La CNIL et les cookies : votre site est-il aux normes ?

Il y a quelques mois, la CNIL lançait une mesure visant la plupart des webmasters, plus particulièrement tous ceux utilisant un système de cookies sur leur site web. En quoi consiste cette mesure ? Comment être aux normes ?

Le contexte

Les obligations du webmaster

Dans sa délibération n° 2013-378 du 5 décembre 2013, la CNIL précise les obligations des webmasters en terme de cookies. Elle stipule notamment que les webmasters sont désormais tenus :

• D'informer les visiteurs que le site utilise des cookies ;
• De préciser de quels cookies il s'agit et de leur finalité ;
• D'obtenir le consentement des internautes par rapport à l'utilisation desdits cookies ;
• De leur permettre de refuser le suivi ;
• De conserver ce consentement pour une durée de 13 mois au maximum.

A noter que ces obligations concernent les sites internet bien sûr, mais aussi les newsletters. La CNIL a commencé les contrôles en Octobre dernier. Les webmasters ne respectant pas ces guidelines risquent de connaître une mise en demeure ou toute autre sanction (non précisée). Aussi, si votre site n'est pas encore aux normes, hâtez-vous !

Quels sont les cookies concernés ?

• Les cookies d'authentification
• Les cookies de personnalisation de l'interface utilisateur
• Les cookies de panier d'achat sur un site marchand
• Les cookies de session d'équilibrage de charge (dans le cas d'un load balancing)
• Les cookies d'identification de session, pour la durée d'une session ou limités à quelques heures.

Plus généralement, vous devez respecter les commandements de la CNIL si vous utilisez des cookies dans les cas suivants (liste non exhaustive) :

• Publicité ciblée
• Mesure d'audience
• Réseaux sociaux, dans le cas où les boutons de partage collectent des données personnelles sans le consentement des personnes concernées.

En pratique : comment se mettre en conformité ?

Le webmaster doit donc demander expressément le consentement de l'internaute pour pouvoir utiliser les cookies. Il doit lui permettre non seulement de s'informer sur l'utilisation desdits cookies, mais aussi de les refuser. A noter que l'acceptation des conditions générales d'utilisation du site ne peut suffire. La CNIL recommande la mise en place d'un système en deux étapes :

Première étape : informer l'internaute

Lorsque l'internaute se rend pour la première fois sur un site web, qu'il s'agisse de la page d'accueil ou d'une page profonde, un bandeau doit apparaitre avec les informations suivantes :

• Finalité précise des cookies utilisés
• Possibilité de refuser les cookies
• Possibilité de poursuivre la navigation sur le site, sachant que cela signifie accepter les cookies.

Exemple de bandeau (modèle proposé par la CNIL) :

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [ Cookies ou autres traceurs ] pour vous proposer et [ Par exemple, réaliser des statistiques de visites].

Ce bandeau doit rester apparent tant que l'internaute n'a pas effectué une action, qu'il s'agisse de la poursuite de sa navigation ou du refus de l'acceptation des cookies.

Deuxième étape : page "En savoir plus"

Le webmaster se doit aussi de créer une page "En savoir plus / Paramétrer les traceurs". Cette page doit être accessible depuis un lien présent sur le bandeau présenté dans l'étape 1. Elle doit informer l'usager du rôle de chacun des cookies utilisés par le site, et lui permettre de gérer l'approbation et le refus des cookies :

• Pour l'ensemble des technologies de traçage utilisées ;
• Par finalité (exemple : "Réseaux sociaux", "Publicité", "Mesure d'audience"...).

Tant que l'internaute n'a pas spécifiquement autorisé les cookies, vous ne pouvez pas les utiliser.   Et vous, avez-vous pensé à mettre votre site aux normes ? Comment avez-vous procédé ? Que pensez-vous de cette mesure imposée par la CNIL ?