Cookies et autres traceurs

Lorsqu’un internaute se connecte à Internet, il échange des messages électroniques avec un serveur connecté sur la « toile ». Ces messages comportent des entêtes nécessaires au bon déroulement du dialogue. Ces entêtes comportent notamment des « mini-fichiers » - les fameux « cookies » - qui peuvent être stockés et traités tant sur le poste de travail de l’internaute que sur le serveur du site visité. À l'origine, un cookie est donc un « mini-fichier » utilisé pour faciliter la communication entre la machine du visiteur et le serveur du site. Le cookie au sens strict fait l’objet d’une description normalisée (RFC 6262 de l’Internet Engineering Task Force) et remplit un rôle de simple témoin de la transaction en stockant certaines informations. On parle alors parfois de « témoins de connexion ». 

Suite aux évolutions technologiques, les cookies ont été utilisés à de nouvelles fins : pour améliorer la performance du site, pour mesurer l’audience du site et rassembler des statistiques, pour mémoriser les préférences des utilisateurs (notamment en termes de langue), pour stocker un panier d’achat, pour permettre l’envoi de publicités ciblées… En parallèle à cette évolution, d’autres moyens techniques – comme les pixels invisibles ou « web bugs » – ont été mis au point pour réaliser les fonctionnalités propres aux cookies. C’est pourquoi nous parlerons ici de cookies et d’autres traceurs.

Ces cookies et autres traceurs peuvent être distingués selon différents critères, comme la finalité qu’ils poursuivent, le domaine qui les place sur l’appareil de l’utilisateur, ou encore leur durée de vie.

Distinction selon la finalité du cookie

Les cookies peuvent être utilisés pour de nombreuses finalités différentes. Ils peuvent être utilisés, entre autres, pour supporter la communication sur le réseau (« cookie de connexion »), pour mesurer l’audience d’un site internet (« cookies de mesure d’audience », encore appelés « cookies analytiques » ou « cookies statistiques »), à des fins de marketing et/ou de publicités comportementales, à des fins d’authentification, à des fins de sécurisation du site internet, à des fins d’équilibrage de charges, à des fins de personnalisation de l’interface utilisateur ou encore afin de permettre l’utilisation d’un lecteur multimédia (« cookies flash »).

Distinction selon le domaine qui place le cookie sur l’appareil de l’utilisateur : cookies « de première partie » et cookies « tiers » (ou « tierce partie »)

Les cookies « de première partie » sont placés directement par le domaine inscrit dans la barre d’adresse du navigateur. Il s’agit, en d’autres termes, de cookies placés directement par le propriétaire du site web visité par l’utilisateur. Les « cookies tiers » sont, pour leur part, mis en place par un domaine différent de celui qui est visité par l’utilisateur. Cela arrive typiquement lorsque le site Internet incorpore des éléments d’autres sites Internet comme des images, des plugins de médias sociaux (comme le bouton « J’aime » de Facebook) ou des publicités. Lorsque ces éléments sont extraits par le navigateur ou par un autre logiciel au départ d’autres sites Internet, ceux-ci peuvent également placer des cookies qui pourront, ensuite, être lus par les sites Internet qui les ont placés. Ces « cookies tiers » permettent, à ces tiers, de suivre le comportement des internautes dans le temps et au travers de nombreux sites Internet et de créer, à partir de ces données, des profils de personnes (profilage), notamment dans le but de pouvoir mettre en place un marketing plus précis et plus ciblé lors de la navigation future de ces internautes ainsi tracés.

Distinction selon la durée de validité du cookie : cookies « de session » et cookies « persistants » (ou « permanents)

Les « cookies de session » sont effacés automatiquement lorsque l’utilisateur ferme son navigateur alors que les « cookies persistants » restent stockés dans l’équipement terminal de l’utilisateur jusqu’à une date d’expiration prédéfinie (qui peut être exprimée en minutes, en jours ou en années).

Dans la plupart des cas, vous ne pourrez installer et/ou lire des cookies sur l’appareil d’un internaute que si cette personne a préalablement été informée clairement et simplement, notamment, de ce que font ces cookies et de la raison pour laquelle vous souhaitez y avoir recours et qu’elle a, ensuite, consenti à leur utilisation. 

L’obligation de recueillir le consentement de la personne concernée s’impose, en principe, pour tous les cookies et autres technologies similaires qui permettent le stockage d’informations ou l’obtention de l’accès à des informations déjà stockées dans l’appareil d’un utilisateur, indépendamment du fait que les informations stockées constituent des données à caractère personnel.

