Oui, l’utilisateur doit donner son accord avant de pouvoir déposer des cookies sur son appareil ou de lire les cookies présents dans son appareil.

« Ces dispositions imposent ainsi le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, en dehors des exceptions applicables. »

La loi[1] indique cependant que les cookies utilisés pour assurer le fonctionnement du service peuvent être utilisés sans le consentement de l’utilisateur :

« l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. »

Les cookies suivants ne nécessitent donc pas, par exemple, le consentement de l’internaute :

  • les cookies utilisés pour l’authentification ;
  • les cookies permettant le fonctionnement du panier d’un site d’e-commerce, ou de la facturation ;
  • les cookies utilisés pour personnaliser l’interface, comme la langue ;
  • les cookies utilisés pour conserver le choix de l’utilisateur vis-à-vis des cookies, c’est-à-dire son acceptation ou son refus.

Les cookies utilisés pour mesurer l’audience d’un site Web nécessitent globalement le consentement de l’utilisateur, sauf dans certains précis[2].

La CNIL[3], organe de contrôle français, a déjà sanctionné bon nombre d’entreprises pour avoir utilisé des cookies sans le consentement de l’utilisateur, notamment Carrefour[4], Google[5], Amazon[6] ou Brico Privé[7].

Notes et références

  1. Le texte principal encadrant les cookies est l’article 82 de la Loi Informatique et Libertés.
  2. Les outils de mesure d’audience sont exemptés de consentement s’ils respectent certains critères précis. Voir « Doit-on demander le consentement des visiteurs avant d’utiliser des outils de mesure d’audience ? ».
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. Les sociétés Carrefour France et Carrefour Banque ont été sanctionnées par la CNIL pour avoir, notamment, utilisé des cookies sans le consentement des utilisateurs (source : CNIL, délibérations SAN-2020-008 et SAN-2020-009, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements » et « CARREFOUR BANQUE sanctionnée pour avoir traité partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
  5. La société Google a été sanctionnée par la CNIL pour avoir utilisé des cookies sans le consentement des utilisateurs (source : CNIL, SAN-2020-012, 7 décembre 2020, Google). Voir « GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes ».
  6. La société Amazon a été sanctionnée par la CNIL pour avoir utilisé des cookies sans le consentement des utilisateurs (source : CNIL, SAN-2020-013, 7 décembre 2020, Amazon). Voir « AMAZON sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes ».
  7. La société Brico Privé a été sanctionnée par la CNIL pour avoir notamment utilisé un compte commun pour accéder aux bases de données contenant des données à caractère personnel (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité ».