Cookies RGPD : comment s'assurer d'être en conformité ?

Depuis le 1er avril 2021, l’ensemble des sites et des applications doivent se plier aux règles en matière de cookies et de consentement des utilisateurs dictées par la CNIL. Dès 2019, la CNIL a mis à jour sa politique et a érigé des lignes directrices en particulier concernant les cookies.

Nous allons, dans ce guide, rappeler les définitions utiles, détailler les exigences du RGPD et de la CNIL, et lister un ensemble de solutions de gestion de cookies RGPD et consentement adéquates 

Rappel de définition d’un cookie RGPD

A quoi sert un cookie ?

Pour démarrer, il convient de revenir sur la définition du fameux cookie. Non, il ne s’agit d’un délicieux biscuit! Le cookie, aussi appelé “traceur”, est un petit texte envoyé par un serveur HTTP (par exemple un site web) à un client HTTP (généralement le navigateur). A ce petit texte est donc associé un nom de domaine (ex : facebook.com). A chaque fois que le navigateur sera connecté à ce nom domaine, le cookie associé lui transmettra les informations qu'il aura enregistré, comme votre historique de navigation. Ce petit texte permet ainsi de stocker des informations de comportement et navigation sur un utilisateur. En particulier, il va permettre de :

Conserver une session ouverte

Cela vous est sûrement déjà arrivé de vous identifier à votre réseau social préféré, de fermer la fenêtre, puis d’y revenir plus tard, sans avoir besoin de vous identifier à nouveau ? 

Ce comportement est possible grâce au cookie, stocké sur votre navigateur, qui va permettre de garder votre authentification active.

Personnaliser l’expérience

Dans la mesure où le cookie retient des informations sur vous, il peut permettre à un site web d’afficher une information contextuelle (votre identité, votre dernier panier …) que vous auriez pu indiquer auparavant. L’information peut être stockée directement dans un cookie, pas nécessairement dans la base de données du site Internet.

Suivre votre navigation

Chaque cookie peut stocker l'historique de navigation d'un utilisateur. Celui-ci peut ensuite communiquer avec le domaine qui l'a déposé à l'origine, ce qui permet à certains acteurs de proposer de la publicité ciblée. Par exemple, lorsqu'un éditeur de site installe le pixel Facebook sur son site, il permet à Facebook de déposer un cookie sur tous les navigateurs qui consulte le site. Ensuite, lorsque l'utilisateur consulte facebook.com, ce dernier connait l'historique de votre navigation, et peut proposer ainsi une publicité ciblée ou du "retargeting" (une publicité relative à un produit ou un service que vous auriez consulté auparavant).

Le suivi peut aller encore plus loin, car il existe des places de marchés où des acteurs peuvent échanger leurs cookies entre eux, afin de consolider des profils encore plus précis de comportements et optimiser ainsi davantage la publicité.

C’est l’un des sujets les plus sensibles lorsque l’on parle de cookies, et qui pose à juste titre la question du consentement : suis-je au courant et suis-je d’accord pour que de telles informations circulent me concernant ?

Les différents types de cookies

Il faut garder à l’esprit qu’un site Internet peut déposer plusieurs cookies dans votre navigateur. Certaines d’entre eux ne viennent pas du site que vous consultez, mais de partenaires, que l'on appelle des cookies "third party" ou "tierce partie". C’est la raison pour laquelle on distingue plusieurs types de cookies, qui ont des rôles bien différents. Pour la CNIL, les cookies doivent être explicitement présentés aux internautes en fonction de leur finalité. Par exemple : 

  • Des cookies indispensables au bon fonctionnement du site. La CNIL donne l’exemple du cookie qui permet de sauvegarder la langue choisie par l’utilisateur. 
  • Des cookies à des fins marketing, comme ceux qui permettent de réaliser de la publicité ciblée
  • Des cookies à fins analytiques, qui permettent de conserver des informations sur l’internaute pour réaliser des statistiques de fréquentation.