Il existe néanmoins deux situations dans lesquelles le placement de cookies ne doit pas être précédé d’un consentement de la personne concernée :

• Lorsque les cookies sont absolument nécessaires pour fournir un service demandé expressément par l’internaute (comme, par exemple, les cookies qui permettent de se souvenir du panier d’achat d’un utilisateur ou les cookies qui visent à assurer la sécurité d’une application bancaire)
• Lorsque les cookies sont absolument nécessaires pour réaliser l'envoi d'une communication via un réseau de communications électroniques (comme, par exemple, les cookies qui permettent d’afficher les indications nécessaires dans les échanges chiffrés et les identifiants d’une transaction ou les cookies de performance ou d’équilibrage de charges, à condition de ne les analyser que de manière anonyme).

Ces deux catégories de cookies, qui sont exemptées de l’obligation de consentement, sont reprises sous le terme de « cookies fonctionnels ».

Si les cookies que vous avez placés et/ou que vous lisez contiennent des données à caractère personnel, comme c’est presque systématiquement le cas, vous devrez, en outre, respecter toutes les obligations que le RGPD impose aux responsables du traitement et aux sous-traitants, selon que vous agissant en qualité de responsable du traitement ou de sous-traitant.

Le consentement que les internautes doivent fournir en vue de l’insertion ou de la lecture de cookies « non fonctionnels » et d’autres technologies similaires doit, pour être valable, répondre aux conditions générales de licéité du consentement prévues par le RGPD.

Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix. Vous pouvez, par exemple, recueillir le consentement de la personne concernée en lui demandant de cliquer sur un lien ou en lui demandant d’activer un bouton par glissement. Le consentement n’est, par contre, pas valable s’il est récolté au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. Vous ne pouvez pas, non plus, considérer que la poursuite de la navigation ou l’acceptation de conditions générales d’utilisation sont des modalités valables de recueil du consentement. De même, vous ne pouvez pas déduire le consentement de l’utilisateur du paramétrage de son navigateur parce qu’actuellement il n’est pas possible, dans le paramétrage des navigateurs, d’exprimer un choix par finalité de cookie.

• Le consentement doit être préalable à l’insertion ou à la lecture de cookies

Aucun cookie « non fonctionnel » ne peut être inséré ou lu sur l’ordinateur, le smartphone ou la tablette d’un utilisateur tant que celui-ci n’a pas donné son consentement.

• Le consentement doit être informé

Le consentement doit être précédé de la fourniture d’informations précises sur le responsable du traitement, les finalités poursuivies par les cookies et autres traceurs déposés ou lus, les données qu’ils collectent et la durée de vie de ces cookies. L’information doit également porter sur les droits que le RGPD reconnait aux personnes concernées, y compris le droit de retirer son consentement.

L’information doit être visible, complète et être mise en évidence. Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur. Cela implique, notamment, que l’information soit rédigée dans une langue aisément compréhensible pour le « public cible » auquel elle s’adresse. En pratique, si votre site Internet s’adresse à un public adolescent, vous devrez utiliser un langage qui soit suffisamment simple pour pouvoir être compris par ce public cible. Dans la même logique, si votre site Internet s’adresse à un public francophone et/ou néerlandophone, vous devez fournir l’information en français et/ou en néerlandais.

• Le consentement n’est valide que si la personne exerce un choix réel

L’utilisateur doit pouvoir accepter ou refuser, pour chaque application et chaque site internet, le dépôt de cookies sans contrainte, pression ou influence. Cette exigence implique, notamment, que l’utilisateur ne peut pas se voir refuser certains services ou avantages au motif qu’il n’aurait pas consenti à l’utilisation de cookies « non fonctionnels ». La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service, tel l’accès à un site Internet. Les « cookies walls » ne sont donc pas autorisés parce qu’ils ne permettent pas un recueil de consentement valide au regard du RGPD.

• Le consentement doit être spécifique

Le RGPD requiert que le consentement, en ce compris au placement et à la lecture de cookies, soit spécifique, c’est-à-dire qu’il doit être donné pour des traitements de données bien définis (spécifiques). Le fait, pour un utilisateur, d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit donc pas pour considérer qu’il ait valablement donné son consentement au placement de cookies. Un consentement ne peut pas, non plus, être donné pour la seule "utilisation" de cookies, sans autre précision quant aux  données récoltées via ces cookies ni quant aux finalités pour lesquelles ces données sont collectées. Le RGPD requiert, en effet, un choix plus détaillé qu’un simple « tout ou rien », mais il n’exige toutefois pas nécessairement un consentement pour chaque cookie individuellement. Si vous sollicitez le consentement pour plusieurs types de cookies, vous devez obtenir un consentement distinct pour chaque type de cookies. Le consentement doit ainsi, à tout le moins dans une première strate d’informations, être obtenu par type de cookie. Néanmoins, l’Autorité estime opportun que vous donniez, en outre, la possibilité aux internautes, dans le cadre d’une deuxième strate d’informations, d’effectuer un choix plus granulaire, qui  - dans certains cas -  pourrait mener jusqu’à un choix individuel par cookie. En effet, une fois que la personne concernée a pu exprimer son consentement par type de cookie, elle devrait dans certains cas (par exemple compte tenu des évolutions de la société, y compris des attentes des utilisateurs Internet lambda idéalement de plus en plus avertis en informatique et soucieux de la vie privée) aussi pouvoir exprimer son consentement individuellement par cookie.

• Le consentement doit pouvoir être retiré par l’internaute

Des solutions conviviales doivent être mises en œuvre pour que la personne puisse retirer, à tout moment, son consentement aussi facilement qu'elle a pu le donner. Il est, en outre, nécessaire qu’elle soit informée de cette possibilité au moment de donner son consentement.

Les informations stockées sur le poste de travail de l’utilisateur et les cookies ne peuvent être conservés au-delà du temps nécessaire à l'accomplissement de la finalité poursuivie. Cette durée de conservation ne peut donc être indéfinie. Lorsque les informations collectées et stockées dans un cookie et les informations collectées suite à la lecture d’un cookie ne sont plus nécessaires à la finalité poursuivie, vous devez les supprimer

Toutefois, il n'est pas toujours possible d'effacer les cookies et métafichiers en temps utile, par exemple lors d'une interruption impromptue de la communication. Il faut alors que la politique des cookies explique clairement la manière d'effacer ces cookies et métafichiers par une intervention plus explicite du visiteur du site (exemple : fonction d'effacement des cookies prévue dans chaque navigateur).

Un cookie exempté de l’obligation de consentement doit avoir une durée de vie en relation directe avec la finalité pour laquelle il est utilisé et être paramétré de manière à expirer dès qu’il n’est plus nécessaire, compte tenu des attentes raisonnables de l’utilisateur. Les cookies exemptés de consentement seront donc probablement réglés de manière à expirer lorsque la session de navigation prend fin, voire avant. Mais ce n’est pas toujours le cas. Par exemple, dans le scénario du panier d’achat, un commerçant pourrait régler le cookie de manière à ce qu’il subsiste après la fin de la session de navigation ou pendant quelques heures pour tenir compte du fait que l’utilisateur pourrait fermer accidentellement son navigateur et s’attendre raisonnablement à retrouver le contenu de son panier d’achats en revenant sur le site web du commerçant quelques minutes plus tard. Dans d’autres cas, l’utilisateur peut demander expressément au service de mémoriser certaines informations d’une session à l’autre, ce qui nécessite l’utilisation de cookies persistants.

Oui, sauf si vous votre site Internet ou votre application n’utilise que des « cookies fonctionnels ».

Un cookie est qualifié de « fonctionnel » dès lors qu’il est indispensable pour réaliser l'envoi d'une communication via un réseau de communications électroniques ou pour fournir un service expressément demandé par l’utilisateur de votre site Internet ou de votre application.

Voici quelques exemples de « cookies fonctionnels » pour lesquels vous ne devez donc pas obtenir le consentement préalable de l’utilisateur:

• Les cookies alimentés par l’utilisateur pour la durée d’une session, ou les cookies persistant limités à quelques heures dans certains cas, qui sont utilisés pour conserver la trace des informations saisies par l’utilisateur lorsqu’il complète des formulaires en ligne sur plusieurs pages ou en tant que panier d’achat pour mémoriser les articles que l’utilisateur a sélectionnés en cliquant sur un bouton.
• Les cookies d’authentification utilisés pour des services authentifiés (par exemple un site offrant des services bancaires en ligne), pour la durée d’une session
• Les cookies de sécurité centrés sur l’utilisateur qui visent à renforcer la sécurité du service expressément demandé par l’utilisateur et qui sont utilisés, notamment, pour détecter les authentifications abusives, pour une durée limitée répétée
• Les cookies de session crées par un lecteur multimédia, tels que les cookies de lecteur flash, pour la durée d’une session
• Les cookies de session d’équilibrage de charges, pour la durée d’une session
• Les cookies persistants de personnalisation de l’interface utilisateur (comme les cookies relatifs à la préférence linguistique ou à la préférence d’affichage des résultats), pour la durée d’une session (ou une durée légèrement supérieure)

Pour le placement et/ou la lecture de ces cookies fonctionnels, vous ne devez pas obtenir le consentement de l’utilisateur. Vous devez toutefois fournir à l’utilisateur des informations claires et précises sur ce que font ces cookies et pourquoi vous y avez recours.  Pour tous les autres cookies, c’est-à-dire les cookies « non fonctionnels », vous devez, non seulement informer les utilisateurs des finalités qu’ils poursuivent, mais également obtenir leur consentement valide.

Oui.

En l’état actuel de la législation, il n’y a pas d’exemption à l’obligation d’obtenir le consentement des personnes concernées pour les cookies de mesure d’audience, même quand il s’agit de cookies de « première partie ». Le traitement de données à caractère personnel dans le cadre de l’installation et de la lecture de cookies statistiques ne peut pas se fonder sur l’intérêt légitime du propriétaire du site Internet ou de l’application.

Pour que le consentement soit valide, il doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix. La manifestation de volonté peut s’exprimer, par exemple, par le fait de cocher une case ou d’activer un bouton par glissement. Mais elle ne peut pas résulter d’une case « pré-cochée » ou de la simple poursuite de navigation sur votre site Internet. Le consentement doit, bien entendu, être préalable au placement ou à la lecture des cookies. Il doit, en outre, être libre, spécifique, informé et rétractable:

• Libre : La personne concernée doit être en mesure d’exercer valablement son choix et ne pas être exposée à des conséquences négatives si elle refuse de donner son consentement. De même, le consentement ne peut être demandé en échange d’un « avantage » ou d’une « récompense ».
• Spécifique : Le consentement doit être donné en lien avec la ou les finalités spécifiques poursuivies par les cookies pour lesquels le consentement est recueilli. Le consentement ne peut donc pas être donné pour la seule "utilisation" de cookies, sans autre précision quant aux  données récoltées via les cookies ou quant aux finalités qu’ils poursuivent. Il est nécessaire d’offrir à l’utilisateur un choix plus détaillé qu’un simple « tout ou rien ». Mais vous ne devez pas nécessairement aller jusqu’à offrir un choix par cookie. Vous devez, par contre, dans une première strate d’information , offrir un choix par « type de cookies » (exemples : cookie de mesure d’audience ou cookie de ciblage marketing). Une fois que la personne concernée a pu exprimer son consentement par type de cookie, vous devez lui permettre, si elle souhaite, d’exprimer, dans le contexte d’une deuxième strate d’information, son consentement individuellement par cookie.
• Informé : le recueil du consentement doit être précédé de la fourniture d’une information claire et précise sur l’identité du responsable du traitement, la finalité des opérations de placement et de lecture des cookies, les données qu’ils collectent et leur durée de vie. L’information doit également porter sur les droits que le RGPD reconnait aux personnes concernées, y compris le droit de retirer son consentement.
• Rétractable : le consentement doit pouvoir être retiré à tout moment aussi facilement qu’il a pu être donné. Vous devez d’ailleurs informer la personne concernée, avant de recueillir son consentement, de la possibilité qu’elle a de retirer son consentement ultérieurement.

Vous devez pouvoir démontrer que vous avez recueilli un consentement valide de la personne concernée avant d’installer ou de lire des cookies ou d’autres traceurs sur, ou à partir de, son appareil. Cette preuve peut être apportée, notamment, par des logs ou d’autres fichiers gardant des traces des transactions.

En pratique, la zone d’information et de recueil du consentement préalable doit consister en un message clair, visible, bien compréhensible et expliquant clairement quels sont les cookies que vous souhaitez installer, ce qu’ils font et pourquoi vous y avez recours (exemples : cookies permettant de mesurer l’audience d’un site Internet ou cookies permettant le ciblage marketing des internautes). Il faut donc informer l’utilisateur quant aux types de cookies que vous souhaitez installer, leur finalité, leur durée de vie, les données qu’ils collectent et l’utilisation qui sera faite de ces données. Le visiteur doit avoir la possibilité de donner son consentement, au minimum, par type de cookies. Tant que le visiteur n’a pas effectué d’action positive marquant son acceptation, le message doit rester visible et aucun cookie « non fonctionnel » ne peut être installé et/ou lu sur l’ordinateur, le smartphone, la tablette ou tout autre appareil de l’utilisateur.

Non.

