Une bannière de cookie - mais juste ! Vous devez tenir compte des 7 points suivants

Mario Steinberg Mis à jour le 21.10.2020
6 Min.
bannière de cookie RGPD vie privée

L'apparence des bannières de cookies a changé récemment sur de nombreux sites web. Dans le passé, une petite fenêtre pop-up vous informait simplement que des "cookies" non spécifiés étaient placés sur le site web. En attendant, on obtient souvent une énumération des différents cookies et une option de sélection par le biais de cases à cocher, qui sont acceptés ou non. Pourquoi en est-il ainsi - et qu'en est-il à l'heure actuelle ?

Cet article fait la lumière sur les bannières de cookies et explique comment concevoir correctement l'avis de cookie sur votre site web. Mais avant d'entrer dans les détails, il est nécessaire de comprendre quand et pourquoi vous avez besoin d'une bannière de cookie.

Les cookies sont des informations qui sont stockées dans l'appareil final du visiteur du site web (PC, smartphone, etc.). D'une part, ils sont nécessaires pour afficher correctement un site web ("cookies techniquement nécessaires"). D'autre part, ils sont également utilisés à d'autres fins, par exemple pour analyser le comportement du visiteur du site web, à des fins publicitaires ou pour l'intégration des médias sociauxPlugins. (Note : Dans ce qui suit, le terme "cookies" fait également référence à des technologies comparables telles que le comptage de pixels, etc.) 

Examinons d'abord la situation juridique actuelle. A cet égard, depuis l'entrée en vigueur de RGPD (Règlement (UE) 2016/679) le 25 mai 2018 les éléments suivants :

Si les cookies ne sont pas stockés sur le terminal du visiteur du site web afin de sauvegarder les intérêts légitimes de l'exploitant du site web ou d'un tiers, l'accord du visiteur du site web est nécessaire conformément à l'article 6, paragraphe 1RGPD.

bannière de cookie RGPD

Étant donné que les intérêts légitimes de l'exploitant du site web ou de tiers doivent être mis en balance avec les intérêts ou les droits et libertés fondamentaux du visiteur du site web, il est souvent difficile de déterminer dans chaque cas particulier quels intérêts l'emportent sur les autres.

Un intérêt légitime à exploiter un site web est bien sûr toujours que le site s'affiche correctement. Les cookies nécessaires à cet effet sont donc toujours couverts par l'intérêt légitime de l'exploitant du site web. 

Il devient plus difficile d'utiliser des cookies pour analyser le comportement du visiteur du site web ou à des fins publicitaires. Dans ce contexte, il n'est souvent pas exclu que les intérêts des visiteurs du site web se voient accorder une priorité plus élevée par les autorités et/ou les tribunaux chargés de la protection des données en cas de litige.

Outre les cookies techniquement nécessaires, la mise en place de cookies doit donc toujours être basée sur le consentement du visiteur du site web. Ce consentement est traditionnellement obtenu par le biais d'une case à cocher.

Il ne faut pas se cacher que cette situation juridique pourrait changer avec l'entrée en vigueur du règlement sur la vie privée en ligne. Toutefois, étant donné que le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques fait encore l'objet de discussions politiques, l'application du RGPD- et donc l'obtention préventive du consentement au moyen d'une case à cocher continuera de s'appliquer à Cookies & Co. jusqu'à nouvel ordre. Vous pouvez lire les détails dans mon article OutOfTheBox Le règlement sur la vie privée en ligne : que vous réserve-t-il ?" Lisez.

Concevoir correctement une bannière de cookie n'est pas si difficile. La seule chose importante est de prêter attention à quelques petites choses, que je vais vous présenter dans ce qui suit.

#1 Le bon moment

Il est important que la bannière de cookie apparaisse immédiatement lorsque le site web est appelé et qu'aucun cookie ne soit installé au départ et qu'aucune donnée ne puisse être transférée à des tiers (par exemple via une sociétéPlugin).

#2 Le bon endroit

Il faut également veiller à ce qu'aucun autre contenu essentiel ne soit couvert : La bannière de cookie est souvent placée dans la zone de bas de page - et couvre le lien vers l'empreinte et/ou la politique de confidentialité.

#3 Volontaire

Il est également important que les visites ultérieures sur le site web ne soient pas subordonnées à l'acceptation par le visiteur du site web de l'installation de tous les cookies. Même si seul le consentement est donné pour placer les cookies techniquement nécessaires, il doit être possible de visiter le site web. Bien entendu, il est évident que certaines fonctions du site web peuvent ne pas fonctionner correctement si vous ne donnez pas votre accord.  

#4 Liste complète de tous les cookies

La bannière des cookies doit énumérer les différents cookies ou - s'ils sont trop nombreux - au moins les différents contextes (cookies techniquement nécessaires, cookies d'analyse, cookies à des fins publicitaires, etc.) ; si seuls les contextes sont mentionnés, ils doivent être expliqués plus en détail en cliquant dessus dans une autre fenêtre et les différents cookies doivent y être précisés.    

#5 Cases à cocher avec option d'adhésion

Les consentements sur les sites web sont obtenus de manière raisonnable au moyen de cases à cocher.

