Back to Blog

FAQ de la CNIL sur les cookies, quoi de neuf ?

Maxime JAILLET

La CNIL a publié sa FAQ (Foire Aux Questions) sur les cookies. Elle répond aux questions courantes que tout le monde se pose pour l’application de ses lignes directrices. Analytics, consentement, information, cookie wall, ux design… On vous présente les principales nouveautés et précisions à retenir. C’est l’actualité juridique du jour.

Quelles nouveautés par rapport aux recommandations de 2013 et 2019 ?

Ces dernières années, l’actualité du cookie a été relativement riche :

  • Le RGPD est entré en vigueur en 2018. Il définit dans quelles conditions le consentement doit être collecté. Il a ainsi marqué la fin du soft opt-in.
  • Le Conseil d’État a rendu un arrêt le 19 juin 2020. Cette décision a remis en cause partiellement la position de la CNIL.

Les lignes directrices actuelles prennent en compte ces normes. La CNIL en profite pour fournir une liste de recommandations concrètes sur :

  • la manière de collecter le consentement et le refus de l’utilisateur. Ce consentement se donne par finalité mais il peut aussi porter sur chaque société qui dépose des cookies.
  • l’information à apporter sur le ou les responsables des traitements de données collectées via les cookies. En pratique, il s’agit de lister ces entités, de fournir un lien vers leurs politiques de confidentialité et d’indiquer les finalités des cookies déposés.
  • la preuve à apporter en matière de consentement.

A noter que les lignes directrices s’appliquent aux sites internet mais pas aux espaces intranet.

Les cookies de mesure d’audience, c’est oui... mais...

Le régime des cookies de mesure d’audience reste compliqué. Consentement ou pas consentement ? Heureusement, la CNIL apporte des précisions sur ce qu’elle attend des éditeurs.

  • Attention aux discours commerciaux qui vous promettent une solution anonyme pour continuer à faire du tracking publicitaire. L’exemption de consentement ne vous permet de faire que de la mesure statistique anonyme sur votre site. Et rappelez-vous qu’une anonymisation totale des données n’est pas évidente à obtenir.
  • La CNIL compte publier sur son site une liste des acteurs dont les solutions vous permettront de bénéficier de l’exemption de consentement
Comic Strip le Cookie soldat

Dans quels cas demander le consentement des internautes ?

L’accord de vos utilisateurs sera indispensable pour les cookies non nécessaires au fonctionnement du site. Et notamment ceux utilisés pour  :

  • des finalités publicitaires. Cela inclut la facturation des opérations d’affiliation et l’affichage de publicités contextuelles ;
  • La lutte contre la fraude. Certains cookies pourront néanmoins être considérés comme indispensables au fonctionnement du site. Par exemple, ce sera le cas de ceux qui servent à sécuriser un mécanisme d’authentification ;
  • la mise à disposition de fonctionnalités de partage sur les réseaux sociaux.

Cookie Wall, TCF IAB ? Licite ou non ?

La CNIL reste défavorable au format du cookie wall mais ne l’interdit pas complètement. Une analyse au cas par cas sera donc nécessaire pour déterminer ce qui respecte ou non la réglementation.

La CNIL ne se positionne pas directement sur le protocole TCF auquel l’IAB soumet l’industrie publicitaire. Subtilité du droit, chaque éditeur a besoin d’une base légale distincte :

  • pour déposer et lire des cookies, d’une part ;
  • pour collecter des données via ces cookies et les exploiter, d’autre part.

Théoriquement,un éditeur pourrait donc soumettre ses cookies au consentement mais collecter des données en se basant sur son seul intérêt légitime.

Heureusement, la CNIL rappelle que le refus d’un l’utilisateur du recours à des traceurs publicitaires entraîne aussi celui de la collecte des données.

Comic strip Rendez les cookies heureux

Comment informer les utilisateurs ?

Selon la Commission Nationale de l’Informatique et des Libertés, l’information doit être complète, visible et mise en évidence.

