Oui, le consentement de l’internaute doit être obtenu avant d’utiliser des cookies, sauf dans certains cas précis.

De manière générale, la loi[1] française demande de recueillir le consentement des internautes avant de déposer des cookies sur l’appareil de l’internaute ou de lire les cookies présents dans son appareil.

« Ces accès ou inscriptions [de cookies] ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé […] son consentement »

Il existe cependant des exceptions à cette règle lorsque l’utilisation de ces cookies « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ou lorsque l’utilisation de ces cookies « est strictement nécessaire à la fourniture d’un service de communication en ligne ».

Il n’existe pas une liste exhaustive de finalités qui répondent à ces conditions d’exemption. C’est à l’éditeur de justifier que le cookie qu’il souhaite utiliser répond à l’une ou l’autre de ces conditions s’il souhaite l’utiliser sans obtenir le consentement préalable de la personne.

À titre d’exemple, la CNIL estime que l’utilisation de cookies pour les finalités suivantes ne nécessite généralement pas le consentement de l’internaute[2] :

  • les cookies utilisés pour assurer le fonctionnement de l’authentification ;
  • les cookies utilisés pour conserver le panier d’un site d’e-commerce ou pour assurer le fonctionnement de la facturation ;
  • les cookies utilisés pour personnaliser la langue de l’interface ;
  • les cookies utilisés pour conserver le choix de l’utilisateur vis-à-vis des cookies, c’est-à-dire son acceptation ou son refus.

Les cookies utilisés pour mesurer l’audience d’un site Web nécessitent globalement le consentement de l’utilisateur, sauf s’ils répondent à certaines exigences précises. Voir « Doit-on obtenir le consentement des visiteurs pour utiliser des cookies de mesure d’audience ? ».

Par ailleurs, il est important de rappeler que le consentement peut être obtenu uniquement si l’internaute a préalablement été informé « de manière claire et complète » de la finalité des cookies utilisés et des moyens dont dispose l’internaute pour s’y opposer. Voir « Comment demander le consentement des visiteurs lorsque des cookies sont utilisés ? »

La CNIL a déjà sanctionné bon nombre d’entreprises pour avoir utilisé des cookies sans le consentement de l’utilisateur, notamment Carrefour[3], Google[4], Amazon[5] ou Brico Privé[6].

Notes et références

  1. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  2. Les exemples de finalités exemptées de consentement sont tirées des lignes directrices de la CNIL (source : CNIL, délibération n° 2020-091, 17 septembre 2020).
  3. Les sociétés Carrefour France et Carrefour Banque ont été sanctionnées par la CNIL pour avoir, notamment, utilisé des cookies sans le consentement des utilisateurs (source : CNIL, délibérations SAN-2020-008 et SAN-2020-009, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements » et « CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
  4. La société Google a été sanctionnée par la CNIL pour avoir utilisé des cookies sans le consentement des utilisateurs (source : CNIL, SAN-2020-012, 7 décembre 2020, Google). Voir « GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes ».
  5. La société Amazon a été sanctionnée par la CNIL pour avoir utilisé des cookies sans le consentement des utilisateurs (source : CNIL, SAN-2020-013, 7 décembre 2020, Amazon). Voir « AMAZON sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes ».
  6. La société Brico Privé a été sanctionnée par la CNIL pour avoir notamment une trentainde cookies publicitaires sans le consentement des utilisateurs (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés