12.08.19
mis à jour le 06/12/23
Mario Steinberg
0 commentaires
Table des matières
bannière de cookie RGPD vie privée

Bannière de cookie - mais correctement ! Tu dois faire attention à ces 7 choses

L'apparence des bannières de cookies a changé ces derniers temps sur de nombreux sites Web. Auparavant, tu recevais simplement un message laconique dans une petite fenêtre pop-up indiquant que des "cookies" non spécifiés sont installés sur le site. Aujourd'hui, on obtient souvent une liste des différents cookies et une possibilité de choisir, via des cases à cocher, lesquels sont acceptés ou non. Pourquoi est-ce ainsi - et qu'est-ce qui est correct maintenant ?

Cet article fait la lumière sur les bannières de cookie et t'explique comment bien concevoir la mention de cookie sur ton site Web. Mais avant d'entrer dans les détails, il est nécessaire de comprendre quand et pourquoi tu as besoin d'une bannière de cookie.

Les cookies sont des informations qui sont stockées dans le terminal du visiteur du site Web (PC, smartphone, etc.). Ils sont d'une part nécessaires pour afficher correctement un site web ("cookies techniquement nécessaires"). D'autre part, ils sont également définis à d'autres fins, par exemple pour analyser le comportement des visiteurs du site, à des fins publicitaires ou lors de l'intégration de plugins sociaux. (Remarque : dans ce qui suit, le terme "cookies" désigne également des technologies similaires telles que les pixels de comptage, etc.) 

Regardons d'abord la situation juridique actuelle. Voici ce qui est en vigueur depuis l'entrée en vigueur du RGPD (règlement (UE) 2016/679) le 25 mai 2018 :

Si l'enregistrement des cookies sur l'appareil du visiteur du site Web n'a pas lieu dans le but de préserver les intérêts légitimes de l'exploitant du site Web ou d'un tiers, le consentement du visiteur du site Web est requis conformément à l'art. 6, al. 1 RGPD .

bannière de cookie RGPD

Étant donné que les intérêts légitimes de l'exploitant du site Web ou d'un tiers doivent être mis en balance avec les intérêts ou les droits et libertés fondamentaux du visiteur du site Web, il est souvent difficile de savoir quels intérêts prévalent dans chaque cas.

L'intérêt légitime de l'exploitation d'un site web est bien sûr toujours que le site web s'affiche correctement. Les cookies nécessaires à cette fin sont donc toujours inclus dans l'intérêt légitime de l'exploitant du site Web. 

La situation se complique lorsque les cookies sont utilisés pour analyser le comportement du visiteur du site Web ou pour l'évaluer à des fins publicitaires. Dans ce cas, il n'est souvent pas exclu que les intérêts des visiteurs du site web soient plus importants en cas de litige par les autorités de surveillance de la protection des données et/ou les tribunaux.

Hormis les cookies techniquement nécessaires, l'installation de cookies devrait donc toujours pouvoir être basée sur le consentement du visiteur du site Web. Ce consentement est obtenu de manière classique par le biais d'une case à cocher.

Il ne faut pas oublier que cette situation juridique pourrait changer avec l'entrée en vigueur du règlement E-Privacy. Mais comme le règlement E-Privacy est encore en cours de discussion politique, l'application de RGPD - et donc l'obtention préventive d'un consentement par le biais d'une case à cocher - reste valable jusqu'à nouvel ordre pour les cookies et autres. Tu peux lire les détails dans mon article "Le règlement E-Privacy : qu'est-ce qui t'attend ?

"*" indique les champs requis

Je souhaite m'abonner à la newsletter pour être informé des nouveaux articles de blog, des ebooks, des fonctionnalités et des nouvelles de WordPress. Je peux retirer mon consentement à tout moment. Merci de prendre connaissance de notre politique de confidentialité.
Ce champ sert à la validation et ne doit pas être modifié.

Concevoir correctement une bannière de cookie n'est pas si difficile. Il est seulement important de tenir compte de quelques petites choses que je vais te présenter ci-dessous.

#1 Le bon moment

Il est important que la bannière de cookie apparaisse immédiatement lorsque tu accèdes au site web et qu'aucun cookie ne soit installé dans un premier temps et qu'aucune donnée ne soit transmise à des tiers (par exemple via un plugin social).

#2 Le bon endroit

Il faut également veiller à ce qu'aucun autre contenu essentiel ne soit recouvert : Ainsi, la bannière de cookie est souvent placée dans la zone du pied de page - et recouvre le lien vers les mentions légales et/ou la déclaration de confidentialité.

#3 Volontariat 

Il est également important que la poursuite de la visite du site Web ne dépende pas du consentement du visiteur du site Web à l'installation de tous les cookies. Même si l'on ne donne son accord que pour l'installation des cookies techniquement nécessaires, la visite du site Web doit rester possible. Il est évident que certaines fonctions du site web ne fonctionneront pas correctement si tu ne donnes pas ton accord.  

#4 Liste complète de tous les cookies

La bannière des cookies devrait énumérer les différents cookies ou, s'il y en a trop, au moins les différents contextes (cookies techniquement nécessaires, cookies d'analyse, cookies à des fins publicitaires, etc.) ; si seuls des contextes sont mentionnés, ils devraient éventuellement être expliqués plus en détail en cliquant sur une autre fenêtre et les différents cookies devraient y être spécifiés.    

#5 Cases à cocher avec opt-in

Les consentements sur les sites web sont judicieusement recueillis au moyen de cases à cocher.

Cela signifie qu'il y a une case à cocher séparée par cookie - ou par contexte de cookie - dans la bannière de cookie. 

Il est important que seule la case à cocher pour les cookies techniquement nécessaires soit déjà cochée - pour toutes les autres, les cases à cocher doivent être vides. En cochant les autres cases, le visiteur du site peut décider lui-même quels cookies ou contextes il accepte ou refuse.

Le contexte juridique est le suivant : 

Si un consentement est demandé au moyen d'une case à cocher, il existe en principe deux possibilités : Opt-in ou opt-out. La différence est que dans le cas de l'opt-in, la case à cocher est vide au départ et que le visiteur du site doit donner son consentement activement en cochant la case ou en cochant la case. Dans le cas de l'opt-out, la case est déjà cochée par défaut - le consentement est donc déjà donné - et le visiteur du site doit activement décocher la case en cliquant dessus.

De nombreux propriétaires de sites utilisent l'opt-out par défaut. Probablement parce qu'ils savent que la plupart de leurs visiteurs veulent aller rapidement sur le site et cliquent donc sur le bouton OK de la bannière de cookie - sans lire le texte de la bannière ou réfléchir à ce pour quoi ils sont en train de donner leur consentement.

Pourquoi l'opt-out ne suffit pas

Bien que cette pratique soit très répandue, elle n'est pas juridiquement correcte. Le consentement nécessite une action active de la part du visiteur du site. C'est pourquoi seul l'opt-in est juridiquement correct, c'est-à-dire que le visiteur du site web donne activement son accord - par exemple pour l'utilisation d'un outil d'analyse comme Google Analytics - en cochant la case.

On pourrait certes argumenter que dans le cas de l'opt-out, le consentement réel se trouve dans le fait de cliquer sur le bouton OK de la bannière de cookie. Mais on s'engage alors sur une pente glissante. En effet, selon le considérant 32 de RGPD , les règles suivantes s'appliquent aux consentements(c 'est moi quisouligne ) :

ligne infobox

"Le consentement doit être donné par un acte confirmatif clair quiindique volontairement, dans un cas spécifique, de manière informée et sans équivoque, que la personne concernée accepte le traitement des données à caractère personnel la concernant, par exemple sous la forme d'une déclaration écrite, qui peut également être faite par voie électronique, ou d'une déclaration orale.

Cela pourrait se faire, par exemple, en cochant une case lors de la visite d'un site Internet, en choisissant des paramètres techniques pour les services de la société de l'information ou en faisant une autre déclaration ou en adoptant un comportement par lequel la personne concernée indique clairement, dans le contexte en question, son accord avec le traitement prévu de ses données personnelles.

Le silence, les cases déjà cochées ou l'inaction de la personne concernée ne devraient donc pas constituer un consentement. Le consentement doit porter sur tous les traitements effectués dans le même but ou pour les mêmes objectifs. Si le traitement a plusieurs finalités, le consentement doit être donné pour toutes ces finalités. Si la personne concernée est invitée à donner son consentement par voie électronique, la demande doit être faite de manière claire et concise et sans interruption inutile du service pour lequel le consentement est donné".

ligne infobox

#6 Adaptation de la déclaration de confidentialité

Lors de la conception de ta bannière de cookies, tu ne dois pas oublier d'adapter ta déclaration de confidentialité. Cela signifie que les détails concernant les différents cookies placés doivent également être expliqués dans la déclaration de confidentialité. 

#7 Problème particulier des plugins sociaux

Un problème particulier se pose lors de l'intégration de plugins sociaux, car ceux-ci n'installent pas seulement des cookies, mais envoient aussi automatiquement des données personnelles des visiteurs de ton site Web au réseau social correspondant, etc.

Selon une décision récente de la CJCE du 29 juillet 2019, les données personnelles du visiteur du site Web ne peuvent être transmises au réseau social etc. qu'après avoir donné le consentement correspondant. Il faut donc veiller à ce que le plugin social ne soit actif que si le visiteur du site web a donné son accord préalable en cochant la case correspondante. (Ce jugement se réfère encore à la "directive sur la protection des données", c'est-à-dire à la réglementation précédente de RGPD; mais le résultat est également valable pour RGPD.) 

Conclusion

Concevoir une bannière de cookie correctement, c'est-à-dire en conformité avec la loi, n'est pas sorcier. Et ce n'est pas non plus un inconvénient pour le propriétaire du site. Car il faut aussi traiter les visiteurs de son site Web de manière équitable. Et pour cela, il faut d'abord informer de manière transparente sur ce qui se passe lorsque le site est consulté. Ce n'est qu'alors que les visiteurs du site seront en mesure de prendre une décision bien informée sur le fait de savoir s'ils souhaitent divulguer des données les concernant et, le cas échéant, lesquelles. De même que de nombreux développeurs et opérateurs de sites web n'aiment pas être espionnés par des tiers, ils devraient également permettre aux visiteurs de leur propre site web de décider eux-mêmes quelles données ils souhaitent ou non divulguer.

Image de contribution : Emily Wilson | Unsplash
Autres images : Rawpixel | pexels, Raidboxes

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Mario Steinberg

Mario Steinberg est avocat et spécialiste en droit administratif au sein du cabinet d'avocats LIEB.Rechtsanwälte. Son travail se concentre sur le droit de la protection des données, le droit de la sécurité informatique et le droit des technologies de l'information.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.