Oui, l’utilisateur doit donner son accord avant de pouvoir déposer des cookies sur son appareil ou de lire les cookies présents dans son appareil.

« Ces dispositions imposent ainsi le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, en dehors des exceptions applicables. »

— Article 0, Délibération n° 2020-091 du 17 septembre 2020.

La loi1 indique cependant que les cookies utilisés pour assurer le fonctionnement du service peuvent cependant être utilisés sans le consentement de l’utilisateur :

« l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. »

Les cookies suivants ne nécessitent donc pas, par exemple, le consentement de l’internaute :

  • les cookies utilisés pour l’authentification ;
  • les cookies permettant le fonctionnement du panier d’un site d’e-commerce, ou de la facturation ;
  • les cookies utilisés pour personnaliser l’interface, comme la langue ;
  • les cookies utilisés pour conserver le choix de l’utilisateur vis-à-vis des cookies, c’est-à-dire son acceptation ou son refus.

Les cookies utilisés pour mesurer l’audience d’un site Web nécessitent globalement le consentement de l’utilisateur, sauf dans certains précis2.

La CNIL3, organe de contrôle français, a déjà sanctionné bon nombre d’entreprises pour avoir utilisé des cookies sans le consentement de l’utilisateur, notamment Carrefour4, Google5, Amazon6 ou Brico Privé7.

Notes et références

  1. Le texte principal encadrant les cookies est l’Article 82 de la Loi Informatique et Libertés.
  2. Les outils de mesure d’audience sont exemptés de consentement s’ils respectent certains critères précis. Voir « Doit-on demander le consentement des visiteurs avant d’utiliser des cookies de mesure d’audience ? ».
  3. CNIL : Commission Nationale de l’Informatique et des Libertés.
  4. Les sociétés Carrefour France et Carrefour Banque ont été sanctionnées par la CNIL pour avoir, notamment, utilisé des cookies sans le consentement des utilisateurs. Voir « Délibération de la CNIL contre la société Carrefour France du 18 novembre 2020 (SAN-2020-008) » et « Délibération de la CNIL contre la société Carrefour Banque du 18 novembre 2020 (SAN-2020-009) ».
  5. La société Google a été sanctionnée par la CNIL pour avoir utilisé des cookies sans le consentement des utilisateurs. Voir « Délibération de la CNIL contre la société Google du 7 décembre 2020 (SAN-2020-012) ».
  6. La société Amazon a été sanctionnée par la CNIL pour avoir utilisé des cookies sans le consentement des utilisateurs. Voir « Délibération de la CNIL contre la société Amazon du 7 décembre 2020 (SAN-2020-013) ».
  7. La société Brico Privé a été sanctionnée par la CNIL pour avoir, notamment, utilisé un compte commun pour accéder aux bases de données contenant des données à caractère personnel. Voir « Délibération de la CNIL contre la société Brico Privé du 12 juin 2021 (SAN-2021-008) ».