Cookies et autres traceurs

Lorsque vous vous connectez à Internet, vous échangez des messages électroniques avec le serveur connecté à la "toile". Ces messages contiennent des en-têtes ("headers"). Ces en-têtes comportent des "mini-fichiers" qui peuvent être stockés à la fois sur votre appareil et sur le serveur du site Internet que vous visitez. À l'origine, un cookie est donc un "mini-fichier" utilisé pour faciliter la communication entre votre appareil (ordinateur, smartphone, tablette, …) et le serveur du site Internet. Le cookie au sens strict fait l’objet d’une définition normalisée (RFC 6265 de l’Internet Engineering Task Force) et remplit un rôle de témoin d'une transaction en stockant certaines informations. On parle parfois de "témoins de connexion".  
Dans sa forme la plus simple, le contenu d'un tel mini-fichier est par exemple : SID=31d4d96e407aad42 où “SID” constitue la clé d'une valeur déterminée “31d4d96e407aad42”. Lors de la visite d'un site Internet, d'autres méthodes peuvent encore être utilisées pour envoyer des données à caractère personnel sous la forme de paires clé-valeur. Ces traceurs, balises, bugs ou pixels invisibles en font usage. Ces méthodes sont principalement les méthodes HTTP GET et POST décrites dans la RFC 7231. Les RFC ou "Requests for Comments" sont des documents créés dans le cadre d'un processus de discussion et de publication sous le contrôle de l'Internet Engineering Task Force (IETF).

Outre ces méthodes autres que la méthode cookie pour le transport, il existe également d'autres moyens de stocker des paires clé-valeur. Il s'agit ici des données placées en stockage local ("Local Storage") ou en stockage de session ("Session Storage"), dans le contexte de "HTML5", en bref dans le cadre d'une technologie Internet moderne plus récente. Il est possible d'y stocker davantage de données qu'avec les cookies, les données n'expirent pas (dans le cas du Local Storage) et ne peuvent pas être lues par le serveur. Ces données ne sont donc pas des cookies au sens strict, mais peuvent néanmoins être lues par le "browser" (navigateur) au moyen de scripts ayant la même "origine".  On constate que ces scripts peuvent envoyer des données à des parties tierces en utilisant les méthodes susmentionnées. Les cookies et autres technologies comprennent donc également ces autres méthodes de transport et ces autres modes de stockage. C’est pourquoi nous parlerons ici de cookies et autres traceurs.

Entre-temps, les cookies ont été utilisés pour de nouvelles finalités : pour améliorer les performances du site, pour mesurer l’audience du site et rassembler des statistiques, pour mémoriser les préférences des utilisateurs (notamment en termes de langue), pour sauvegarder un panier d’achat, … L'utilisation de cookies fait de plus en plus partie des modèles d'entreprise axés sur les données, les données (à caractère personnel) étant notamment utilisées à des fins de profilage et/ou d'envoi de publicité ciblée, etc.

Ces cookies et autres technologies peuvent être distingués selon différents critères, comme la finalité de leur utilisation, le domaine qui les place sur votre appareil ou encore leur durée de vie.

Distinction selon la finalité du cookie

Les cookies peuvent être utilisés pour de nombreuses finalités différentes. Ils peuvent notamment être utilisés pour supporter la communication sur le réseau (cookie de connexion), pour mesurer l’audience d’un site Internet (cookies de mesure d’audience, aussi appelés "cookies analytiques" ou "cookies statistiques"), à des fins de marketing et/ou de publicité comportementale, à des fins d’authentification, à des fins de sécurisation de sites Internet, à des fins de répartition de charge (où le cookie placé permet d'attribuer une étiquette au trafic, sur la base duquel une charge optimale est recherchée), à des fins de personnalisation de l’interface utilisateur ou encore afin de permettre l’utilisation d’un lecteur multimédia.

Lorsque le consentement est demandé, les cookies utilisés doivent être classés sur la base de leurs finalités (spécifiques). Ceci implique entre autres que l'utilisation pour sa propre publicité/son propre profilage et l'utilisation pour la publicité/le profilage de tiers sont qualifiées de finalités distinctes, tout comme l'utilisation de cookies pour partager, aimer ou suivre une page sur des réseaux sociaux et l'utilisation de cookies pour personnaliser des publicités visent des finalités différentes.