Certains cookies sont donc exempts de consentement en principe, comme ceux indispensables au bon fonctionnement du site web. Néanmoins, leur liste doit rester visible par l’internaute.

Quelles sont les recommandations officielles en matière de cookies en 2021 ?

Les cookies RGPD sont devenus un sujet sensible. Seulement quelques semaines après l'obligation des éditeurs de sites de se conformer aux directives de la CNIL le 1er avril 2021, celle-ci n'a pas hésité à mettre en demeure de nombreux acteurs du web en ligne pour les obliger à appliquer ses recommandations.

Les dernières recommandations s’appuient sur le RGPD et la directive ePrivacy actuellement travaillée à l’échelon européen. Parmi ces recommandations, on retrouve : 

L’information aux utilisateurs

Comme nous l’avons évoqué, il existe plusieurs types de cookies. La première recommandation de la CNIL consiste à informer de manière simple et claire pour l’internaute quels sont les cookies qui vont être déposés par le site Internet. Cela implique par exemple : 

  • de préciser que des cookies vont bien être déposés
  • de lister les types de cookies qui vont être déposés et leurs finalités
  • de permettre à l’internaute de consulter précisément la liste des cookies qui seront déposés.

Ainsi, la CNIL convient que l’interface de consentement peut fonctionner en deux temps, avec une présentation plus générale des finalités de cookies RGPD, et la possibilité, avec un lien hypertexte par exemple, de consulter le détail de tous les cookies et les responsables de traitement associés.

Le consentement des utilisateurs

La présentation du consentement

Il est indispensable que le consentement de l’utilisateur soit simple et extrêmement compréhensible par ce dernier. Cela implique notamment que : 

  • L’outil de cookies peut utiliser un système de cases à cocher ou de sliders (désactivé par défaut) pour permettre à l’utilisateur de valider ou non son consentement
  • L’utilisateur doit pouvoir préciser son consentement pour chaque cookie déposé par le site web ou l’application.

Cela n’empêche pas, cependant, de proposer à l’utilisateur un bouton unique pour consentir ou refuser le consentement globalement. Typiquement “Tout accepter” et “Tout refuser”. Dans ce cas de figure, il est important en revanche que les 2 boutons aient le même rendu visuel. A garder également en tête : si l’internaute ne refuse ni n’accepte explicitement son consentement (par exemple en fermant une pop-up), cela doit être considéré comme un refus de consentement.

Exemple d'interfaces de consentement

Il est également possible de proposer à l’utilisateur un bouton “Continuer sans accepter” en haut à droite de sa pop-up. C’est d’ailleurs l’option retenue par beaucoup d’acteurs des médias. 

Consentement du Continuer sans accepter

Le consentement ou le refus de consentement réalisé par l’internaute doit être sauvegardé par le site web afin de ne pas poser la question à nouveau tout au long de sa navigation. La CNIL ne fournit pas une durée de conversation de la réponse de l’utilisateur au consentement minimale mais indique : “La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience.” Autrement dit, c’est à l’éditeur d’apprécier la durée pendant laquelle le consentement peut être sauvegardé, sans altérer la liberté de choix de l’internaute. Néanmoins, la CNIL souhaite que cette durée soit limitée dans le temps, à 6 mois, car elle recommande également que la question du consentement soit à nouveau posée à intervalles réguliers, dans la mesure où le choix de l’internaute pourrait avoir été oublié par ce dernier lors d’une précédente consultation.

Changer d’avis

L’internaute doit pouvoir changer d’avis aussi facilement qu’il a pu faire son choix en premier lieu. C’est pourquoi il est recommandé de laisser apparent sur l’écran une petite icône qui permette à l’utilisateur de revenir sur la pop-up du choix de consentement.

La preuve du consentement

Les éditeurs de site sont obligés de conserver la preuve du consentement de l’internaute. C’est dans ce cadre des “Consent Management Platform”, dont nous parlerons plus bas, deviennent indispensables aux éditeurs de sites web.

