Mise à jour en décembre 2022

Cookies internet : comment mettre son site en conformité RGPD

Tout sur la conformité de votre site web en matière de cookies : comment mettre son site en conformité RGPD

Petit rappel : Les cookies sont de petits fichiers texte que le site Web stocke sur un navigateur lorsqu’il visite le site Web. Les sites Web les utilisent à des fins multiples comme le stockage des statuts de connexion, la mémorisation des articles du panier dans une boutique en ligne, l’identification d’un nouvel utilisateur ou d’un utilisateur qui revient, l’analyse du comportement de l’utilisateur sur le site, etc.

Pour se conformer au RGPD et à la loi sur les cookies, les sites Web doivent informer les utilisateurs des cookies utilisés sur le site et obtenir leur consentement pour les utiliser. Pour informer les utilisateurs des cookies, vous devez d’abord comprendre quels cookies votre site Web et les services de tiers sur votre site Web définit sur le navigateur de l’utilisateur.

Les sites Web devraient informer les utilisateurs des cookies à l’aide d’une bannière de cookies et plus de détails sur les cookies dans la politique de confidentialité /cookies du site Web.

Note : Il ne suffit pas d’informer les utilisateurs des cookies utilisés sur le site. Pour utiliser les cookies, autres que les cookies nécessaires, le site Web doit avoir le consentement de l’utilisateur.

Comment être conforme à la loi sur les cookies ?

Pour être pleinement conforme à la loi sur l’utilisation des cookies, vous devez, avant toute chose, afficher une bannière de cookies sur votre site Web qui vous aidera à informer les utilisateurs et à obtenir leur consentement. Avant que les utilisateurs ne donnent leur consentement, aucun cookie ne doit être installé sur le navigateur. Les cookies ne doivent pas non plus être configurés si les utilisateurs ont rejeté l’utilisation des cookies.

Vous avez à votre disposition plusieurs extensions pour mettre votre site web en conformité avec le RGPD. Comme les extensions gratuites demandent toutes un travail manuel de recherche pour scanner les cookies présents sur votre site et pour pouvoir lister leurs catégories, leurs objectifs et leurs temps de présence, j’ai choisi de vous présenter 2 extensions premium qui vont faire ce travail pour vous, à quelques détails près.

3 extensions prémium pour mettre votre site en conformité avec le RGPD

Complianz ( version gratuite)

Mettez-vous en conformité dès aujourd’hui dans l’Union européenne et/ou aux États-Unis, au Canada et au Royaume-Uni avec ce plugin plugin complet pour être conforme au  RGPD, DSGVO, PIPEDA, CCPA, COPPA et plus encore ! Il s’agit d’un plugin facile à paramétrer que j’utilise sur la plupart de mes sites et ceux de mes clients. Complianz propose une interface très intuitive qui vous guide pas à pas pour mettre votre site en conformité selon les pays où se trouve votre audience. Il existe en version gratuite et en version premium.

Complianz propose un outil intégré pour scanner votre site à la recherche des cookies, génère votre page Cookies EU ainsi que celles pour les autres pays si nécessaire, crée les pages légales (version premium), vous permet de bloquer certains cookies/scripts, est compatible avec des plugins comme WPML et Polylang, permet de créer une bannière personnalisée (avec du CSS).

Complianz est relié directement à Cookiedatabase.org ce qui permet la création de votre page de cookies en spécifiant le nom, la catégorie, la fonctionnalité et la durée de vie de vos cookies, avec des données toujours à jour. Pensez à régulièrement faire un scan, notamment lorsque vous mettez à jour ou installez de nouveaux plugins.

Webtoffee GDPR Cookie Consent

Webtoffee GDPR Cookie Consent est une extension premium qui permet de mettre son site en conformité au RGPD et au CCPA (si besoin). L’équipe de développeurs Webtoffee propose également un plugin gratuit : CookieYes. 

Avec plus d’ 1 million d’installations en décembre 2022, cette version Premium vous permet de classer les cookies dans différentes catégories et d’attribuer une valeur de priorité à chacune de ces catégories. Outre les catégories de cookies, vous aurez également la possibilité de gérer la liste des cookies comme son – Nom, CookieID, Description, Durée, Type, En-tête et Pied de page du script.

Ce plugin offre une fenêtre contextuelle pour le paramétrage des cookies dans laquelle les visiteurs du site peuvent choisir de refuser, d’accepter ou de donner leur consentement à l’utilisation des cookies en fonction de leur catégorie.  Cette fonction donne une plus grande flexibilité aux visiteurs quant au choix des cookies à autoriser.