Distinction selon le domaine qui place le cookie sur l’appareil de l’utilisateur : cookies "internes" (first party) et cookies "tiers" (third party)

Les cookies "internes" sont placés directement par le domaine inscrit dans la barre d’adresse du navigateur. Il s’agit en d’autres termes de cookies placés directement par le propriétaire du site Internet que vous visitez.

Les "cookies tiers" sont quant à eux placés par un domaine différent de celui que vous visitez. Cela arrive lorsque le site Internet incorpore des éléments d’autres sites Internet comme des images, des plugins de médias sociaux (comme le bouton "J’aime" de Facebook) ou des publicités. Lorsque ces éléments sont extraits par le navigateur ou par un autre logiciel au départ d’autres sites, ceux-ci peuvent également placer des cookies qui pourront ensuite être lus par les sites qui les ont placés. Ces "cookies tiers" permettent à ces tiers de suivre le comportement des internautes dans le temps et au travers de nombreux sites Internet et de créer, à partir de ces données, des profils de personnes (profilage), notamment dans le but de pouvoir à l’avenir mettre en place un marketing plus précis et plus ciblé lors des futures sessions de navigation de ces internautes ainsi tracés.

Distinction selon la durée de validité du cookie : "cookies de session" et "cookies persistants" (ou "cookies permanents")

Les "cookies de session" sont automatiquement supprimés lorsque vous fermez votre navigateur, tandis que les "cookies persistants" restent stockés sur votre appareil (ordinateur, smartphone, tablette, ...) jusqu'à une date d'expiration prédéterminée (qui peut s'exprimer en minutes, en jours ou en années).

Dans la plupart des cas, vous ne pourrez installer et/ou lire des cookies sur l’appareil d’un internaute que si cette personne a préalablement été informée clairement et précisément de ce que font ces cookies et de la raison pour laquelle vous souhaitez les utiliser et qu’elle a ensuite consenti à leur utilisation.

L’obligation de recueillir le consentement de la personne concernée s’impose, en principe, pour tous les cookies et autres technologies similaires qui permettent le stockage d’informations ou l’obtention de l’accès à des informations déjà stockées dans l’appareil d’un utilisateur, indépendamment du fait que les informations stockées constituent des données à caractère personnel. Il existe néanmoins deux situations dans lesquelles le placement de cookies ne doit pas être précédé d’un consentement de la personne concernée (les "cookies strictement nécessaires").

• Les cookies fonctionnels strictement nécessaires, qui sont strictement nécessaires pour fournir un service que vous avez expressément demandé (comme pour la conservation temporaire du choix de la langue, des préférences en matière de cookies ou du contenu du panier d’achat ou pour garantir la sécurité d’une application bancaire).
• Les cookies techniques strictement nécessaires, qui sont strictement nécessaires à l'envoi d'un message via un réseau de communication électronique (comme par exemple des cookies de session pour le load balancing (la répartition de charge) dans le cadre duquel le cookie mis en place permet d'attribuer une étiquette au trafic, sur la base de laquelle une charge optimale est recherchée).

Si les cookies que vous avez placés et/ou que vous lisez contiennent des données à caractère personnel, comme c’est presque systématiquement le cas, vous devrez en outre respecter toutes les obligations que le RGPD impose aux responsables du traitement et aux sous-traitants, selon que vous agissez en qualité de responsable du traitement ou de sous-traitant.

Assurez-vous par exemple de prévoir un mécanisme permettant de retirer à nouveau le consentement de manière tout aussi simple.

Le consentement que les internautes doivent fournir en vue du placement ou de la lecture de cookies non strictement nécessaires et d’autres technologies similaires doit, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD : préalable, libre, spécifique, éclairé, actif et univoque (mais aussi "rétractable").

• Préalable

Aucun cookie non strictement nécessaire ne peut être placé ou lu sur l’ordinateur, le smartphone ou la tablette d’un utilisateur tant que celui-ci n’a pas donné son consentement.

• Univoque et actif

Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix. Le consentement de la personne concernée peut par exemple être donné en cliquant sur un lien ou en activant un bouton par un clic ou un glissement (ce que l'on appelle l' "opt-in").

