Cookies et traceurs : que dit la loi ?

L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

« Tout site web qui dépose des traceurs doit donc proposer à l’internaute un moyen de les refuser lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site ou à un service demandé par l’internaute. »

Qu’entend-on par les termes « cookies » ou  » traceurs « ?

Les traceurs peuvent être déposés ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel.

Le terme de traceur peut notamment recouvrir :

  • les cookies et des variables HTTP, qui peuvent notamment transiter par des pixels invisibles ou des « web beacon » ;
  • les cookies « flash » ;
  • les accès aux informations du terminal depuis des API (LocalStorage, IndexedDB, identifiants publicitaires tels que l’IDFA ou l’android ID, l’accès au GPS, etc.),
  • tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).

La loi s’applique quel que soit le type de terminal utilisé : ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéo connectées à Internet ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public.

Par commodité, le terme « traceurs » recouvre l’ensemble de ces technologies.

 

Comment mettre en application ces règles ?

Les propriétaires de sites/blog ou d’applications qui utilisent des cookies doivent :

1) Informer les internautes

Par le biais par exemple d’un bandeau qui propose l’information sur les finalités de chaque type de cookies sous forme de tableau qui répertorie les différents types de cookies, dès l’arrivée de l’utilisateur sur le site

2) Obtenir le consentement des utilisateurs, selon le type de cookies

Les différents types de cookies :
Certains cookies et des traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur sont exemptés de consentement.

Selon la CNIL, les traceurs suivants ne requièrent pas de consentement :

  • les cookies de  « panier d’achat  » pour un site marchand ;
  • les cookies  « identifiants de session »  , pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas ;
  • les cookies d’authentification ;
  • les cookies de session créés par un lecteur multimédia ;
  • les cookies de session d’équilibrage de charge ( » load balancing « ) ;
  • certaines solutions d’analyse de mesure d’audience (analytics) ;
  • les cookies persistants de personnalisation de l’interface utilisateur (choix de langue ou de présentation).

A contrario, les cookies nécessitant une information préalable et une demande de consentement sont, par exemple :

  • les cookies liés aux opérations relatives à la publicité ;
  • les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux lorsqu’ils collectent des données personnelles sans consentement des personnes concernées ;
  • certains cookies de mesure d’audience ;

Si vous avez des cookies nécessitant un consentement, il faut informer les internautes sur leurs droits (via « En savoir plus » dans un bandeau par exemple) avec les informations suivantes :

  • Coordonnées du délégué à la protection des données (DPO ou DPD) de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
  • Finalité poursuivie par le traitement auquel les données sont destinées ;
  • Caractère obligatoire ou facultatif des réponses et conséquences éventuelles à l’égard de l’internaute d’un défaut de réponse ;
  • Destinataires ou catégories de destinataires des données ;
  • Droits d’opposition, d’interrogation, d’accès et de rectification ;
  • Au besoin, transferts de données à caractère personnel envisagés à destination d’un État n’appartenant pas à l’Union européenne ;
  • Base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat notamment) ;
  • Droit d’introduire une réclamation auprès de la Cnil.

3) Proposer une solution technique qui permet d’obtenir le consentement ou le refus de l’utilisateur entièrement ou partiellement concernant les différents types de cookies (à voir avec votre prestataire).