Les options de personnalisation étendues fournies par ce plugin vous permettent de personnaliser la bannière de consentement aux cookies afin qu’elle corresponde au style de votre site Web existant.  Vous pourrez, par exemple, placer la bannière dans l’en-tête ou le pied de page de votre site Web, personnaliser les couleurs et la typographie, considérer le défilement de l’utilisateur comme un consentement (facultatif et pas conseillé, mais autorisé jusqu’à fin 2020 – CNIL), fermer automatiquement la barre de témoins après un délai (le délai est configurable, mais cette fonctionnalité n’est pas autorisée pour les pays européens).

L’extension permet d’afficher un petit onglet discret « politique de cookies » sur votre site Web afin que les visiteurs puissent à nouveau accéder facilement à la barre de cookies au cas où ils souhaitent revenir sur leurs choix.  En utilisant ses options de personnalisation, vous pouvez également modifier la position de l’onglet sur la page et adapter son style au design de votre site.

En utilisant le shortcode d’audit des cookies, vous pouvez afficher la liste des cookies actifs sur la page « POLITIQUE DE CONFIDENTIALITÉ ET COOKIES ». L’extension permet de créer une politique de cookies et de confidentialité très détaillée pour vos visiteurs, telle qu’exigée par la loi.

Vous pourrez également opter pour la création d’une page exclusivement dédiée aux Cookies avec son outil de création de politique de cookies. Pour ma part, j’ai opté pour une page de politique de confidentialité générale sur mes sites, avec une explication brève sur les cookies et un lien vers une page politique de cookies détaillant ces dernières comme l’exige le RGPD.

La loi sur la réglementation du traitement des données personnelles ou RGPD s’applique qu’aux citoyens européens.  Ainsi, en sélectionnant l’option « Afficher uniquement pour le pays de l’UE », vous pouvez empêcher votre site Web d’afficher la barre de consentement aux cookies pour les personnes hors de l’UE.

Une autre fonctionnalité intéressante à laquelle vous aurez accès en achetant ce plugin est la fonction « rapport de consentement », qui est d’une grande aide pour l’administrateur du site pour trouver les détails des cookies de chacun de ses utilisateurs ainsi que leur date de visite et ID utilisateur pour différentes analyses (anonyme).

En utilisant la fonction d’import/export de ce plugin, vous pourrez importer ou exporter des cookies depuis un site Web ou vers un autre site Web. Il faudra cependant faire un nouveau scan sur le site en question pour être certain de n’avoir oublié des cookies qui ne seraient pas présents sur le site pour lequel vous avez importé la liste des cookies.

Le service de blocage de script incorporé dans ce plug-in permet aux utilisateurs de bloquer éventuellement le script généré à partir de services tiers prédéfinis, conformément au consentement de l’utilisateur. Cela peut être fait soit via le bloqueur automatique de script, soit en ajoutant manuellement des scripts.

Comme ce plugin est compatible avec WPML, le consentement aux cookies fonctionnera correctement dans n’importe quelle langue et pour autant de langues que celles que vous utilisez sur votre site.

GDPR Cookie Compliance premium

La version premium du plugin ci-dessus vous aidera à gagner la confiance de vos utilisateurs en permettant une gestion solide des consentements. Il comprend la gestion de vos Conditions d’utilisation, de votre Politiques de confidentialité et la création de préférences personnalisées pour que les utilisateurs puissent les contrôler et s’y désengager s’ils le souhaitent.

Vos utilisateurs pourront avoir un contrôle total sur leurs données, et lorsqu’un utilisateur fait une demande d’effacement ou d’anonymisation de toutes ses données de votre site WordPress, cela sera pris en compte immédiatement par le plugin.

De même, l’extension fournit un outil permettant aux utilisateurs de demander leurs données par le biais de confirmations de double opt-in et d’exporter le contenu dans un format JSON ou XML pour la portabilité.

En utilisant ce plugin, vous serez en mesure de suivre et d’enregistrer toutes les activités de l’utilisateur, du consentement aux notifications, y compris les demandes de suppression, et de récupérer facilement les données grâce à des journaux d’audit chiffrés et sécurisés.

Ce plugin fonctionne parfaitement avec WPML, MailChimp, BuddyPress, Google AdWords & Analytics, Facebook, Contact Form 7 et WooCommerce…

Vous trouverez plus d’informations dans mon article dédié au plugin GDPR Cookie Complianz

Bonus : Deux solutions en ligne de gestion de cookies

Pour afficher facilement une bannière de notification de cookies sur un site Web, vous pouvez également créer un compte dans CookieYes. CookieYes vous aidera à afficher une bannière de cookies qui peut être facilement personnalisée pour correspondre au design et au thème et au style de votre site Web en installant un simple code.

Une fois inscrit, CookieYes analysera automatiquement votre site Web à la recherche de cookies. Les cookies trouvés seront automatiquement catégorisés et ajoutés à la liste des cookies de votre site Web.

Pour vous assurer que les cookies ne sont pas ajoutés avant le consentement, supprimez les scripts tiers de votre site Web et ajoutez-les à CookieYes.

Cookiebot

Cookiebot est une technologie unique qui détecte automatiquement tous les cookies et les traceurs analogues sur votre site web et les bloque jusqu’à ce que vos utilisateurs aient donné leur consentement. Gratuit jusqu’à 100 pages, le logiciel analyse et met à jour les cookies de votre site une fois par mois. Il génère automatiquement votre bannière pour le consentement des cookies, offre un contrôle total des cookies définis sur votre site web, et permet de bloquer automatiquement tous les cookies et traceurs propres et tiers sur votre site web.

Cookiebot possède un référentiel mondial des cookies décrivant la finalité des cookies tiers couramment utilisés, qu’il applique à votre site pour décrire à la fois les cookies d’origine et les cookies tiers.

Comment être en conformité avec un plugin gratuit ?

Pour être en conformité avec un plugin gratuit il va falloir faire manuellement sa liste de cookies avec leur objectif, durée de vie etc.  Pour cela, vous pouvez utiliser une outil un ligne pour scanner les cookies générés par votre site.

CookieServe

Le scan de cookies est utilisé pour faire la vérification d’un site que vous visitez ou pour pouvoir établir la liste des cookies de votre site si vous utilisez une extension sans scan intégré.

CookieServe est un outil gratuit de vérification des cookies qui vous aide à déterminer les cookies de première partie et les cookies tiers utilisés sur l’URL entrée. Les résultats sont générés en quelques secondes et avec les détails nécessaires sur les cookies. Les résultats vous montreront le but des cookies et d’autres détails comme la durée pendant laquelle les cookies sont stockés sur un navigateur.

Ces renseignements vous aideront à établir la liste des cookies présents sur votre site afin de le rendre conforme à la politique de conformité de RGPD en ce qui concerne le traitement des cookies.

Comme la loi exige que le processus de collecte des données soit transparent, la personne responsable d’un site web devra divulguer tous les cookies utilisés sur le site Web. La liste des cookies devra également contenir des détails tels que l’usage qui est fait de ces cookies, qui les installe (ou avec qui les données sont partagées), et combien de temps ils sont stockés.

CookieServe vous aidera à déterminer ces détails qui peuvent être utiles pour informer les visiteurs du site Web sur les cookies et se rapprocher au plus près de la conformité.

Pouvez-vous vérifier manuellement les cookies sur votre site Web ?

Oui, vous pouvez vérifier les cookies utilisés par un site Web en utilisant la console de développement de tous les principaux navigateurs. C’est même conseillé de faire une vérification manuelle en plus du scan fait par votre extension ou outil en ligne car l’analyse automatique peut ne pas être en mesure de détecter certains cookies qui sont définis plus tard dans le navigateur. Une vérification manuelle des cookies utilisés sur le site Web vous aidera à déterminer s’il y a des cookies non détectés dans l’analyse.

Bien que l’activation d’un plugin ou l’utilisation d’un outil en ligne plus une vérification manuelle des cookies de votre site Web soit essentielle pour se conformer à la loi, il ne peut pas vous garantir une conformité à 100%. Néanmoins, l’utilisation d’un plugin à cette fin est déjà un bon début. La moitié du travail serait fait en utilisant l’un des plugins ci-dessus.

Pensez aussi à refaire un scan de votre site lorsque vous faites des changements sur ce dernier : installation d’une nouvelle extension, d’un lien d’affiliation, d’une publicité, d’un lien vers un nouveau réseau sociaux. Et donc à mettre à jour votre liste de cookies.

Et ensuite ? Les autres points à vérifier pour être en conformité avec le RGPD.

Vos pages de confidentialité et de cookies

Vous devez vous assurer que votre politique de confidentialité et vos pages d’information sur les cookies sont également mises à jour régulièrement pour refléter les paramètres que vous définissez lorsque vous utilisez une extension de gestion des cookies.