La poursuite de la navigation ne peut pas être considérée comme donnant lieu à un consentement valide pour l’installation et la lecture de cookies « non fonctionnels ». Le consentement que les internautes doivent fournir en vue du placement (et de la consultation) de ce type de cookies doit en effet, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD. Il s’en suit que ce consentement doit donc notamment résulter d’une démarche active de l’internaute, comme un click ou l’activation d’un bouton par glissement. Le consentement n’est donc pas valable s’il est récolté au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. Ce consentement doit également être informé, ce qui implique que la démarche active demandée à l’internaute doit être précédée de la fourniture d’une information claire et complète quant aux types de cookies placés et aux conséquences du placement de ces cookies en termes d’utilisation future des données personnelles de l’internaute. Le RGPD requiert aussi que le consentement au placement de cookies soit spécifique, de telle sorte que le fait, pour un utilisateur, d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit pas pour considérer qu’il ait valablement donné son consentement au placement de cookies. Enfin, le consentement doit être libre et exempt de toute contrainte. Cette exigence implique notamment que l’utilisateur ne puisse pas se voir refuser certains services ou avantages au motif qu’il n’aurait pas consenti à l’utilisation de cookies non fonctionnels.

Non.

Le paramétrage des navigateurs ne permet pas, actuellement, de recueillir un consentement valide au regard de RGPD. En effet, les utilisateurs ne peuvent pas (encore) donner leur consentement en fonction des finalités poursuivies par les différents types de cookies. Le consentement recueilli par le biais du paramétrage du navigateur n’est dès lors pas suffisamment spécifique au regard de l’exigence du RGPD.

Non.

La mise en place d’un « cookie wall » - qui est une pratique qui consiste à bloquer l’accès à un site web ou à une application  mobile pour qui ne consent pas à l’installation de cookies « non fonctionnels » - n’est pas conforme au RGPD. Cette pratique empêche, en effet, de recueillir un consentement libre puisque la personne concernée est obligée de consentir à l’installation et/ou à la lecture de cookies pour pouvoir accéder au site web ou à l’application mobile.

Oui.

Si vous installez et/ou lisez des cookies ou d’autres traceurs, vous devez adopter et publier sur votre site Internet ou votre application mobile une « politique des cookies » afin d’assurer la transparence des traitements de données à caractère personnel réalisés à partir de ces cookies et autre traceurs. Ce document doit comprendre, au moins, les éléments suivants :

• L’identité et les coordonnées du responsable du traitement et, le cas échéant, de votre délégué à la protection des données
• L’identification des différents (types de) cookies utilisés par le site web ou l’application
• La ou les finalités des traitements ayant lieu dans le contexte du placement et/ou de la lecture des différents (types de) cookies
• La durée de fonctionnement des cookies
• L’existence d’une possibilité pour les tiers – le cas échéant lesquels – d’avoir accès, ou non, aux cookies
• La manière dont la personne concernée peut effacer les cookies qui ont été placés sur son appareil
• Le fondement juridique du traitement au sens de l’article 6 du RGPD (il s’agira nécessairement du consentement pour les cookies « non fonctionnels » alors qu’un autre fondement juridique, comme l’intérêt légitime, pourra être utilisé pour les cookies « fonctionnels »)
• La durée de conservation des données collectées par le biais des différents cookies.
• Les droits que les personnes concernées peuvent invoquer, y compris le droit de retirer son consentement et tous les autres droits consacrés par les articles 15 à 22 du RGPD
• La possibilité de déposer une plainte auprès de l’APD
• L’existence d’une prise de décision automatisée, y compris un profilage et, le cas échéant, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concerné

Vous devez rédiger votre « politique de cookies » dans une langue aisément accessible pour les personnes concernées. Si votre site internet s’adresse à un public francophone et/ou néerlandophone, la politique de confidentialité doit être rédigée en français et/ou en néerlandais. Vous devez être concis lorsque vous rédigez votre « politique des cookies », mais sans omettre d’y mentionner les informations qui doivent y figurer en vertu du RGPD.

Vous devez vous assurer que votre « politique des cookies » est facilement accessible aux personnes concernées, par exemple par le biais d’un hyperlien.  

Non, vous devez obtenir le consentement des utilisateurs de votre site web ou de votre application mobile avant de pouvoir activer des plug-ins sociaux.

Les plug-ins sociaux permettent aux concepteurs de sites d'ajouter facilement à leurs pages web des fonctionnalités de partage du contenu de leur site sur les plateformes sociales.  Mais le code source proposé aux concepteurs de sites exploite des cookies qui permettent un traçage très fins des internautes, même si ceux-ci n’ont pas de compte sur ces plateformes. Le consentement des utilisateurs doit être obtenu préalablement au dépôt de ces cookies.