Données personnelles: attention aux cookies de votre site web!

© Getty Images

L’Autorité de protection des données (APD) a récemment infligé une amende de 15.000 euros à un site qui avait fait un mauvais usage de ces fichiers “texte” permettant de collecter toute une série d’informations utiles sur les visiteurs du site, par exemple le choix d’une langue ou des mesures d’audience. Quelle est dès lors la recette à suivre ?

La première chose à faire est de rédiger une cookie policy qui identifie tous les cookies concernés et ce, même si vous n’utilisez que des cookies pour lesquels la loi ne vous oblige pas à obtenir l’accord des personnes concernées. Fort bien… Mais il arrive fréquemment que l’exploitant d’un site web ignore lui-même les cookies qu’il utilise ou ceux de tiers auxquels il fait appel, par exemple ceux de Google Analytics. Comment faire en ce cas ? Des outils faciles d’usage existent sur Internet,à l’instar de Cookie Editor ou Cookiebot.

Par la suite, vous devrez identifier ceux pour lesquels vous avez besoin d’obtenir l’accord des personnes concernées avant de pouvoir les placer et en faire usage. En réalité, seul un petit nombre de cookies ne nécessitent pas cet accord. Il s’agit surtout de ceux qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. En d’autres termes, si les cookies sont désactivés, le service demandé ne fonctionne pas (par exemple, les cookies permettant de conserver et afficher un formulaire ou panier d’achat). Tous les autres cookies nécessitent, par contre, l’accord des personnes concernées, en ce compris donc ceux qui sont en général les plus ” utiles ” aux exploitants de sites, c’est-à-dire les cookies de statistiques d’audience ou d’origine des visites, et ce même si les cookies proviennent de leurs propres serveurs.

Quel accord de l’internaute faut-il obtenir ?

Pour autant, vous n’êtes pas obligé d’obtenir cet accord pour chaque cookie mais vous devez, à tout le moins, l’obtenir par type de cookies (par exemple, pour distinguer des cookies ” statistiques ” de ceux ” publicitaires “). En d’autres termes, si votre cookie banner ne permet de choisir qu’entre accepter tous les cookies ou les refuser, ce n’est désormais plus possible.

Comment doit-on donner cet accord ? En substance, il faut qu’il soit ” facile à donner ” par la personne concernée, tout autant qu’il doit être ” facile à retirer “. L’idéal est de disposer d’outils qui permettent tout aussi facilement d’accepter des cookies que de les refuser, à l’instar de boutons à (dés)activer selon les choix posés. A cet égard, il n’est d’ailleurs plus possible de cocher par défaut l’accord des personnes concernées, même si c’était pour leur ” faciliter ” la tâche. Il est en effet nécessaire que les personnes concernées posent un choix, soit pour accepter l’ensemble des cookies pour lesquels leur accord est nécessaire, soit pour n’en accepter que certains. Pour l’APD, la simple poursuite de la navigation sur votre site ne donne plus lieu à un consentement valable.

Coordonnées du responsable

Enfin, dans votre cookie policy, outre l’identification des cookies utilisés (par catégories d’abord, par cookie ensuite) et les finalités qu’ils poursuivent, il faut aussi renseigner leur durée de conservation. A cet égard, on distingue en général un ” cookie de session “, qui est effacé automatiquement lorsque l’utilisateur ferme son navigateur, d’un ” cookie persistant ” qui reste stocké jusqu’à une date d’expiration prédéfinie (en minutes, en jours ou en plusieurs années), compte tenu qu’un cookie ne peut en principe jamais être conservé indéfiniment car il ne peut pas l’être ” plus longtemps que nécessaire “.

De même, il faut renseigner les destinataires (ou catégories) de ces données, à l’instar de Doubleclik.com ou YouTube.com. Tout cela se présente généralement sous forme d’un tableau récapitulatif. Les autres informations visées dans le RGPD, comme l’identité et les coordonnées du responsable du traitement de ces données, ou les droits dont bénéficient les personnes concernées, figurent déjà dans la privacy policy (si elle n’inclut pas déjà votre cookie policy). La cookie policy doit d’ailleurs être aisément accessible. En d’autres termes, un hyperlien correspondant devrait apparaître sur chacune des pages de votre site.

Par Nicolas Roland, avocat associé chez Younity.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content