Cela signifie qu'il y a une case à cocher distincte dans la bannière de cookie pour chaque cookie - ou par contexte de cookie. 

Il est important que seule la case à cocher des cookies techniquement nécessaires soit déjà cochée - pour tous les autres, les cases doivent être vides. En cliquant sur les autres cases à cocher, le visiteur du site web peut maintenant décider lui-même quels cookies ou contextes il accepte ou n'accepte pas.

Le contexte juridique est le suivant :

Si le consentement est obtenu au moyen d'une case à cocher, il y a essentiellement deux possibilités : Opt-in ou Opt-out. La différence est que la case à cocher pour l'opt-in est initialement vide et que le visiteur du site web doit activement donner son consentement en cliquant sur la case ou en cochant la case. Lors du désengagement, la case est déjà cochée par défaut - c'est-à-dire que le consentement a déjà été donné - et le visiteur du site web doit activement retirer la coche en cliquant sur la case.

De nombreux opérateurs de sites web utilisent l'opt-out par défaut. Probablement parce qu'ils savent que la plupart de leurs visiteurs veulent accéder rapidement au site web et donc cliquer sur le bouton OK de la bannière du cookie - sans lire le texte de la bannière ni réfléchir à ce qu'ils acceptent.

Pourquoi l'opt-out n'est pas suffisant

Bien que cette procédure soit très répandue, elle n'est pas juridiquement correcte. Un consentement nécessite une action active de la part du visiteur du site web. La seule chose qui soit juridiquement correcte est donc l'opt-in, c'est-à-dire que le visiteur du site web donne activement son consentement - par exemple pour utiliser un outil d'analyse tel que Google Analytics - en cochant la case.

On pourrait maintenant faire valoir que le consentement réel dans le cas d'un désengagement réside dans le fait de cliquer sur le bouton OK de la bannière du cookie. Mais ce serait marcher sur une mince couche de glace. En effet, selon le considérant 32, les dispositions RGPDsuivantes s'appliquent au consentement (Faits marquants par moi) :

line infobox

"Le consentement doit être obtenu par un acte affirmatif clair qui indique de manière volontaire, spécifique, informée et non équivoque que la personne concernée consent au traitement des données à caractère personnel la concernant, par exemple sous la forme d'une déclaration écrite, qui peut également être faite par voie électronique, ou d'une déclaration orale.

Cela pourrait inclure en cochant une case lors de la visite d'un site webLa personne concernée est réputée avoir donné son consentement au traitement de ses données à caractère personnel en vertu du choix des choix techniques effectués en matière de services de la société de l'information, ou par toute autre explication ou pratique indiquant clairement, dans le cadre du cas particulier, son consentement au traitement de ses données à caractère personnel tel qu'il est envisagé.

Silence, cases déjà cochées ou l'inactivité de la personne concernée ne devrait donc pas constituer un consentement. Le consentement doit couvrir tous les traitements effectués pour la ou les mêmes finalités. Si le traitement sert plusieurs objectifs, le consentement doit être donné pour tous ces objectifs. Lorsqu'il est demandé à la personne concernée de donner son consentement par voie électronique, la demande doit être faite de manière claire et concise et sans interruption indue du service pour lequel le consentement est donné.

line infobox

#6 Adaptation de la politique de protection de la vie privée

Lors de la conception de votre bannière de cookie, vous ne devez pas oublier d'adapter votre politique de confidentialité. Cela signifie que les détails des différents cookies doivent également être expliqués dans la politique de confidentialité. 

#7 Problème spécial Social Plugins

L'intégration des réseaux sociaux Pluginspose un problème particulier, car non seulement des cookies sont installés, mais aussi les données personnelles des visiteurs de votre site web sont automatiquement envoyées au réseau social correspondant, etc.

Après un courant Arrêt de la CJCE du 29 juillet 2019 les données personnelles du visiteur du site web ne peuvent être transmises au réseau social etc. qu'après avoir obtenu le consentement approprié. Il faut donc s'assurer que le Pluginréseau social n'est actif que si le visiteur du site a donné son accord préalable en cochant la case correspondante. (Bien que cet arrêt se réfère toujours à la "directive sur la protection des données", c'est-à-dire à la réglementation précédente de RGPD; le résultat s'applique également à la RGPD.) 

Concevoir une bannière de cookie correctement, c'est-à-dire en conformité avec la loi, n'est pas de la sorcellerie. Et ce n'est pas non plus un inconvénient pour l'exploitant du site web. Parce que les visiteurs de son site web doivent également être traités équitablement. Et cela implique également de fournir d'abord des informations transparentes sur ce qui se passe lorsque l'on accède au site web. Ce n'est qu'alors que les visiteurs du site web sont en mesure de décider en connaissance de cause s'ils souhaitent divulguer des données les concernant et, le cas échéant, lesquelles. Tout comme de nombreux développeurs et opérateurs de sites web sont réticents à être espionnés par des tiers, ils devraient également donner aux visiteurs de leur propre site web la possibilité de décider eux-mêmes quelles données ils souhaitent ou non divulguer.

Photo du reportage : Emily Wilson | Unsplash
Plus de photos : Rawpixel | pexels, RAIDBOXES

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .