Les éditeurs de sites Web et d’applications mobiles doivent demander l’accord (appelé « consentement ») de l’utilisateur pour déposer des cookies sur son appareil ou lire des cookies sur son appareil, sauf dans certains cas précis[1].

La façon dont ce consentement doit être obtenu est encadrée par le RGPD[2] et par la loi française « Informatique et Libertés »[3]. Des lignes directives[4] et des recommandations[5] ont également été publiées par la CNIL pour détailler les textes.

D’une manière générale, le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair »[6].

La bannière de consentement affichée aux utilisateurs devra donc leur permettre de faire un choix « libre », « spécifique », « éclairé » et « univoque ».

L’information à inclure dans la bannière de consentement

Pour obtenir un consentement valide, l’internaute doit être préalablement informé « de manière claire et complète »[7] des finalités des cookies utilisés, c’est-à-dire qu’il est nécessaire d’expliquer ce à quoi les cookies servent réellement. Ces informations doivent être expliquées « en des termes simples et compréhensibles par tous » en n’utilisant pas « une terminologie juridique ou technique trop complexe »[8].

Le choix des mots n’est pas imposé à partir du moment où ils permettent aux visiteurs de comprendre aisément. La CNIL recommande néanmoins que la finalité des cookies soit nommée d’une façon spécifique, en fonction de leur rôle :

  • si les cookies sont utilisés à des fins de publicité ciblée, le texte suivant est recommandé : « Publicité personnalisée : [nom du site] et [nos X éventuels partenaires] utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil » ;
  • si les cookies sont utilisés pour mesurer l’audience des publicités, le texte suivant est recommandé : « Publicité non personnalisée : [nom du site] et [nos X éventuels partenaires] utilisent des traceurs dans le but de mesurer l’audience de la publicité sur le site, sans vous profiler » ;
  • si les cookies sont utilisés pour à des fins de publicité géolocalisée, le texte suivant est recommandé : « Publicité géolocalisée : [nom du site] et [nos X éventuels partenaires] utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation » ;
  • si les cookies sont utilisés pour personnaliser le contenu du site, le texte suivant est recommandé : « Personnalisation de contenu : [nom du site] et [nos X éventuels partenaires] utilisent des traceurs pour personnaliser le [contenu éditorial / l’affichage de nos produits et services] du site en fonction de votre utilisation » ;
  • si les cookies sont utilisés pour partager des données avec les réseaux sociaux, le texte suivant est recommandé : « Partage sur les réseaux sociaux : [nom du site] utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux » ;

Ces finalités sont volontairement courtes pour faciliter la lisibilité et la compréhension du visiteur, mais elles ne sont pas suffisantes. D’autres informations complémentaires, plus précises, doivent aussi être communiquées par ailleurs aux visiteurs.

Au niveau du design, rien n’est imposé, mais il est recommandé qu’une brève description de la finalité des cookies soit affichée sur l’écran principal de la bannière de consentement et que des informations complémentaires soient affichées, soit dans un texte déroulant, soit dans un écran séparé.

Pour faciliter l’implémentation et parce qu’une image vaut parfois mieux qu’un long discours, la CNIL a publié un exemple de design avec un bouton permettant à l’internaute d’afficher des informations supplémentaires en utilisant un texte déroulant :

Un bouton déroulant nommé « Afficher plus d’informations »
Exemple d’une bannière de consentement avec un bouton déroulant. © CNIL

Un deuxième exemple de design a aussi été publié par la CNIL avec, cette fois-ci, un lien permettant à l’internaute d’accéder à des informations supplémentaires :

Un lien hypertexte nommé « En savoir plus »
Exemple d’une bannière de consentement avec un lien hypertexte. © CNIL

Par ailleurs, lorsque des cookies sont déposés pour le compte d’un tiers (appelé « partenaires » dans les intitulés et exemples précédents), des informations sur ces partenaires doivent également être communiquées, notamment : leur identité et un lien vers leur politique de traitement des données à caractère personnel.

Les informations sur les partenaires peuvent ne pas être affichées sur l’écran initial pour ne pas alourdir l’écran et complexifier la compréhension des internautes. À la place, un lien hypertexte peut, par exemple, être ajouté. L’exemple précédent réalisé par la CNIL utilise, par exemple, un lien hypertexte sur le terme « nos partenaires ».

La CNIL recommande également que cette liste de partenaires soit « à un endroit aisément accessible »[9] et, de préférence, organisée par catégorie ou par finalité. Un lien en bas de page, à côté du lien permettant de modifier son consentement, semble être un bon choix.

Les boutons à inclure dans la bannière de consentement

Le consentement de l’internaute « doit se manifester par un acte positif clair »[10] de sa part. La bannière de consentement doit donc permettre à l’utilisateur d’effectuer un choix : accepter l’utilisation de cookies ou s’y opposer. Il est même précisé que l’internaute doit pouvoir accepter les cookies ou s’y opposer « avec le même degré de simplicité »[11][12] avec « des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique »[13].

En plus des boutons d’acceptation et de refus, la CNIL recommande aussi de permettre à l’internaute de donner son consentement « de façon indépendante et spécifique pour chaque finalité distincte »[14].

Votre consentement : « Personnaliser mes choix », « Tout refuser », « Tout accepter »
Exemple d’une bannière de consentement permettant d’accepter, de refuser ou de personnaliser ses choix. © CNIL

Au niveau de la terminologie, rien n’est imposé, mais l’information associée à chaque bouton doit être « facilement compréhensible » et ne devrait pas être « rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir »[15]. Il est donc préférable de ne pas utiliser des tournures de phrase ambigües, « potentiellement trompeuses ».

Exemples d’une bannière de consentement conforme

La CNIL propose sur son site Web un design de bannière de consentement qui répond à toutes ses recommandations :

Des informations sur l’utilisation et sur la durée de conservation des données puis trois boutons : personnaliser mes choix, tout refuser, et tout accepter
Exemple d’une bannière de consentement réalisée par la CNIL. © CNIL

Un exemple d’écran permettant à l’internaute de personnaliser ses choix est également proposé :

Des informations sur l’utilisation et sur la durée de conservation des données puis trois boutons : personnaliser mes choix, tout refuser, et tout accepter
Exemple d’une bannière de consentement réalisée par la CNIL. © CNIL

Les aspects associés aux bannières de consentement

Lorsque le consentement de l’internaute est collecté, le choix de l’internaute doit être conservé pour éviter de le lui redemander constamment. La CNIL considère qu’une durée de conservation de six mois « constitue une bonne pratique »[16].

Par ailleurs, l’internaute doit pouvoir modifier son choix et retirer son consentement à partir d’un mécanisme « aisément accessible à tout moment »[17] et situé « dans une zone qui attire l’attention des utilisateurs ou dans des zones où ils s’attendent à le trouver »[18]. Un lien nommé, par exemple, « module de gestion des cookies », « gérer mes cookies » ou « cookies » est à privilégier.

Ne pas inciter les internautes à accepter

De nombreux acteurs du Web ont tendance à développer une bannière de consentement incitant les internautes à accepter les cookies, notamment les cookies publicitaires. Il est important de rappeler que :

  • le seul fait que l’internaute continue sa visite ne peut pas être considéré comme une acceptation de sa part[19] ;
  • l’acceptation des conditions générales d’utilisation ne peut pas être considérée comme une acceptation de sa part[20] ;
  • l’utilisation de cases précochées dans les paramètres du consentement ne peut pas être considérée comme une acceptation de sa part[21].

Des exemples à ne pas suivre

Le fait d’utiliser des cookies sans le consentement de l’internaute, de ne pas informer correctement l’internaute ou de ne pas lui permettre d’exprimer librement son choix peut être sanctionné par la CNIL :

  • Google[22], Amazon[23], Carrefour[24] ou Le Figaro[25] ont notamment été sanctionnés pour avoir utilisé des cookies sans le consentement des internautes ;
  • Facebook[26] et Google[27] ont été notamment sanctionnées pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter.