Il existe des plugins que vous pouvez utiliser pour créer une page de politique de confidentialité dans votre site Web WordPress, comme le plugin Auto-Terms Privacy Policy, mais je vous recommande vivement de créer votre propre page car chaque site Web est unique et nécessite un ensemble spécifique de conditions de confidentialité.

La case de consentement au niveau de vos formulaires

Chaque formulaire doit présenter à minima une case à cocher pour permettre à la personne qui renseigne ses coordonnées de donner son consentement à l’utilisation de ces données pour recevoir une réponse, un devis ou autres informations. Le formulaire doit également afficher un lien vers la politique de confidentialité qui doit préciser comment et dans quels cas ces données personnelles sont utilisées.

Les formulaires d’inscription où les visiteurs peuvent s’inscrire pour recevoir vos courriels et info-lettres requièrent également le consentement explicite de vos contacts à recevoir des courriels s’ils s’inscrivent par le biais de ces canaux.

Si vous souhaitez bénéficier d’un niveau de confort supplémentaire pour vous assurer d’avoir un consentement documenté, vous pouvez également activer l’opt-in confirmé – également appelé double opt-in – dans votre compte. Pour cela, les nouveaux contacts doivent confirmer leur inscription en cliquant sur un lien avant que vous puissiez leur envoyer des e-mails supplémentaires après avoir choisi de recevoir un e-mail de votre part. Par exemple si vous proposez un e-book au téléchargement pour capter les coordonnées des personnes et que vous souhaitez utiliser cet email pour l’envoi de newsletters ou de publicités par la suite. Gardez juste à l’esprit que dès que vous envoyez un email d’information, publicitaire ou autre par le biais de votre site il faut avoir le consentement de la personne à qui vous l’adressez.

Pour mes formulaires de contact, de devis et newsletters j’utilise l’extension WP Forms qui permet d’ajouter facilement une case à cocher pour le consentement et qui proposes également de générer un fichier avec toutes les données des personnes ayant utilisé l’un des formulaires afin de faciliter le droit à l’oublie (accès, rectification, opposition et effacement) par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

Mise en conformité des commentaires au RGPD

Si vous laissez à vos visiteurs la possibilité de faire un commentaire à la suite de vos articles ou vos fiches produits vous devez là aussi obtenir leur consentement explicite au traitement de leurs données personnelles. Deux possibilités s’offrent à vous :

Autoriser la publication de commentaires seulement lorsque l’utilisateur est connecté à son compte

Dans ce cas il vous suffit d’aller dans les Réglages de WordPress pour cocher la case « Un utilisateur doit être enregistré et connecté pour publier des commentaires » dans l’onglet « discussions ».

La case à cocher pour le consentement au niveau des commentaires a été ajouté aux dernières versions de WordPress. Il suffit d’aller sur votre tableau de bord, dans Réglages puis Discussion, et de cocher la case  » Afficher la case à cocher pour accepter les cookies sur les commentaires », ce qui permet l’enregistrement de cookies pour les auteurs de commentaires.  Pour avoir une case à cocher au niveau des commentaires de vos articles, conforme à ce que demande le RGPD. Vérifiez bien qu’elle s’affiche effectivement car cette fonctionnalité a parfois un peu de mal à fonctionner avec certains thèmes ou extensions installés sur votre site.

Si la personne a procédé à la création d’un compte, elle a forcément accepté votre politique de confidentialité lors de son enregistrement. Donc inutile de lui redemander à chaque fois qu’elle fera un commentaire sur votre blog.

Vous pouvez également vous servir de l’extension WPDiscuz qui permet non seulement de gérer les commentaires de façon optimale (notifications de publication de commentaires, notifications de réponse à l’internaute, mise en page personnalisée…), mais également de s’assurer que la gestion des commentaires et des données personnelles soit bien en conformité avec la loi.

Une autre alternative est  WP Comment Policy Checkbox  qui permet d’ajouter une case à cocher en toute simplicité.

La mise en conformité au RGPD n’est donc pas forcément une tâche insurmontable si vous choisissez les bons outils, et l’éviter ne vous rendra pas service. Si vous n’avez pas encore pris les mesures nécessaires pour rendre votre site Web ou votre blog WordPress conforme, vous feriez mieux de commencer maintenant.

Pour plus d’informations vous pouvez vous rendre sur le site de la CNIL ou sur celui de https://cookiepedia.co.uk/eu-cookie-law (en anglais). Vous y trouverez tout ce qu’il faut savoir sur les cookies !

Un petit partage me ferait plaisir !