Le consentement n’est toutefois pas valablement donné s'il est obtenu au moyen d’une case cochée par défaut que l'utilisateur doit décocher pour refuser de donner son consentement (aussi appelé "opt-out"). Par ailleurs, la poursuite de la navigation ou l'acceptation des conditions d'utilisation ne peut pas non plus être considérée comme un consentement valable. Enfin, le consentement de l'utilisateur ne peut pas non plus être déduit de ses paramètres de navigation.

• Éclairé

Le consentement doit être précédé de la communication d’informations précises sur le responsable du traitement, les finalités poursuivies par les cookies et autres dispositifs de traçage placés ou lus, les données qu’ils collectent et la durée de vie de ces cookies. Les informations doivent également porter sur l'utilisation éventuelle des données pour une prise de décision automatisée et sur les droits que le RGPD reconnaît aux personnes concernées, y compris le droit de retirer son consentement.

L’information doit être visible, complète et clairement mise en évidence. Elle doit être rédigée en des termes simples et compréhensibles pour l'utilisateur. Cela implique notamment que l’information soit rédigée dans une langue aisément compréhensible pour le "public cible" auquel elle s’adresse. En pratique, si votre site Internet s’adresse à un public adolescent, vous devrez utiliser un langage qui soit suffisamment simple pour pouvoir être compris par ce public cible. Dans la même logique, si votre site Internet s’adresse à un public francophone et/ou néerlandophone, vous devez fournir l’information en français et/ou en néerlandais.

Le premier "niveau" restitue d'une façon très claire et concise les différentes finalités pour lesquelles le consentement est demandé (par ex. en utilisant une mise en évidence en gras, des puces, etc.) ; Ce "niveau" reprend également au moins les informations suivantes :

• l'identité de l'entité (des entités) responsable(s) du dépôt ou de la lecture des cookies (le cas échéant avec indication du nombre de partenaires et un hyperlien vers la liste complète répartie par catégorie) ;
• la manière dont les cookies peuvent être acceptés ou refusés ;
• les conséquences du refus ou de l'acceptation de cookies ;
• l'existence du droit de retirer le consentement et la manière dont on peut le faire.

En outre, un "niveau inférieur" reprend la liste complète des cookies utilisés, classés par catégorie, y compris leur finalité spécifique, leur durée de vie et les destinataires de ces cookies.
Lorsque des données à caractère personnel sont traitées (ce qui est quasiment toujours le cas lors de l'utilisation de cookies), il convient évidemment aussi de fournir toutes les informations nécessaires pour répondre à l'obligation de transparence prévue aux articles 12 - 14 du RGPD.

• Libre

L’utilisateur doit pouvoir accepter ou refuser, pour chaque application et chaque site Internet, le dépôt de cookies sans contrainte, pression ni influence. Cette exigence implique notamment que l’utilisateur ne peut pas se voir refuser certains services ou avantages au motif qu’il n’aurait pas consenti à l’utilisation de cookies non strictement nécessaires. La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service, tel l’accès à un site Internet. Les "murs de traceurs" ou "cookie walls" ne sont dès lors pas autorisés.

La conception de la bannière de cookies peut également avoir pour effet de compromettre le caractère libre du consentement. Tel est par exemple le cas lorsqu'on y utilise :

• un bouton "accepter tous les cookies" (ou similaire) sans prévoir au même "niveau" un bouton "refuser tous les cookies non strictement nécessaires" (ou similaire) ;
• toute autre forme de conception trompeuse ("deceptive design" (interface trompeuse) également connu sous le nom de "dark patterns") de la bannière et de ses boutons, textes ou liens, en utilisant de manière trompeuse entre autres des couleurs, une taille de police et le placement

• Spécifique

Le RGPD requiert que le consentement, en ce compris au placement et à la lecture de cookies, soit spécifique, c’est-à-dire qu’il doit être donné pour des traitements de données bien définis (spécifiques).
Le fait, pour un utilisateur, d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit donc pas pour considérer qu’il a valablement donné son consentement au placement de cookies (voir aussi le caractère "univoque" susmentionné).

Le consentement ne peut pas non plus être valablement donné pour la seule "utilisation" de cookies, sans autre précision quant aux données collectées via ces cookies ni quant aux finalités pour lesquelles ces données sont collectées. Le RGPD exige un choix plus détaillé qu'un simple "tout ou rien".

Cela peut se faire, par exemple, en expliquant brièvement les catégories dans un premier niveau de la bannière et en proposant un bouton "tout accepter " ainsi qu'un bouton "tout refuser", mais avec un lien clairement affiché vers un deuxième niveau où des informations plus détaillées sont données sur ces catégories et où un consentement plus granulaire peut être accordé. Vous donnez en outre la possibilité, le cas échéant dans un "niveau" inférieur, d'accepter (ou de refuser) l'utilisation de cookies par "partenaire" (responsable conjoint du traitement).

L'Autorité de protection des données estime toutefois opportun que dans le cadre d'un "niveau d'information" suivant, vous offriez également aux internautes la possibilité d'effectuer un choix granulaire plus détaillé par cookie, ce qui peut conduire dans certains cas à un choix individuel par cookie. En effet, une fois que la personne concernée a pu donner son consentement par type de cookies, elle doit, dans certains cas (par ex. compte tenu de l'évolution de la société, y compris des attentes des internautes moyens qui sont idéalement de plus en plus au fait des technologies de l'information et conscientisés à la protection de la vie privée), pouvoir également donner son consentement individuellement par cookie.

Cela implique que chaque cookie n'est donc utilisé que pour une seule finalité spécifique.

• Rétractable

Des solutions conviviales doivent être mises en œuvre pour que la personne puisse retirer, à tout moment, son consentement aussi facilement qu'elle a pu le donner. Il est, en outre, nécessaire qu’elle soit informée de cette possibilité au moment de donner son consentement.

Il convient de veiller à ce que ce retrait du consentement ait effectivement l'effet souhaité. Cela peut se faire en effaçant les cookies ou par le biais d'autres techniques. Le retrait du consentement peut par exemple se faire par le placement d'un "Set-Cookie" avec le même "path" et le même "domain" mais avec une durée de vie négative.

Le retrait du consentement peut par exemple également se faire à l'aide d'un bouton dit "hover" clair, qui est en fait un bouton persistant avec un effet lors du survol par le pointeur de la souris, ou à l'aide d'un lien clair dans le pied de chaque page qui permet de toujours revenir aux paramètres relatifs aux cookies et de retirer son consentement en un seul clic.

Les informations stockées sur le poste de travail de l’utilisateur et les cookies ne peuvent être conservés au-delà du temps nécessaire à l'accomplissement de la finalité poursuivie. Ce délai de conservation ne peut donc être indéterminé. Lorsque les informations collectées et stockées dans un cookie et les informations collectées suite à la lecture d’un cookie ne sont plus nécessaires à la finalité poursuivie, vous devez les supprimer.

Toutefois, il n'est pas toujours possible d'effacer les cookies en temps utile, par exemple lors d'une interruption impromptue de la communication. Il faut alors que la politique en matière de cookies explique clairement la manière d'effacer ces cookies et autres traceurs par une intervention plus explicite du visiteur du site (exemple : fonction d'effacement des cookies prévue dans chaque navigateur).

Un cookie exempté de l’obligation de consentement doit avoir une durée de vie en relation directe avec la finalité pour laquelle il est utilisé et être paramétré de manière à expirer dès qu’il n’est plus nécessaire, compte tenu des attentes raisonnables de l’utilisateur. Les cookies exemptés de consentement seront donc probablement réglés de manière à expirer lorsque la session de navigation prend fin, voire avant. Mais ce n’est pas toujours le cas. Par exemple, dans le scénario du panier d’achat, un commerçant pourrait régler le cookie de manière à ce qu’il subsiste après la fin de la session de navigation ou pendant quelques heures pour tenir compte du fait que l’utilisateur pourrait fermer accidentellement son navigateur et s’attendre raisonnablement à retrouver le contenu de son panier d’achats en revenant sur le site Internet du commerçant quelques minutes plus tard. Dans d’autres cas, l’utilisateur peut demander expressément au service de mémoriser certaines informations d’une session à l’autre, ce qui nécessite l’utilisation de cookies persistants.

