L'apparence des bannières de cookies a changé ces derniers temps sur de nombreux sites web. Auparavant, tu recevais simplement une petite fenêtre pop-up indiquant que des "cookies" non spécifiés sont installés sur le site. Aujourd'hui, on obtient souvent une liste des différents cookies et une possibilité de choisir, via des cases à cocher, lesquels sont acceptés ou non. Pourquoi est-ce ainsi - et qu'est-ce qui est correct maintenant ?
Cet article fait la lumière sur les bannières de cookies et t'explique comment bien concevoir la mention de cookies sur ton site web. Mais avant d'entrer dans les détails, il est nécessaire de comprendre quand et pourquoi tu as besoin d'une bannière de cookie.
Pourquoi as-tu besoin d'une bannière de cookie ?
Les cookies sont des informations qui sont stockées dans le terminal du visiteur du site web (PC, smartphone, etc.). Ils sont d'une part nécessaires pour afficher correctement un site web ("cookies techniquement nécessaires"). D'autre part, ils sont également définis à d'autres fins, par exemple pour analyser le comportement des visiteurs du site, à des fins publicitaires ou lors de l'intégration de plugins sociaux. (Remarque : dans ce qui suit, le terme "cookies" désigne également des technologies similaires telles que les pixels de comptage, etc.)
Regardons d'abord la situation juridique actuelle. Depuis l'entrée en vigueur du RGPD (Règlement (UE) 2016/679) le 25 mai 2018 :
Si l'enregistrement des cookies sur l'appareil du visiteur du site web n'a pas lieu dans le but de préserver les intérêts légitimes de l'exploitant du site web ou d'un tiers, le consentement du visiteur du site web est requis conformément à l'art. 6, al. 1 RGPD .

Étant donné que les intérêts légitimes de l'exploitant du site web ou d'un tiers doivent être mis en balance avec les intérêts ou les droits et libertés fondamentaux du visiteur du site web, il est souvent difficile de savoir, au cas par cas, quels intérêts prévalent.
L'intérêt légitime de l'exploitation d'un site web est bien sûr toujours que le site web s'affiche correctement. Les cookies nécessaires à cet effet sont donc toujours inclus dans l'intérêt légitime de l'exploitant du site web.
La situation se complique lorsque les cookies sont utilisés pour analyser le comportement du visiteur du site Web ou pour l'évaluer à des fins publicitaires. Dans ce cas, il n'est souvent pas exclu que les intérêts des visiteurs du site web soient davantage pris en compte par les autorités de surveillance de la protection des données et/ou les tribunaux en cas de litige.
Hormis les cookies techniquement nécessaires, l'installation de cookies devrait donc toujours pouvoir être basée sur le consentement du visiteur du site web. Ce consentement est obtenu de manière classique par le biais d'une case à cocher.
Il ne faut pas oublier que cette situation juridique pourrait changer avec l'entrée en vigueur du règlement E-Privacy. Mais comme le règlement E-Privacy est encore en cours de discussion politique, l'application de RGPD - et donc l'obtention préventive d'un consentement par le biais d'une case à cocher - reste valable jusqu'à nouvel ordre pour les cookies et autres. Tu trouveras tous les détails dans mon article "Le règlement E-Privacy : qu'est-ce qui t'attend ? lire ".
Comment devrais-tu concevoir ta bannière de cookie ?
Concevoir correctement une bannière de cookie n'est pas si difficile. Il est seulement important de tenir compte de quelques petites choses que je vais te présenter ci-dessous.
#1 Le bon moment
Il est important que la bannière des cookies apparaisse immédiatement lorsque tu accèdes au site web et qu'aucun cookie ne soit installé dans un premier temps et qu'aucune donnée ne soit transmise à des tiers (par exemple via un plugin social).
#2 Le bon endroit
Il faut également veiller à ce qu'aucun autre contenu essentiel ne soit recouvert : Ainsi, la bannière des cookies est souvent placée dans la zone du pied de page - et recouvre le lien vers les mentions légales et/ou la déclaration de confidentialité.
#3 Volontariat
Il est également important que la poursuite de la visite du site Web ne dépende pas du consentement du visiteur du site Web à l'installation de tous les cookies. Même si l'on ne donne son accord que pour l'installation des cookies techniquement nécessaires, la visite du site web doit rester possible. Il est évident que certaines fonctions du site web ne fonctionneront pas correctement si tu ne donnes pas ton accord.
#4 Liste complète de tous les cookies
La bannière des cookies devrait énumérer les différents cookies ou, s'il y en a trop, au moins les différents contextes (cookies techniquement nécessaires, cookies d'analyse, cookies à des fins publicitaires, etc.) ; si seuls des contextes sont mentionnés, ils devraient éventuellement être expliqués plus en détail en cliquant sur une autre fenêtre et les différents cookies devraient y être spécifiés.
#5 Cases à cocher avec opt-in
Les consentements sur les sites web sont judicieusement recueillis au moyen de cases à cocher.
Cela signifie qu'il y a une case à cocher séparée par cookie - ou par contexte de cookie - dans la bannière de cookie.
Il est important que seule la case à cocher pour les cookies techniquement nécessaires soit déjà cochée - pour toutes les autres, les cases à cocher doivent être vides. En cochant les autres cases, le visiteur du site web peut décider lui-même quels cookies ou contextes il accepte ou refuse.
Le contexte juridique est le suivant :
Si un consentement est obtenu au moyen d'une case à cocher, il existe en principe deux possibilités : Opt-in ou Opt-out. La différence est que dans le cas de l'opt-in, la case à cocher est vide au départ et que le visiteur du site web doit donner son consentement activement en cochant la case ou en cochant la case. Dans le cas de l'opt-out, la case est déjà cochée par défaut - le consentement est donc déjà donné - et le visiteur du site web doit activement décocher la case en cliquant dessus.
De nombreux propriétaires de sites web utilisent l'opt-out par défaut. Probablement parce qu'ils savent que la plupart de leurs visiteurs veulent aller rapidement sur le site web et cliquent donc sur le bouton OK de la bannière de cookie - sans lire le texte de la bannière ou réfléchir à ce pour quoi ils sont en train de donner leur consentement.
Pourquoi l'opt-out ne suffit pas
Bien que cette pratique soit très répandue, elle n'est pas juridiquement correcte. Le consentement nécessite une action active de la part du visiteur du site web. C'est pourquoi seul l'opt-in est juridiquement correct, c'est-à-dire que le visiteur du site web donne activement son accord - par exemple pour l'utilisation d'un outil d'analyse comme Google Analytics - en cochant la case correspondante.
On pourrait certes argumenter que dans le cas de l'opt-out, le consentement réel réside dans le fait de cliquer sur le bouton OK de la bannière de cookie. Mais on s'engage alors sur une pente glissante. En effet, selon le considérant 32 de RGPD , les règles suivantes s'appliquent aux consentements (Souligne par moi) :