Notes et références

  1. De manière générale, les éditeurs de sites Web doivent obtenir le consentement des visiteurs lorsque des cookies sont utilisés, mais il existe des exceptions. Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  4. La CNIL a publié, le 17 septembre 2020, des lignes directives relatives à l’utilisation de cookies : Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »).
  5. La CNIL a publié, le 17 septembre 2020, des recommandations relatives à l’utilisation de cookies : Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».
  6. Le RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (source : RGPD, article 4-11).
  7. La législation demande, lorsque des cookies sont utilisés, que l’internaute soit « informé de manière claire et complète » (source : loi Informatique et Libertés, article 82).
  8. La CNIL indique que « l’information doit être rédigée en des termes simples et compréhensibles par tous et qu’elle doit permettre aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés. Elle considère que l’utilisation d’une terminologie juridique ou technique trop complexe est susceptible de rendre incompréhensible cette information par les utilisateurs » (source : CNIL, délibération n° 2020-091, 17 septembre 2020, article 2).
  9. La CNIL indique que la liste des partenaires doit être située « à un endroit aisément accessible » (source : CNIL, délibération N°2020-092, 17 septembre 2020, article 2-3).
  10. le RGPD indique que le consentement doit être « une déclaration ou par un acte positif clair » (source : RGPD, article 4-11). Cette même phrase est repris dans les lignes directrices de la CNIL (source : CNIL, délibération n° 2020-091, 17 septembre 2020, article 2).
  11. Le RGPD indique qu’il doit être « aussi simple de retirer que de donner son consentement » (source : RGPD, article 7-3).
  12. Les recommandations de la CNIL indiquent que les responsables de traitement de données personnelles doivent « offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité » (source : CNIL, Délibération 2020-092, 17 septembre 2020, article 2-4).
  13. La CNIL recommande d’utiliser « des boutons [d’acceptation et de refus des cookies] et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique » (source : CNIL, Délibération 2020-092, 17 septembre 2020, article 2-4).
  14. La CNIL recommande de permettre aux internautes de donner leur consentement « de façon indépendante et spécifique pour chaque finalité distincte » (source : CNIL, Délibération 2020-092, 17 septembre 2020, article 2-4).
  15. La CNIL recommande que l’information associée aux éléments de la bannière de consentement soit « facilement compréhensible » et ne devrait pas être « rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir » (source : CNIL, Délibération 2020-092, 17 septembre 2020, article 2-4).
  16. La CNIL recommande de conserver le choix de l’internaute « pendant une durée de 6 mois », ce qu’elle considère constituer « une bonne pratique de la part des éditeurs » (source : CNIL, délibération N°2020-092, 17 septembre 2020, article 2-4).
  17. La CNIL « recommande que les solutions permettant aux utilisateurs de retirer leur consentement soient aisément accessibles à tout moment » (source : CNIL, délibération N°2020-092, 17 septembre 2020, article 3).
  18. La CNIL indique que « le mécanisme permettant de gérer et de retirer son consentement soit placé dans une zone qui attire l’attention des utilisateurs ou dans des zones où ils s’attendent à le trouver, et que les visuels utilisés soient les plus explicites possibles » (source : CNIL, délibération N°2020-092, 17 septembre 2020, article 3).
  19. La CNIL indique que « toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus de consentir » (source : CNIL, délibération n° 2020-092, 17 septembre 2020, article 2).
  20. La CNIL indique que le consentement doit être « spécifique » et « ne peut être valablement recueilli via une acceptation globale de conditions générales d’utilisation » (source : CNIL, délibération n° 2020-091, 17 septembre 2020, article 2).
  21. La CJUE a indiqué que l’utilisation de cases ne peut être considérée comme un acte positif clair visant à donner son consentement (source : CJUE, C-673/17, 1er octobre 2019).
  22. La CNIL a sanctionné Google pour avoir utilisé des cookies sans le consentement des internautes (source : CNIL, SAN-2020-012, 7 décembre 2020, Google). Voir « GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes ».
  23. La CNIL a sanctionné Amazon pour avoir utilisé des cookies sans le consentement des internautes (source : CNIL, SAN-2020-013, 7 décembre 2020, Google). Voir « AMAZON sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes ».
  24. La CNIL a sanctionné le groupe Carrefour pour avoir utilisé des cookies sans le consentement des internautes (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  25. La CNIL a sanctionné le journal Le Figaro pour avoir utilisé des cookies sans le consentement des internautes (source : CNIL, SAN-2021-013, 27 juillet 2021, Le Figaro). Voir « Le journal LE FIGARO sanctionné pour avoir utilisé des cookies publicitaires sans informer les internautes ».
  26. La CNIL a sanctionné la société Facebook pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter (source : CNIL, SAN-2021-024, 31 décembre 2021, Facebook). Voir « FACEBOOK sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter ».
  27. La CNIL a sanctionné Google pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter (source : CNIL, SAN-2021-023, 31 décembre 2021, Google). Voir « GOOGLE sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter ».