Les éditeurs de sites Internet doivent informer les visiteurs et demander leur consentement pour utiliser des cookies.

La façon dont l’information doit être donnée et la façon dont le consentement du visiteur est obtenu sont encadrées et détaillées dans la loi Informatique et Libertés1 et dans le RGPD2.

Les textes exigent notamment que :

  • le visiteur soit informé des finalités des mécanismes utilisés, de manière claire, avec des informations facilement compréhensibles ;
  • le visiteur sache comment s’opposer à l’utilisation de cookies ;
  • le visiteur ne subisse pas de préjudice en cas d’opposition ;
  • le visiteur puisse accepter ou refuser l’utilisation de cookies aussi facilement ;
  • le consentement du visiteur découle d’une action de sa part ;
  • le choix du visiteur soit conservé ;
  • le visiteur puisse retirer son consentement.

Le choix des mots et le design utilisé ont une importance capitale pour assurer une bonne compréhension du visiteur et garantir la légalité de consentement obtenu.

La CNIL recommande3, par exemple, que la finalité des cookies et traceurs soit nommée d’une façon spécifique, en fonction de leur rôle :

  • pour la publicité ciblée : « Publicité personnalisée : [nom du site] et nos partenaires utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil » ;
  • pour mesurer l’audience des publicités : « Publicité non personnalisée : [nom du site] et nos partenaires utilisent des traceurs dans le but de mesurer l’audience de la publicité sur le site, sans vous profiler » ;
  • pour la publicité géolocalisée : « Publicité géolocalisée : [nom du site] et nos partenaires utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation » ;
  • pour la personnalisation du contenu du site : « Personnalisation de contenu : [nom du site] et nos partenaires utilisent des traceurs pour personnaliser le [contenu éditorial / l’affichage de nos produits et services] du site en fonction de votre utilisation » ;
  • pour le partage des données avec les réseaux sociaux : « Partage sur les réseaux sociaux : [nom du site] utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux » ;

Ces finalités sont volontairement courtes pour faciliter la lisibilité et la compréhension du visiteur, mais ne sont pas suffisantes. D’autres informations complémentaires doivent aussi être communiquées aux visiteurs, notamment la liste exhaustive des prestataires déposant des cookies ainsi qu’un lien vers leur politique de traitement des données personnelles. Ces informations complémentaires doivent être intégrées à la politique de confidentialité du site dans une section dédiée, nommée de préférence « liste des sociétés utilisant des traceurs sur [nom du site] ».

Ces informations concernent uniquement les prestataires déposant des cookies sur le site Internet et complètent les informations obligatoires4 exigées par RGPD lorsque des données à caractère personnel sont collectées par l’éditeur du site.

Au niveau du design, le visiteur doit pouvoir avoir la possibilité de :

  • accepter l’ensemble des traitements ;
  • accepter uniquement les traitements qui ont une finalité particulière ;
  • refuser l’ensemble des traitements.

Des exemples de bandeaux de consentement répondant à tous ces critères sont proposés5 sur le site Internet de la CNIL :

Des informations sur l’utilisation et sur la durée de conservation des données puis trois boutons : personnaliser mes choix, tout refuser, et tout accepter
Exemple d’une bannière de consentement réalisée par la CNIL

Une autre version, légèrement différente, mais également acceptable :

Des informations sur l’utilisation et sur la durée de conservation des données puis trois boutons : personnaliser mes choix, tout refuser, et tout accepter
Exemple d’une bannière de consentement réalisée par la CNIL

Notes et références

  1. Le texte principal encadrant l’utilisant des cookies est l’Article 82 de la Loi Informatique et Libertés. Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  2. RGPD : Règlement Général de Protection des Données.
  3. Les recommandations de la CNIL sur les cookies, voir « Délibération n° 2020-092 du 17 septembre 2020 ».
  4. le RPGD impose que certaines informations doivent être communiquées lorsque des données à caractère personnel sont collectées. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont collectées ? ».
  5. La CNIL propose des exemples de bandeaux de consentement. Voir « Cookies et traceurs : comment mettre mon site web en conformité ? ».