Qu’en est-il du Cookie Wall ?

Définition du Cookie Wall

Le cookie wall est une technique d’éditeurs de site qui consiste à bloquer l’accès au contenu du site si l’internaute refuse les cookies. En effet, certains sites, dans le secteur des médias en particulier, ont une grande partie de leur chiffre d’affaires issus de la publicité ciblée. Lorsque l’internaute refuse les cookies, il devient donc difficile de proposer une publicité de qualité et de stocker des informations de comportement sur ces derniers. 

Aussi, pour “forcer” l’internaute à accepter les cookies, le consentement devient une condition en échange de l’accès au contenu.

Cette pratique a été dénoncée par la CNIL en 2019. Cette dernière a considéré en effet que “que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement”. 

Le Cookie Wall est-il légal ?

Cependant, certains éditeurs ont persisté, en proposant notamment 2 choix à l’internaute : 

  • Accepter les cookies 
  • ou bien continuer la navigation en payant un abonnement. 

Le sujet a été porté au Conseil d’Etat, qui a rendu son verdict en juin 2020

Conclusion : la CNIL a dépassé son rôle en voulant interdire la pratique du cookie wall. En conséquence, il n’est pas considéré comme illégal à ce jour de proposer un cookie wall à un internaute, tant qu’il existe une alternative au refus de consentement, autre que le blocage de l’accès au contenu. Ainsi, de nombreux médias proposent à ce jour cette possibilité.

Exemple de Cookie Wall

Quel avenir pour les "third-party cookies" ?

Nous l'avons évoqué, un domaine peut déposer des cookies d'acteurs tiers, grâce par exemple au pixel Facebook ou l'utilisation notamment de Google Analytics.

Cette pratique est désormais de plus en plus critiquée par de nombreux acteurs du numérique, comme Apple, qui fait de la protection des données personnelles un argument de son marketing produit. A titre d'exemple, Apple a mis en place, depuis la version 14.5 de son système iOS pour iPhone, la possibilité pour l'utilisateur de bloquer explicitement le tracking de son comportement par les applications. Par défaut, le navigateur Safari bloque les cookies tiers.

Il est désormais acté que les cookies tiers vont devenir obsolètes. C'est le choix notamment des équipes derrière Chromium, la brique technologique à l'origine du navigateur Chrome de Google, qui représentait en 2020 encore 60% des parts de marché. L'objectif : ne plus utiliser cette technique pour tracer les internautes. Ce changement pose de nouvelles questions pour l'industrie de la publicité en ligne, mais également sur le rapport de force entre les acteurs de ce marché. En effet, bien qu'il s'agisse d'un changement souhaitable pour les internautes en matière de protection des données personnelles et de la vie privée, il reste à déterminer par exemple :

  • Comment l'industrie de la publicité peut-elle s'adapter à la disparition de cette source d'informations ? 
  • Quel pouvoir cela va-t-il donner aux GAFA, comme Google ou Facebook, qui proposent des services gratuits (Instagram, WhatsApp, Gmail, etc.) qui leur permettent d'avoir des informations sur les internautes sans utiliser les cookies tiers ? Ces acteurs seront donc les seuls à posséder "en propre" des informations sur les internautes, contrairement acteurs de la publicité qui pouvaient s'appuyer sur les cookies tiers.
  • Les technologies de remplacement seront-elles pour autant plus respectueuses de la vie privée ? Google teste actuellement une nouvelle méthode intitulée "FLoC". 

De manière générale, ce changement induit des réflexions profondes sur la relation entre l'internaute et un éditeur de site web, par exemple en exploitant mieux les "first party" cookies.

Il n'y a actuellement pas de date annoncée pour la disparition définitive des cookies tiers, mais c'est un changement qui devrait avoir dans les prochaines. En attendant, les règles concernant le consentement des cookies par les internautes ne changent pas !

Comment mettre en place un bandeau de cookie sur mon site ?

Il existe différents outils qui vous permettent d’ajouter un cookie sur votre site à destination de vos utilisateurs. Nous allons les parcourir ensemble. Avant de faire votre choix, si vous souhaitez respecter entièrement les exigences de la CNIL et du RGPD, il est important de faire le point sur les critères attendus : 

  • Quel est le niveau technique requis pour intégrer une bannière de cookies RGPD ? Faut-il savoir coder ? 
  • Sur quelle plateforme vais-je ajouter la bannière ou la pop-up de cookies RGPD?
  • Comment seront stockés les consentements de mes utilisateurs ?
  • Quel est le prix éventuel ?

Il existe désormais une myriade de solutions qui peuvent vous aider à respecter les directives en matière de cookies RGPD. 

Solution 1 : Axeptio

Axeptio est l’une des solutions les plus en vogue actuellement. Il est fort probable que vous ayez déjà consulté un site qui l’utilise. 

Son principal atout ? Son design, très ergonomique. Il s’agit de l’un des rares acteurs à avoir investi sur l’interface utilisateur, en travaillant notamment avec un illustrateur.

Avantages 

  • L’outil se distingue par l’expérience proposée aux internautes
  • Une interface relativement simple pour l’intégration
  • De nombreux widgets adaptés à différents cas d’usage

Inconvénients

  • Une offre gratuite très limitée (il n’est pas possible, par exemple, de stocker les consentements. L’offre gratuite n’est donc pas conforme).
  • Une interface admin un peu complexe : on a vite fait de s’y perdre !
  • Il n’y a pas de détection automatique des cookies déjà présents

Tarif de Axeptio

Le prix varie en fonction des options et du nombre de visiteurs sur votre site, entre 0€ et 199€ / mois. Pour un site de taille moyenne (moins de 150K visites par mois), il faudra compter 15€ / mois.

Solution 2 : Cookiebot

Le positionnement est quelque peu inverse à celui de l’outil précédent. L’interface de Cookiebot n’est pas très élégante pour l’internaute. L’interface administrateur est également quelque peu rudimentaire. En revanche, CookieBot propose une solution qui analyse automatiquement l’ensemble des cookies utilisés par votre site. Ainsi, CookieBot va automatiquement les lister dans les interfaces de consentement.

Avantages 

  • Analyse automatique des cookies présents sur le site
  • Très simple d’utilisation
  • Tarif compétitif

Inconvénients

  • Un design très rudimentaire, aussi bien pour les bandeaux que pour l’interface Admin
  • Un périmètre limité de fonctionnalités (Bandeau et registre des consentements uniquement)

Tarif de Cookiebot

Cookiefirst propose une solution gratuite, puis un tarif premium à partir de 9€/mois.

Solution 3 : Cookiefirst

Cookiefirst est très proche de Cookiebot, avec une apparence un peu plus agréable au niveau de l’espace personnel. 

Il y a différentes options disponibles, comme le paramétrage du design, des catégories, etc. L’outil propose également une option de scan de votre site pour identifier les cookies présents.

Avantages 

  • Une interface visuelle claire et efficace
  • Un tarif dans les prix du marché
  • Permet de gérer de nombreux sites efficacement
  • Il permet de gérer plusieurs utilisateurs

Inconvénients

  • La partie consentement n’est pas accessible avec l’offre gratuite

Tarif de Cookiefirst

Cookiefirst propose 3 tarifs différents : une offre gratuite, une offre à 9€/mois puis une offre à 19€/mois.

Envie de découvrir d’autres solutions de cookies et de Consent Management Plaform ? Découvrez notre benchmark complet.

Psst... Le logiciel RGPD Leto est là pour vous accompagner à chaque étape de votre mise en conformité RGPD. Réservez une Démo avec nos experts 💁🏻.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre