Bandeau cookie

Le "bandeau cookie", cet inconnu...

Vous savez, c'est la fameuse bande apparaissant généralement en haut des sites internet à la première visite ou en pop-up. Et réapparaissant après le vidage du cache du navigateur web. Ce bandeau vous informe que des cookies seront déposés sur votre terminal, ordinateur, tablette ou smartphone. Et c'est là que les ennuis commencent...

 

I/ Bon nombre de sites sont en illégalité avec leur "bandeau cookie"

Disons le d'emblée : une grande partie des entreprises ne respectent pas à 100% la loi sur cette question.

Schématiquement, on exige 3 éléments concernant ce que l'on appelle les cookies "marketing" (suivi statistique de visite via Google Analytics, géolocalisation, publicité ciblée, embbed de vidéos, embbed de boutons de réseaux sociaux...) :

  • expliquer aux internautes la finalité du dépôt : à quoi sert le cookie ? Mesures d'audience, publicités ciblées ? Les deux ? Ainsi, il faut informer clairement les utilisateurs.
  • permettre aux internautes de refuser le dépôt : il est impossible pour les utilisateurs de "subir" et de ne pas pouvoir refuser le traitement de données.
  • obtenir le consentement des internautes : ce consentement est obtenu si l'utilisateur effectue une action marquant clairement son acceptation (nous reviendrons plus tard sur cette notion).

Aussi étonnant que cela puisse paraître, les sites web ne réalisent en général pleinement que la première situation, et encore... En clair, le "bandeau cookie" informe seulement qu'un ou plusieurs cookie(s) est / sont déposé(s). Souvent de manière évasive. Et que l'on effectue ou pas une action, le cookie s'inscrit sur le terminal, sans consentement préalable donc.

 

Mais comment en est-on arrivé là ? Plusieurs raisons :

  • méconnaissance : nul n'est censé ignorer la loi, tout le monde le sait, mais ceci restera toujours un vœux pieux. En effet, combien de gens en France connaissent clairement ce principe ? Ou même comprennent vaguement les règles du bandeau cookie ? ...
  • difficultés techniques : ... et même si le principe a bien été compris, il peut paraître relativement compliqué de le matérialiser sur un site internet. D'ailleurs, pendant longtemps, aucune notice claire n'était véritablement donnée aux éditeurs pour recueillir valablement le consentement.
  • incompréhension :  certains ne comprennent pas l'utilité tandis que d'autres ne conçoivent pas qu'une loi puisse à ce point ne pas être respectée.
  • malice : ne soyons pas naïfs, beaucoup font aussi semblant de ne pas comprendre. En effet, le cookie ne peut se déposer qu'à partir du moment où la personne a donné son consentement. A contrario, s'il refuse ou ne le donne pas, le cookie n'est pas déposé et le service n'est pas dispensé. Ainsi, les responsables de sites, pour beaucoup, décident de passer outre cette obligation pour continuer à diffuser des bannières de publicités ciblées ou alimenter à 100% leurs statistiques de visite par exemple.

 

II/ L'évolution de la doctrine concernant le "bandeau cookie"

Bandeau cookie illégal

Une directive européenne de 2002, mise à jour sur la question des cookies par une autre directive de 2009, ont créé à l'époque un régime spécial. En effet, à mi-chemin entre l'opt-in (accord) et l'opt-out (pas d'opposition), la transposition en droit français dans la loi Informatique & Libertés (article 32.II) a donné un opt-in dégradé (ou "super opt-out").
Ainsi, on demandait l’ « accord » de la personne concernée (et non le « consentement »). C'est-à-dire que le consentement était présumé si, sur la page du site où atterrissait l'utilisateur :

  • un bandeau d'information apparaissait. Ce bandeau devait renvoyer vers une mention spécifique sur les cookies expliquant très précisément comment le site mettait en place le marketing ciblé et comment l’utilisateur pouvait s’y opposer (par la configuration du navigateur ou par un bouton arrêtant l’opération).
  • ET que cet utilisateur effectuait une action montrant son accord et le fait qu'il ne se soit pas opposé au dépôt de cookies. La règle était d'attendre une action à minima significative, soit :
    • un clic sur un bouton marquant clairement l'acceptation,
    • la poursuite de la navigation (avec changement de page obligatoire, le défilement [scroll] dans la page ne suffisait pas)
    • un clic dans un élément interactif de la page en cours (activation de la recherche, lien ancre pour un "one page", etc.).

