Skip to content

👋 Bonjour, nous sommes ravis de vous revoir ! Cliquez ici pour reprendre votre démarche

Se connecter
Téléphone Connexion
Besoin d’aide pour trouver le bon service ? Nos experts sont là. 01 76 39 00 60
Prendre rendez-vous avec un expert
Fiches pratiques Gérer une entreprise RGPD Cookies informatiques : comment être en conformité ?

Cookies informatiques : comment être en conformité ?

RGPD
L G

Lysia Gonzalez

Diplômée d'un Master 2 en Droit des affaires et gestion des entreprises. 


Sous la direction de Pierre Aïdan, docteur en droit et diplômé de Harvard.

Lorsque vous naviguez sur internet, vous êtes systématiquement confronté aux cookies, que l’on vous demande d’accepter. Si malgré les nombreuses cases “tout accepter” cochées, vous n’avez jamais reçu de gâteaux dans votre boite aux lettres, c’est parce que ces cookies ont une définition informatique.

Mais concrètement, qu’est-ce qu’un cookie en informatique ? À quoi servent les cookies sur Google ? Pourquoi des cookies sont-ils présents sur les sites que vous visitez ? Votre entreprise utilise-t-elle des cookies, et dans ce cas, êtes-vous en conformité avec la règlementation en vigueur ? Legalstart répond enfin à toutes vos questions !

Qu’est-ce-qu'un cookie informatique ?

Les cookies informatiques, par définition, sont des fichiers informatiques, de petite taille, déposés sur le terminal d’un utilisateur lors de la consultation d’un site internet, qui conservent des informations. Ces dernières sont réutilisées lors des visites futures sur le site. Autrement dit, lorsque vous arrivez sur la page d’un site internet, un fichier est envoyé sur votre ordinateur ou votre smartphone et sera renvoyé si vous visitez à nouveau le site.

  • Lorsque le cookie informatique est associé au domaine du site, c’est-à-dire qu’il est déposé par le site que vous êtes en train de visiter, on parle de cookie interne.

  • Lorsque le cookie informatique est associé à un domaine différent de celui du site que vous visitez, on parle cookie tiers. Les tiers sont consultés par le site et non directement par vous.

Pourquoi utiliser un cookie informatique ?

Au vu de la définition des cookies en informatique, quelle est donc leur utilité pour une entreprise ? À quoi servent les cookies ?
 
Les cookies ont plusieurs objectifs :
 
  • ils permettent de mémoriser des informations concernant les utilisateurs telles que l’identifiant client, le contenu d’un panier d’achat ou encore les préférences du visiteur (choix d’une langue, etc.) ; et

  • ils permettent de tracer la navigation de l’utilisateur sur le site, afin de réaliser des statistiques ou dans un but publicitaire.
Grace aux informations récoltées avec les cookies, vous pouvez :
 
  • évaluer le trafic sur votre site internet et déterminer où il est le plus important ;
  • personnaliser l’expérience de votre client pour chacune de ses visites ; et
  • cibler votre clientèle et adapter votre démarchage.

Cookie informatique : suis-je concerné par la règlementation ?

Dès lors que vous utilisez des cookies sur votre site internet, vous devez vous interroger sur leur règlementation. Si certains cookies imposent des conditions particulières à respecter, d’autres échappent à ces règles.
 
Ne sont pas concernés par la règlementation :
 
  • les cookies strictement nécessaires à la fourniture d’un service de communication expressément demandé par l’utilisateur ; et
  • les cookies ayant comme finalité exclusive de permettre ou faciliter une communication par voie électronique.
Les cookies ne répondant pas à ces finalités sont soumis à la règlementation et aux exigences qui en découlent. Les personnes soumises à ces obligations sont les éditeurs de sites web et d’applications mobiles, les régies publicitaires et les réseaux sociaux.
 

Utilisation d’un cookie informatique : suis-je en conformité avec la réglementation ?

Le RGPD et la directive ePrivacy, transposés en droit français par la loi informatique et libertés, encadrent l’utilisation des cookies. La principale condition est le recueil du consentement de l’utilisateur au dépôt et à la lecture de ces traceurs sur son appareil.

L’obligation de recueil du consentement de l’utilisateur

Dans quel cas le recueil du consentement est-il obligatoire ? 

Dès qu’un cookie informatique ne répond pas aux finalités présentées précédemment ou n’est pas précisément visés par une exception légale, il est obligatoire de recueillir le consentement de l’utilisateur. 
 

Exemple : cookies liés aux opérations de publicité personnalisée ou ceux générés par les boutons de partage sur les réseaux sociaux.

Quels cookies bénéficient d’une exemption de l’obligation de consentement ? 

Selon la CNIL, certains cookies spécifiques ne requièrent pas le consentement des utilisateurs : 
 
  • les cookies destinés à l’authentification, visant notamment à éviter les fraudes ;
  • les cookies ayant pour but la personnalisation de l’interface utilisateur ;
  • les cookies limitant l’accès gratuit à un échantillon de contenu payant ; et
  • les cookies nécessaires à la mise en œuvre d’un service de remboursement partiel “cashback” ou de récompenses et avantages “reward”.

Le cas particulier des traceurs de mesure d’audience. 

La CNIL considère que ces traceurs, dans une certaine limite, sont nécessaires au fonctionnement d’un site. Pour être exemptés, ces cookies doivent se limiter strictement à la mesure d’audience de l’éditeur. Ils doivent également produire des données anonymes et ne pas permettre un suivi global de la navigation d’un utilisateur. Les données recueillies ne doivent en aucun cas être transmises à des tiers.
 

Comment recueillir le consentement de l’utilisateur ?

Le recueil du consentement de l’utilisateur est obligatoire, mais doit répondre à certaines exigences pour être valide. Selon le RGPD, il doit être “libre, spécifique, éclairé et univoque”. 
 
Tout d’abord, le consentement doit être préalable à tout dépôt ou lecture de traceurs sur l’appareil de l’utilisateur.
 

L’utilisateur doit être informé sur les finalités poursuivies par le cookie informatique, les conséquences de son acceptation et l’identité des responsables de traitement. Cette information doit être mise en évidence, être complète et communiquée en des termes compréhensibles.

📝 À noter : vous pouvez utiliser 2 niveaux d’informations, une information générale sur la finalité des cookies et l’autre sur la possibilité d’obtenir des précisions supplémentaires en proposant à l’utilisateur de se rendre sur une page contenant la totalité des informations.

Le consentement de l’utilisateur est requis à chaque fois qu’une nouvelle finalité est ajoutée à celles pour lesquelles il a initialement donné son accord.
 
Le consentement doit se matérialiser par une action positive et représenter un choix réel.
 

🛠️ En pratique : cela signifie que l’utilisateur doit pouvoir accepter comme refuser les cookies, sélectionner les cookies qu’il accepte ou non, et pouvoir retirer son consentement à tout moment, avec la même simplicité.

Si vous utilisez des cookies nécessitant le consentement de l’utilisateur, vous devez être en mesure de prouver que celui-ci a bien été recueilli. 
 
Exemple : une capture d’écran horodatée peut être conservée.

Quelles sont les bonnes pratiques à adopter ?

Les informations sur un cookie informatique doivent-elles apparaitre avec les boutons “accepter” et “refuser” ? Oui. Les informations concernant les finalités poursuivies par les traceurs doivent être accessibles à l’utilisateur au moment du recueil du consentement. Vous pouvez utiliser une Consent Management Platform pour une gestion optimisée de vos cookies informatiques.
 
Comment permettre à l’utilisateur de retirer simplement son consentement ? L’utilisateur à un droit de retrait de son consentement, qui doit être exercé aussi facilement que le don de celui-ci. Il doit pouvoir le retirer à tout moment. Pour répondre à cette exigence, vous pouvez mettre à sa disposition un lien directement accessible avec un bouton “gérer mes cookies”, disponible sur toutes les pages du site.
 
La possibilité de refuser les traceurs peut-elle se trouver uniquement sur le second niveau d’information ? Non. Il est recommandé de présenter l’option de refuser sur le même écran que celle d’accepter. Par exemple, vous ne devez pas placer le bouton de refus seulement sur une page de paramétrage des choix qui n’est pas directement présentée à l’utilisateur. Cette méthode ne donne pas un choix réel à l’utilisateur.
 
L’acceptation des conditions générales d’utilisation (CGU) par l’utilisateur vaut-elle consentement aux cookies ? Non. Le consentement à l’utilisation de traceurs est indépendant de l’acceptation des CGU d’un site internet.
 
La poursuite de la navigation par l’utilisateur vaut-elle consentement aux cookies ? Non. La poursuite de la navigation sur le site ne constitue pas un acte positif de la part de l’utilisateur et ne peut donc pas s’interpréter comme une manifestation de son consentement. Au contraire, elle doit être considérée comme un refus.
 
Gestion des cookies
 

Cookie wall : les nouveaux critères d’évaluation de la CNIL

Le cookie wall se définit comme le fait de conditionner l’accès à un service par l’utilisateur, à l’acceptation du dépôt de traceurs sur son appareil. Cette pratique s’est généralisée en raison de la source de rémunération que constituent les traceurs pour les éditeurs de site web, grâce à la revente des données récoltées. Le refus de l’utilisateur peut représenter une perte de revenu. Certains sites vont même imposer une contrepartie financière en cas de refus des traceurs pour permettre l’accès au site à l’utilisateur. On parle alors de paywall.
 
Aujourd'hui, aucune loi n’encadre le cookie wall. La CNIL a donc établit des critères d’évaluation afin d’apprécier leur légalité. 
 
  • En cas de refus des traceurs, l’utilisateur a-t-il une alternative équitable à disposition pour accéder au contenu ?
  • Si l’alternative est payante, le tarif demandé est-il raisonnable ?
  • Le cookie wall se limite-t-il à l’objectif poursuivi ?
  • L'éditeur demande-t-il bien le consentement de l’internaute pour chaque cookie conditionnant l’accès aux contenus spécifiques ?
Vous savez maintenant à quoi sert un cookie !
LG

Lysia Gonzalez

Diplômée d'un Master 2 en Droit des affaires et gestion des entreprises. 

Sous la direction de Pierre Aïdan, docteur en droit et diplômé de Harvard.

Fiche mise à jour le

Une question ?
💡 Consultez nos experts ! 

Prendre rendez-vous avec un expert