Une bannière de cookies - mais alors faite correctement ! Tu dois tenir compte des 7 points suivants

Mario Steinberg Dernière mise à jour le 10.11.2020
6 Min.
bannière de cookie RGPD vie privée

L'apparence des bannières de cookies a changé récemment sur de nombreux sites web. Dans le passé, vous ne disposiez que d'une petite fenêtre contextuelle avec un avis succinct indiquant que certains "cookies" non spécifiés sont placés sur le site web. Aujourd'hui, vous obtenez souvent une liste des différents cookies et vous pouvez choisir, grâce à des cases à cocher, lesquels sont acceptés ou non. Pourquoi est-ce le cas - et qu'est-ce qui est correct maintenant ?

Cet article apporte un éclairage sur les bannières de cookies et explique comment concevoir correctement l'avis de cookie sur votre site web. Mais avant d'entrer dans les détails, il est nécessaire de comprendre quand et pourquoi vous avez besoin d'une bannière de cookie en premier lieu.

Les cookies sont des informations qui sont stockées dans l'appareil final du visiteur du site web (PC, smartphone, etc.). D'une part, ceux-ci sont nécessaires pour afficher correctement un site web ("cookies techniquement nécessaires"). D'autre part, ils sont également définis à d'autres fins, par exemple pour analyser le comportement des visiteurs du site web, à des fins publicitaires ou lors de l'intégration du Plugins social. (Note : Dans ce qui suit, le terme "cookies" fait également référence à des technologies comparables telles que le comptage de pixels, etc.) 

Examinons d'abord la situation juridique actuelle. À cet égard, depuis l'entrée en vigueur de la RGPD (Règlement (UE) 2016/679) le 25.05.2018, les dispositions suivantes s'appliquent :

Si l'enregistrement de cookies sur l'appareil terminal du visiteur du site Web n'a pas lieu pour protéger les intérêts légitimes de l'exploitant du site Web ou d'un tiers, le consentement du visiteur du site Web est nécessaire à cet effet, conformément à l'article 6, paragraphe 1 RGPD .

bannière de cookie RGPD

Étant donné que les intérêts légitimes de l'opérateur du site web ou de tiers doivent être mis en balance avec les intérêts ou les droits et libertés fondamentaux du visiteur du site web, il est souvent difficile de déterminer quels intérêts prévalent dans les cas individuels.

Un intérêt légitime dans le fonctionnement d'un site web est bien sûr toujours que le site s'affiche correctement. Les cookies nécessaires à cette fin sont donc toujours inclus dans l'intérêt légitime de l'exploitant du site web. 

Il devient plus difficile lorsque des cookies sont installés pour analyser le comportement du visiteur du site web ou à des fins publicitaires. Dans ce cas, il n'est souvent pas possible d'exclure que les intérêts des visiteurs du site web soient davantage pris en compte par les autorités de contrôle de la protection des données et/ou les tribunaux en cas de litige.

Outre les cookies techniquement nécessaires, la configuration des cookies doit donc toujours être basée sur le consentement du visiteur du site web. Ce consentement est classiquement obtenu par le biais d'une case à cocher.

Il ne faut pas se cacher que cette situation juridique pourrait changer avec l'entrée en vigueur du règlement sur la vie privée en ligne. Toutefois, étant donné que le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques est toujours en cours de discussion politique, l'application du site RGPD - et donc l'obtention préventive du consentement au moyen d'une case à cocher - restera en place pour le moment en ce qui concerne les cookies & co. Vous pouvez lire les détails dans mon article Le règlement sur la vie privée en ligne : que vous réserve-t-il ?"article.

Concevoir correctement une bannière de cookie n'est pas si difficile. Il est juste important de garder quelques éléments à l'esprit, que je vais vous présenter ci-dessous.

#N°1 Le bon moment

Il est important que la bannière de cookie apparaisse immédiatement lorsque le site web est appelé et que, dans un premier temps, aucun cookie ne soit installé et qu'aucune donnée ne soit transmise à des tiers (par exemple via un site social Plugin).

#2 Le bon endroit

En outre, il faut veiller à ce qu'aucun autre contenu essentiel ne soit couvert : La bannière de cookie est souvent placée dans la zone de bas de page - et couvre le lien vers les mentions légales et/ou la politique de confidentialité.

#3 Volontariat 

Il est également important que la poursuite de la visite du site web ne dépende pas du consentement du visiteur à l'installation de tous les cookies. Même si le consentement n'est donné que pour l'installation de cookies techniquement nécessaires, il doit être possible de visiter le site web. Bien entendu, il est clair que certaines fonctions du site web peuvent ne pas fonctionner correctement en l'absence de consentement.  

#4 Dénombrement complet de tous les cookies

La bannière des cookies doit énumérer les différents cookies ou - s'ils sont trop nombreux - au moins les différents contextes (cookies techniquement nécessaires, cookies d'analyse, cookies à des fins publicitaires, etc.) ; si seuls les contextes sont mentionnés, ceux-ci doivent être expliqués plus en détail en cliquant dessus dans une autre fenêtre et les différents cookies doivent y être spécifiés.    