"Le consentement doit être donné par un Une action confirmative claire La personne concernée doit donner son consentement volontaire, spécifique, éclairé et sans équivoque au traitement de ses données personnelles, par exemple sous la forme d'une déclaration écrite, qui peut également être faite par voie électronique, ou d'une déclaration orale.
Cela pourrait être par exemple en cochant une case lors de la visite d'une page webou en choisissant des paramètres techniques pour les services de la société de l'information, ou par toute autre déclaration ou comportement par lequel la personne concernée indique clairement, dans le contexte concerné, son consentement au traitement prévu de ses données personnelles.
Ne rien dire, les cases déjà cochées ou l'inaction de la personne concernée ne devraient donc pas constituer un consentement. Le consentement doit porter sur toutes les opérations de traitement effectuées dans le même but ou pour les mêmes objectifs. Si le traitement a plusieurs finalités, le consentement doit être donné pour toutes ces finalités. Si la personne concernée est invitée à donner son consentement par voie électronique, la demande doit être faite de manière claire et concise et sans interruption inutile du service pour lequel le consentement est donné".

#6 Adaptation de la déclaration de confidentialité
Lors de la conception de ta bannière de cookies, tu ne dois pas oublier d'adapter ta déclaration de confidentialité. Cela signifie que les détails concernant les différents cookies placés doivent également être expliqués dans la déclaration de confidentialité.
#7 Problème particulier des plugins sociaux
Un problème particulier se pose lors de l'intégration de plugins sociaux, car ceux-ci n'installent pas seulement des cookies, mais envoient aussi automatiquement les données personnelles des visiteurs de ton site web au réseau social correspondant, etc.
Selon une récente décision Décision de la CJUE du 29 juillet 2019. les données personnelles du visiteur du site web ne peuvent être transmises au réseau social etc. qu'après avoir donné le consentement correspondant. Il faut donc veiller à ce que le plugin social ne soit actif que si le visiteur du site web a donné son accord préalable en cochant la case correspondante. (Ce jugement se réfère encore à la "directive sur la protection des données", c'est-à-dire à la réglementation précédente de RGPD; mais le résultat est également valable pour RGPD.)
Conclusion
Concevoir une bannière de cookie correctement, c'est-à-dire en conformité avec la loi, n'est pas sorcier. Et ce n'est pas non plus un inconvénient pour le propriétaire du site web. Car il faut aussi traiter les visiteurs de son site web de manière équitable. Et pour cela, il faut d'abord informer de manière transparente sur ce qui se passe lorsque le site web est consulté. Ce n'est qu'alors que les visiteurs du site web seront en mesure de prendre une décision bien informée sur le fait de savoir s'ils souhaitent divulguer des données les concernant et, le cas échéant, lesquelles. Tout comme de nombreux développeurs et propriétaires de sites web n'aiment pas être espionnés par des tiers, ils devraient également permettre aux visiteurs de leur propre site web de décider eux-mêmes quelles données ils souhaitent ou non divulguer.
Image : Emily Wilson | Unsplash
Autres images : Rawpixel | pexels, Raidboxes