Cookies

Cookies & traceurs : que dit la loi ?


En application de la directive européenne dite " paquet télécom ", les internautes doivent être informés et donner leur consentement préalablement à l'insertion de traceurs. Ils doivent disposer d'une possibilité de choisir de ne pas être tracés lorsqu'ils visitent un site ou utilisent une application. Les éditeurs ont donc l'obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.

QUE DIT LA LOI ?

En modifiant l'article 5(3) de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, le législateur européen a posé le principe : 

  • d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées.
  • sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

L'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.

En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.

A qui s'impose cette obligation ?

Lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d'entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l'article 32-II

  • L'obligation de recueil du consentement s'impose notamment :
  • aux éditeurs de sites, de système d'exploitation, et d'applications,
  • aux régies publicitaires,
  • aux réseaux sociaux,
  • aux éditeurs de solutions de mesure d'audience.

Quels cookies nécessitent le consentement préalable des utilisateurs ?

Parmi les cookies nécessitant une information préalable et une demande de consentement, on peut notamment citer :

  • les cookies liés aux opérations relatives à la publicité ciblée ;
  • certains cookies de mesure d'audience (voir  les exemptions ci-dessous) ;
  • les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu'ils collectent des données personnelles sans consentement des personnes concernées.

Cette liste n'est pas exhaustive.


Le cas des cookies de solutions de mesures d'audience (analytics)

Pour être dispensé du recueil du consentement, les outils de mesure d'audience doivent respecter les conditions suivantes :

  • L'éditeur du site doit délivrer une information claire et complète ;
  • Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tous les navigateurs, et tous les types de terminaux (y compris les smartphones et tablettes).
  • Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple).
  • Le cookie déposé doit servir uniquement à la production de statistiques anonymes ;
  • Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
  • L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
  • Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ;
  • les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois.

Les solutions d'analytics qui ne respectent pas les conditions ci-dessus doivent faire l'objet du recueil du consentement préalable des utilisateurs.


Comment recueillir valablement le consentement ?

Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions conviviales et ergonomiques.

L'acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.

Le consentement doit être préalable à l'insertion ou à la lecture de cookies

  • Tant que la personne n'a pas donné son consentement, ces cookies ne peuvent être déposés ou lus sur son terminal.
  • Il doit être requis à chaque fois qu'une nouvelle finalité vient s'ajouter aux finalités initialement prévues.

Le consentement est une manifestation de volonté, libre, spécifique et informée : La validité du consentement est donc liée à la qualité de l'information reçue.

  • L'information doit être visible, mise en évidence et complète.
  • Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur.
  • Elle doit permettre aux internautes d'être parfaitement informés des différentes finalités des cookies.

Le consentement n'est valide que si la personne exerce un choix réel.

  • L'utilisateur doit pouvoir accepter ou refuser le dépôt des cookies.
  • Le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et n'est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement. La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service (l'accès à un site internet par exemple).
  • Le choix doit pouvoir être effectué pour chaque application et chaque site internet.

Le consentement doit pouvoir être retiré par l'internaute.

Des solutions conviviales doivent être mises en œuvre pour que la personne puisse retirer, à tout moment, son consentement aussi facilement qu'elle a pu le donner. 


Les durées de vie des cookies 

Le consentement à être suivi peut être oublié par les personnes qui l'ont manifesté à un instant donné, la CNIL estime nécessaire de limiter dans le temps la portée de ce dernier.

  • Elle recommande que le délai de validité du consentement au dépôt des Cookies soit porté à 13 mois au maximum. À l'expiration de ce délai, le consentement devra être à nouveau recueilli. 
  • En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l'équipement terminal de l'utilisateur (faisant suite à l'expression du consentement)
  • leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.

source : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

Liquid error: Could not find asset snippets/booster-discounts.liquid