#5 Cases à cocher avec opt-in

Le consentement sur les sites web est obtenu de manière raisonnable au moyen de cases à cocher.

Cela signifie qu'il y a une case à cocher distincte par cookie - ou par contexte de cookie - dans la bannière de cookie. 

Il est important que seule la case à cocher des cookies techniquement nécessaires soit déjà cochée - les cases à cocher de tous les autres cookies doivent être vides. En cliquant sur les cases à cocher restantes, le visiteur du site web peut maintenant décider lui-même quels cookies ou contextes il accepte ou non.

Le contexte juridique est le suivant : 

Si le consentement est obtenu au moyen d'une case à cocher, il y a essentiellement deux possibilités : Opt-in ou Opt-out. La différence est qu'avec l'opt-in, la case à cocher est initialement vide et le visiteur du site web doit activement donner son consentement en cliquant sur la case ou en cochant la case. Avec l'opt-out, la case est déjà cochée par défaut - le consentement est donc déjà donné - et le visiteur du site web doit supprimer activement la coche en cliquant sur la case.

De nombreux propriétaires de sites web utilisent l'opt-out par défaut. Probablement parce qu'ils savent que la plupart de leurs visiteurs veulent se rendre rapidement sur le site web et donc cliquer sur le bouton OK de la bannière du cookie - sans lire le texte de la bannière ni penser à ce pour quoi ils donnent leur consentement.

Pourquoi l'opt-out n'est pas suffisant

Même si cette approche est répandue, elle n'est pas juridiquement correcte. Le consentement nécessite une action active de la part du visiteur du site web. Par conséquent, seul l'opt-in, c'est-à-dire le fait que le visiteur du site web donne activement son consentement - par exemple à l'utilisation d'un outil d'analyse tel que Google Analytics - en cochant la case, est juridiquement acceptable.

On pourrait faire valoir qu'avec l'opt-out, le consentement réel réside dans le fait de cliquer sur le bouton OK de la bannière du cookie. Mais c'est marcher sur une mince couche de glace. Selon le considérant 32 du site RGPD , les dispositions suivantes s'appliquent en matière de consentement (accent par moi) :

line infobox

"Le consentement doit être donné par un un acte affirmatif sans ambiguïté librement donné, au cas par cas, de manière informée et non équivoque, que la personne concernée consent au traitement des données à caractère personnel la concernant, comme une déclaration écrite, qui peut également être faite par voie électronique, ou une déclaration orale.

Cela pourrait être fait en cochant une case lors de la visite d'une page Internetpar le choix des paramètres techniques des services de la société de l'information ou par toute autre déclaration ou comportement par lequel la personne concernée indique sans ambiguïté son consentement au traitement prévu de ses données à caractère personnel dans le contexte concerné.

Silence, cases déjà cochées ou l'inactivité de la personne concernée ne devrait donc pas constituer un consentement. Le consentement doit couvrir tous les traitements effectués pour la ou les mêmes finalités. Lorsque le traitement sert plusieurs finalités, le consentement doit être donné pour toutes ces finalités. Lorsque le consentement est demandé à la personne concernée par des moyens électroniques, la demande doit être faite de manière claire et concise et sans interruption inutile du service pour lequel le consentement est donné".

line infobox

#6 Adaptation de la politique de protection de la vie privée

Lors de la conception de votre bannière de cookie, vous ne devez pas oublier d'adapter votre politique de confidentialité. Cela signifie que les détails de chaque ensemble de cookies doivent également être expliqués dans la politique de confidentialité. 

#7 Problème social particulier Plugins

L'intégration du site social Plugins pose un problème particulier, dans la mesure où non seulement ces sites créent des cookies, mais ils envoient aussi automatiquement les données personnelles des visiteurs de votre site au réseau social correspondant, etc.

Selon un récent arrêt de la CJCE du 29 juillet 2019 les données personnelles du visiteur du site web ne peuvent être transmises au réseau social etc. qu'après avoir obtenu le consentement correspondant. Il faut donc s'assurer que le site social Plugin ne devient actif que si le visiteur du site a préalablement donné son accord en cochant la case correspondante. (Cet arrêt fait toujours référence à la "directive sur la protection des données", c'est-à-dire au règlement précédent de RGPD; cependant, le résultat s'applique également à RGPD).

Concevoir une bannière de cookie correctement, c'est-à-dire dans le respect de la loi, n'est pas de la sorcellerie. Et ce n'est pas non plus un inconvénient pour l'exploitant du site web. Parce que les visiteurs de son site web doivent également être traités équitablement. Cela implique également de fournir des informations transparentes sur ce qui se passe lorsque l'on accède au site web. Ce n'est qu'alors que les visiteurs du site web sont en mesure de décider en connaissance de cause s'ils souhaitent divulguer des données et, le cas échéant, lesquelles. Tout comme de nombreux développeurs et opérateurs de sites web sont réticents à être espionnés par des tiers, ils devraient également donner aux visiteurs de leurs propres sites web la possibilité de décider eux-mêmes quelles données ils souhaitent ou non divulguer.

Contribution à l'image : Emily Wilson | Unsplash
Images supplémentaires : Rawpixel | pexels, RAIDBOXES

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.