Depuis le 25 mai 2018, les éditeurs de sites internet sont tenus d’obtenir le consentement des utilisateurs avant le dépôt de certains cookies, et de leur fournir un moyen de s’y opposer.
Les cookies, aussi appelés témoins de connexion, sont des fichiers qui sont stockés sur votre appareil (ordinateur, tablette, smartphone) par votre navigateur web. Par exemple, ils permettent au site internet de reconnaître un visiteur, de façon à ce qu’il n’ait pas besoin de se reconnecter. Ils peuvent aussi servir à des fins publicitaires et de pistage — c’est pour cela qu’ils sont aussi décrits comme des traceurs. Enfin, ils servent également à recueillir des données statistiques, à des fins d’analyses du trafic.
La mise en conformité d’un site internet n’est pas chose aisée : il y a des règles à respecter, et les enfreindre peut coûter cher. Voici les bonnes pratiques à respecter.
1. Pas de « cookies wall »
Vous êtes déjà sans doute tombé sur un « cookie wall » lors de la visite d’un site internet. Cette pratique abusive bloque le contenu du site tant que vous n’avez pas accordé votre consentement au recueil des cookies. Si vous cliquez sur « rejeter les cookies », pas de contenu non plus. Dans un pareil cas, puisque vous n’avez pas accès au site tant que vous n’avez pas cliqué sur le bouton « Accepter les cookies », le consentement est forcé et ne peut relever d’un véritable choix.
De plus, la personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service proposé par le site.
L’article 41 des guidelines du CEPD le dit clairement : les « cookie walls » ne constituent pas un consentement valide. L’utilisation de cette pratique viole donc la loi européenne sur la protection des données.
À lire aussi : Fin des cookies tiers : s’y préparer et s’adapter
2. Le recueil du consentement avant l’insertion ou la lecture de cookies
La CNIL considère que l’internaute doit pouvoir ne pas faire de choix lorsqu’un site auquel il se connecte lui demande son consentement.
L’interface servant à recueillir l’approbation du visiteur doit donc comporter une croix de fermeture permettant de fermer la fenêtre de consentement. Cliquer à l’extérieur de cette fenêtre pour la faire disparaître peut également être possible.
Enfin, l’article 86 du document, mis à jour par l’instance européenne, précise la question du scroll ou de toute autre action (clic) en cas de non choix de l’internaute. Cela ne peut pas non plus être considéré comme un accord tacite de l’internaute.
Il faut une démarche active pour que le consentement soit valable : si l’internaute refuse de choisir, le site doit traiter ce visiteur comme un individu ayant temporairement refusé de donner son consentement (en effet). Bien souvent, le site proposera de nouveau à cet internaute la fenêtre d’acceptation (ou non) des cookies à chaque visite, jusqu’à ce qu’il fasse son choix.
De la même manière, adhérer aux Conditions Générales d’Utilisation ne constitue pas non plus un consentement pour l’ensemble des cookies du site, pas plus que la création d’un compte, ni le fait d’être logué.
3. La fenêtre de consentement de l’internaute doit être loyale
Pour la CNIL, il faut que la représentation graphique des boutons « accepter » et « refuser » soit similaire afin d’éviter que le visiteur ne soit incité à agir d’une façon plutôt que d’une autre.
Attention : Il n’est donc pas possible d’afficher un énorme bouton vert « accepter », à côté d’un simple lien sans aucun esthétique, avec « refuser » en minuscule dans une couleur proche de celle de l’arrière-plan.
Cette pratique s’apparente à des interfaces truquées, ou dark patterns, qui visent à manipuler la décision individuelle.
4. Certains cookies exemptés
Le recueil du consentement n’est pas obligatoire : le consentement est supposé donné si un cookie s’avère nécessaire à la fourniture d’un service en ligne à la demande expresse de l’utilisateur, ou pour les opérations dont la finalité exclusive est de permettre ou faciliter l’usage d’un service en ligne.
Sont concernés, les cookies :
- Persistants de personnalisation de l’interface utilisateur
- Pour limiter l’accès gratuit à des contenus payants
- De panier d’achat pour un site marchand
- Servant à l’analyse et à la mesure de l’audience
- D’authentification sur un service
5. Redemander régulièrement le consentement
La CNIL fait mention que le consentement « peut être oublié par les personnes », mais aussi qu’elles ont le droit de changer d’avis. Vous devez donc vérifier à des intervalles « appropriés » que le visiteur est toujours d’accord (ou non) avec la décision qu’il a pris la première fois.
Qu’il s’agisse du refus ou de l’acceptation des cookies, la CNIL estime en outre que la durée de vie des cookies acceptés par l’internaute doit être de 13 mois maximum, et que cette durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.
Faites appel à des professionnels du référencement web en déposant votre projet sur Codeur.com. Recevez ainsi gratuitement de nombreux devis de prestataires freelances professionnels du SEO pour votre besoin !