Pour les cookies qui mémorisent des préférences en matière de cookies, l'Autorité de protection des données estime qu'une durée de vie de 6 mois est en principe raisonnable.

Vous devez pouvoir démontrer que vous avez obtenu le consentement de manière valable. À cet effet, vous devez :

• conserver les informations qui démontrent comment votre mécanisme de consentement (tel qu'une bannière) a été adapté au fil du temps ;
• conserver les versions précédentes de votre politique en matière de cookies ; et,
• dater votre politique en matière de cookies et lui donner un numéro de version.

Oui, sauf si vous votre site Internet ou votre application n’utilise que des « cookies strictement nécessaires ».

Un cookie est qualifié de «strictement nécessaire» dès lors qu’il est indispensable pour réaliser l'envoi d'une communication via un réseau de communications électroniques ou pour fournir un service expressément demandé par l’utilisateur de votre site Internet ou de votre application.

Voici quelques exemples de « cookies strictement nécessaires» pour lesquels vous ne devez donc pas obtenir le consentement préalable de l’utilisateur:

• Les cookies alimentés par l’utilisateur pour la durée d’une session, ou les cookies persistant limités à quelques heures dans certains cas, qui sont utilisés pour conserver la trace des informations saisies par l’utilisateur lorsqu’il complète des formulaires en ligne sur plusieurs pages ou en tant que panier d’achat pour mémoriser les articles que l’utilisateur a sélectionnés en cliquant sur un bouton.
• Les cookies d’authentification utilisés pour des services authentifiés (par exemple un site offrant des services bancaires en ligne), pour la durée d’une session
• Les cookies de sécurité centrés sur l’utilisateur qui visent à renforcer la sécurité du service expressément demandé par l’utilisateur et qui sont utilisés, notamment, pour détecter les authentifications abusives, pour une durée limitée répétée
• Les cookies de session crées par un lecteur multimédia
• Les cookies de session d’équilibrage de charges
• Les cookies placés pour retenir les préférences en matière de cookies (en principe pour une période de maximum 6 mois)
• Les cookies de personnalisation de l’interface utilisateur, comme la préférence linguistique, pour la durée d’une session (ou une durée légèrement supérieure)

Pour le placement et/ou la lecture de ces cookies strictement nécessaires, vous ne devez pas obtenir le consentement de l’utilisateur. Vous devez toutefois fournir à l’utilisateur des informations claires et précises sur ce que font ces cookies et pourquoi vous y avez recours.  Pour tous les autres cookies, c’est-à-dire les cookies « non strictement nécessaires », vous devez, non seulement informer les utilisateurs des finalités qu’ils poursuivent, mais également obtenir leur consentement valide.

Oui.

En l’état actuel de la législation, il n’y a pas d’exemption à l’obligation d’obtenir le consentement des personnes concernées pour les "cookies de mesure d’audience", même quand il s’agit de cookies "internes" (first party).

Pour pouvoir relever de l'exception des "cookies fonctionnels strictement nécessaires", il doit s'agir de cookies qui sont strictement nécessaires pour fournir le service expressément demandé par le "visiteur". Dès lors, le comptage des visiteurs n'en relève en principe pas (comme l'indique également le Groupe de travail "Article 29" sur la protection des données à la page 10 de son Avis 04/2012).

Quelques contrôleurs (dans d'autres États membres) adoptent la position selon laquelle le placement ou le fait de se procurer un accès à de tels cookies - dans certaines conditions strictes - échappe à l'exigence de consentement. Il s'agit parfois de la conséquence d'une adaptation de la législation nationale (ce motif d'exception a alors été ajouté explicitement), parfois de la jurisprudence nationale.

Non.

La poursuite de la navigation ne peut pas être considérée comme un consentement valable pour l’installation et la lecture de cookies "non strictement nécessaires". Le consentement que les internautes doivent fournir en vue du placement (et de la consultation) de ce type de cookies doit en effet, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD. Il s’ensuit que ce consentement doit donc résulter d’un acte positif clair de l’internaute, ce qui n'est pas le cas lorsqu'il poursuit simplement sa navigation sur le site Internet.