L’écran d’interpellation de votre audience (qu’il prenne la forme d’une bannière, d’une popup ou d’un cookie wall) comprendra donc un premier niveau d’information.

  • La liste des principales finalités des cookies déposés. On mentionnera ainsi sur le premier écran une finalité publicitaire dont on détaillera les objectifs (sous-finalités) dans un second temps (capping publicitaire, facturation, lutte contre la fraude au clic…) ;
  • la liste du ou des responsables de traitement, en pratique rendue accessible par un lien cliquable ;
  • la possibilité de revenir sur son consentement à tout moment ;
  • éventuellement, les conséquences liées au refus d’un cookie.

Une information plus complète sera fournie de manière éparse au sein du module de gestion des cookies et dans une rubrique dédiées.

Gérer l’UX design de vos parcours

La CNIL accorde une grande importance à l’UX design de votre module, au point d’émettre des recommandations en la matière telles que :

  • ne pas avoir recours à des mécaniques permettant de fausser ou forcer le consentement (dark patterns). Ce serait le cas par exemple si l’éditeur laisse entendre que le consentement est obligatoire ou s’il met en valeur un choix plutôt qu’un autre.
  • Afficher un bouton un bouton « Tout accepter » et un bouton « Tout refuser » sur le premier écran de sollicitation. La CNIL est par contre défavorable à l’affichage d’un bouton « Tout accepter » et un bouton « Paramétrer vos choix » ;
  • rendre le module de gestion des cookies accessible par un bouton affiché sur un endroit qui attire l’attention de l’internaute.

Quid de la délégation de sous-domaines ?

La délégation de sous-domaines (ou CNAME Cloacking) est un procédé envisagé par certains pour contourner leurs obligations. L’éditeur délègue la gestion d’un sous-domaine à un acteur tiers qui pourra continuer de déposer des cookies mais pour le compte de l’éditeur.

Ce n’est pas illicite en soi mais cela augmente les risques.

  • L’éditeur reste comptable de ses devoirs de transparence et éventuellement de recueil de consentement ;
  • Ce procédé peut engendrer des failles de sécurité, notamment si des hackers devenaient en mesure de lire les jetons d’authentification stockés dans les cookies.

Conclusion : Etes-vous prêts à respecter les lignes directrices de la CNIL ?

En publiant sa foire aux questions, la CNIL continue d’alimenter le marché en informations pertinentes. On en sait plus sur la manière d’implémenter les lignes directrices.

C’est parti ! Vous voilà invité à basculer dans une approche privilégiant la transparence et le contrôle rendu à l’utilisateur. Mais aussi finalement à penser la gestion des cookies en termes d’expérience marketing. C’est ce qu’Axeptio propose avec sa Consent Management Platform.

Alors n’attendez plus pour vous y mettre.

Share on social media: 

Ne partez pas si vite ... 

US – Qu’est-ce que le CCPA et le CPRA et comment s’y conformer grâce à Axeptio ?

Le module d’Axeptio vous permet de déployer une gestion des cookies conforme au CCPA et au CPRA. L’État Californien s’est en effet doté de normes reposant sur l’information du user et un droit à l’opt-out. Pourquoi s’intéresser à nous ? Parce que notre module étant RGPD-friendly, il passe haut la main le stress-test du CCPA. Pour vous, c’est une occasion de rendre fun vos cookies.

Lire la suite

Consentement, bandeau et cookies – La temporisation est la clé

Temporiser le dépôt de vos cookies ? A l’heure de la course aux opt-in perdus, il s’agit de se concentrer sur l’essentiel. En effet, déposer trop tôt vos traceurs signifie collecter de la donnée personnelle sur une audience non pertinente. La temporisation est donc un moyen appréciable de vous recentrer sur les users véritablement engagés...

Lire la suite

Romain Batigne, Aka Roro, rejoint Axeptio

Si les factures reviennent enfin dans le back-office, c'est grâce à lui : Romain Batigne, Aka RORO ! ALors, on s'est dit que c'était une chouette opportunité pour vous le présenter en quelques questions / réponses.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.