C'est seulement à ce moment-là que le cookie pouvait se déposer et que le "bandeau cookie" pouvait s'effacer.

Problème : cette poursuite de la navigation en allant sur d'autres pages faisait que bon nombre de cookies étaient déposés du simple fait de la rapidité des internautes à changer de page sans avoir parfaitement pris connaissance des tenants et aboutissants et de l'information dispensée dans le bandeau. Donc cet "accord" n'était pas un véritable "consentement" au sens du RGPD.

 

III/ Un vrai consentement pour le "bandeau cookie"

Bouton ok du bandeau cookie

Ainsi, pour ces sites web non conformes, une optimisation immédiate du "bandeau cookie" est à réaliser. Et le dépôt de cookie est à proscrire si le consentement n'est pas valablement reçu.
D'ailleurs, ce dépôt de cookie en l'absence d'accord de l'utilisateur peut se vérifier simplement en ajoutant une extension à son navigateur. N'oubliez pas que vos utilisateurs peuvent le vérifier aussi. Et, le cas échéant, signaler à la CNIL le manquement ! En effet, la CNIL peut réaliser des contrôles à distance et sanctionner les sites récalcitrants.

Nota : les cookies dits "techniques", qui ne sont utiles que pour le bon affichage du site et la bonne marche des fonctionnalités (comme le panier d'un site e-commerce), ne sont pas soumis à un consentement préalable avant dépôt.

 

Mais avant même de discuter de ce dépôt, il est préférable de vérifier la phrase d'information qui l'accompagne. En effet, les termes choisis pour avertir les utilisateurs ne doivent pas être confus ou inintelligibles. Ceci doit même aller jusqu'à définir ce qu'est un cookie ! Après tout, pour beaucoup, il ne s'agit que d'un gâteau succulent...

 

Mauvaise phrase "En poursuivant votre navigation sur le site, des cookies seront déposés sur votre site." - Ce modèle de phrase présente 3 problèmes :

  • la poursuite de la navigation n'est plus une condition suffisante pour qu'un consentement soit valablement reçu et qu'un cookie marketing soit déposé,
  • il n'est pas expliqué ce qu'est exactement un "cookie",
  • il n'est surtout pas expliqué la finalité du dépôt de cookie marketing : suivi Analytics, bouton "J'aime" de Facebook, publicité ciblée... ?

 

Bonne phrase Donc une phrase acceptable au sens des lois de protection des données ressemblerait plutôt à cela :

"Des cookies, petits fichiers informatiques, peuvent être déposés sur votre terminal. Si vous y consentez, le responsable du site pourra recueillir des statistiques de visites anonymes pour optimiser la navigation."

 

Enfin, l'intitulé du bouton d'acceptation ne doit pas, lui non plus, être ambigu. A ce titre, un "J'accepte" puissant est préférable à un "OK" laconique.

 

IV/ Le renforcement du consentement par le RGPD : la CNIL va plus loin concernant le "bandeau cookie"

CNIL Le RGPD a renforcé le consentement par son article 7 et énonce notamment :

  • qu'il doit résulter d'un acte ou d'une manifestation de volonté non ambigu(e) (continuer sa navigation sur un site n'est donc pas un acte clair),
  • qu'à tout moment, l'utilisateur peut reprendre le consentement qu'il a donné. Ou autoriser le consentement préalablement refusé,
  • que l'internaute puisse décider au cas par cas des cookies qui se déposent ou non sur son terminal.

La majorité des sites web actuels, WordPress ou non, ne permettent pas d'obtenir un tel résultat. C'est pourquoi une mise en conformité du "bandeau cookie" est à réaliser.

Et au-delà du bandeau, c'est l'ensemble de son site, WordPress ou non, qui est à mettre en conformité, y compris la mise à jour des mentions légales. En clair, votre site internet n’est probablement pas conforme au Règlement européen sur la protection des données.

L’agence A Vos Sites Pros propose un process d’accompagnement personnalisé de mise en conformité de votre site internet WordPress avec le RGPD avant le 25 mai 2018, date de son entrée en application :

– audit du site internet,
– une sécurisation renforcée du WordPress,
– une mise à niveau du « bandeau cookie » 100% RGPD compatible,
– mentions juridiques globales mises à jour,
– …

Et pour comprendre mieux tous les tenants et aboutissants, vous pouvez faire appel à un formateur RGPD.

Pour aller plus loin :

//www.avossitespros.com/wp-content/uploads/2018/03/footer_logo.png