du site Web) et les utilisateurs.

Les paramètres du navigateur sont une autre alternative pour obtenir le consentement s'ils peuvent permettre à l'abonné d'indiquer son consentement pour les cookies. Cependant, la plupart des navigateurs actuels n’ont pas cette option. Par conséquent, vous ne pouvez pas vous fier uniquement aux paramètres du navigateur, bien que cela puisse changer lorsque le règlement sur la vie privée et les communications électroniques entrera en vigueur.

L'utilisation récente de cookies sur le site Web du Washington Post illustre bien à quel point il est difficile d'obtenir le consentement en vertu du RGPD. Le Washington Post a obligé les lecteurs à accepter l’utilisation de cookies tiers, à la publicité ciblée ou à obtenir un abonnement en payant des frais déterminés. Le 19 novembre 2018, l’ICO a averti le Washington Post que cette manière d'obtenir le consentement de l'utilisateur violait l'article 7, paragraphe 4, du RGPD : le consentement n'est pas libre parce que l'accès aux services est soumis à un tel consentement.

Conseils pratiques : par où dois-je commencer ?

Voici quelques conseils pratiques pour l’utilisation des cookies :

  1. Analysez le type de cookies et de technologies similaires que vous utilisez et comment vous les utilisez. Identifiez les cookies qui nécessitent un consentement et ceux qui ne sont plus nécessaires.
  2. Evaluez à quel point l'utilisation de cookies est intrusive et dans quels cas vous avez besoin d'un consentement. Veuillez noter que si vos cookies sont intrusifs, vous devrez penser à changer leur façon de les utiliser. Vous pouvez vérifier le niveau d'intrusion des cookies que vous utilisez en analysant leur effet sur la vie privée des personnes. L’ICO suggère de séparer les cookies en deux : d'une part, les cookies neutres en termes de vie privée et, d'autre part, les utilisations les plus intrusives de la technologie. De cette façon, vous pouvez vous concentrer davantage sur les intrusifs.
  3. Examinez des alternatives pour obtenir le consentement de l'utilisateur. Choisissez le moyen le plus pratique, tout en restant conforme avec la législation en vigueur.
 

Soumya Patnaik
Consultant en protection des données 

Elif Kaya
Assistant juridique