Non.

Le paramétrage du navigateur ne permet pas - du moins actuellement - de recueillir un consentement valable. Les utilisateurs ne peuvent par exemple pas (encore) donner leur consentement en fonction des finalités poursuivies par les différents types de cookies. Le consentement recueilli par le biais du paramétrage du navigateur n’est dès lors pas suffisamment spécifique au regard de l’exigence du RGPD.

Non.

La mise en place d’un "cookie wall" - qui est une pratique qui consiste à bloquer l’accès à un site Internet ou à une application mobile pour qui ne consent pas à l’installation de cookies "non strictement nécessaires" - n’est pas conforme au RGPD. Cette pratique empêche en effet de recueillir un consentement libre puisque la personne concernée est obligée de consentir à l’installation et/ou à la lecture de cookies pour pouvoir accéder au site Internet ou à l’application mobile.

Les débats concernant les cookiewalls sont complexes. L’APD n’a pas pour ambition de les refléter dans la présente FAQ.

Oui.

Si vous installez et/ou lisez des cookies ou d’autres traceurs, vous devez adopter et publier sur votre site Internet ou votre application mobile une "politique/déclaration en matière de cookies" afin d’assurer la transparence des traitements de données à caractère personnel réalisés à partir de ces cookies et autre traceurs. Ce document doit comprendre, au moins, les éléments suivants :

• L’identité et les coordonnées du (des) responsable(s) du traitement et, le cas échéant, de votre délégué à la protection des données ;
• L’identification des différents (types de) cookies utilisés par le site Internet ou l’application (nom, domaine et "path") ;
• La ou les finalités du (des) traitement(s) ayant lieu dans le contexte du placement et/ou de la lecture des différents (types de) cookies ;
• La durée de fonctionnement des cookies ;
• L'existence de la possibilité pour des tiers - le cas échéant - d'avoir accès aux cookies ou non, ainsi que l'identité de ces destinataires et les informations relatives aux éventuels transferts vers des pays tiers, y compris les mesures appropriées prises à cette fin et la manière dont la personne concernée peut en obtenir une copie (ou accéder à ces informations) ;
• La manière dont la personne concernée peut effacer les cookies qui ont été placés sur son appareil ;
• Le fondement juridique du traitement au sens de l’article 6 du RGPD (il s’agira nécessairement du consentement pour les cookies "non strictement nécessaires" alors qu’un autre fondement juridique, comme l’intérêt légitime, pourra être utilisé pour les cookies "strictement nécessaires") ;
• La durée de conservation des données collectées par le biais des différents cookies ;
• Les droits que les personnes concernées peuvent invoquer, y compris le droit de retirer leur consentement et tous les autres droits consacrés par les articles 15 à 22 inclus du RGPD ;
• La possibilité de déposer une plainte auprès de l’APD ;
• L’existence éventuelle d’une prise de décision automatisée, y compris un profilage et, le cas échéant, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Vous devez rédiger votre "politique en matière de cookies" dans un langage aisément accessible pour les personnes concernées. Si votre site Internet s’adresse à un public francophone et/ou néerlandophone, cette politique doit être rédigée en français et/ou en néerlandais. Vous devez être concis lorsque vous rédigez votre "politique en matière de cookies", mais sans omettre d’y mentionner les informations qui doivent y figurer en vertu du RGPD.

Vous devez vous assurer que votre "politique en matière de cookies" est facilement accessible aux personnes concernées, par exemple par le biais d’un hyperlien.

Non, vous devez obtenir le consentement des utilisateurs de votre site Internet ou de votre application mobile avant de pouvoir activer des plug-ins sociaux.

Les plug-ins sociaux permettent aux concepteurs de sites d'ajouter facilement à leurs pages Internet des fonctionnalités de partage du contenu de leur site sur les plate-formes sociales.  Mais le code source proposé aux concepteurs de sites exploite des cookies qui permettent un traçage très fin des internautes, même si ceux-ci n’ont pas de compte sur ces plate-formes. Le consentement des utilisateurs doit être obtenu préalablement au dépôt de ces cookies.

Veillez également à offrir la possibilité de donner (ou de refuser) le consentement de façon suffisamment granulaire.