Mise à jour en janvier 2023
Dernières recommandations de la CNIL en matière de gestion des cookies/traceurs
« L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs. »
Evolution des règles applicables en matière de RGPD – recommandations de la CNIL
Les règles applicables, appuyés par des lignes directrices et des recommandations de la CNIL, ont pour objectif de permettre aux internautes d’exercer un meilleur contrôle sur les traceurs en ligne.
La CNIL confirme que :
- La simple poursuite de la navigation sur un site web ne peut plus être considérée comme consentement explicite de la part du visiteur : les bannières qui disparaissent après un simple scroll ou clic de la part de l’internaute ne sont donc en aucun cas conformes au RGPD.
- Les visiteurs doivent consentir au dépôt des cookies en y consentant de façon explicite (comme l’acte de cliquer sur « je refuse » ou « j’accepte » au niveau d’une bannière de cookies). Tant qu’ils ne le font pas, aucun cookie non essentiel au fonctionnement du site web ne pourra être déposé sur leur ordinateur, tablette ou téléphone mobile. De même, s’ils refusent l’utilisation de cookies, aucun cookie devra se déposer sur leur appareil.
- Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment. La bannière des cookies doit de ce fait rester accessible pour permettre aux visiteurs de paramétrer les cookies ou de les refuser.
- Le fait de refuser les cookies doit être aussi facile que de les accepter. La CNIL estime donc que lorsqu’un seul clic est requis pour « accepter les cookies » tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé. L’intégration d’un bouton « Je refuse » sur le même niveau et sur le même format que le bouton « J’accepte » est de ce fait nécessaire pour offrir un choix clair et simple à vos visiteurs. En clair, la seule présence d’un bouton « Paramétrer » en complément du bouton « J’accepte » a pour effet de dissuader l’internaute à de refuser les cookies et ne permet donc pas d’être en conformité avec les exigences imposées par le RGPD.
- Les visiteurs doivent être clairement informées des finalités des traceurs avant de consentir, et vous devez leur indiquer les conséquences en cas d’acceptation des cookies comme en cas de refus.
Elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement. - Les organismes exploitant des cookies doivent obligatoirement être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Pour approfondir :