Back to Blog

FAQ de la CNIL sur les cookies, quoi de neuf ?

Maxime JAILLET

La CNIL a publié sa FAQ (Foire Aux Questions) sur les cookies. Elle répond aux questions courantes que tout le monde se pose pour l’application de ses lignes directrices. Analytics, consentement, information, cookie wall, ux design… On vous présente les principales nouveautés et précisions à retenir. C’est l’actualité juridique du jour.

Quelles nouveautés par rapport aux recommandations de 2013 et 2019 ?

Ces dernières années, l’actualité du cookie a été relativement riche :

  • Le RGPD est entré en vigueur en 2018. Il définit dans quelles conditions le consentement doit être collecté. Il a ainsi marqué la fin du soft opt-in.
  • Le Conseil d’État a rendu un arrêt le 19 juin 2020. Cette décision a remis en cause partiellement la position de la CNIL.

Les lignes directrices actuelles prennent en compte ces normes. La CNIL en profite pour fournir une liste de recommandations concrètes sur :

  • la manière de collecter le consentement et le refus de l’utilisateur. Ce consentement se donne par finalité mais il peut aussi porter sur chaque société qui dépose des cookies.
  • l’information à apporter sur le ou les responsables des traitements de données collectées via les cookies. En pratique, il s’agit de lister ces entités, de fournir un lien vers leurs politiques de confidentialité et d’indiquer les finalités des cookies déposés.
  • la preuve à apporter en matière de consentement.

A noter que les lignes directrices s’appliquent aux sites internet mais pas aux espaces intranet.

Les cookies de mesure d’audience, c’est oui... mais...

Le régime des cookies de mesure d’audience reste compliqué. Consentement ou pas consentement ? Heureusement, la CNIL apporte des précisions sur ce qu’elle attend des éditeurs.

  • Attention aux discours commerciaux qui vous promettent une solution anonyme pour continuer à faire du tracking publicitaire. L’exemption de consentement ne vous permet de faire que de la mesure statistique anonyme sur votre site. Et rappelez-vous qu’une anonymisation totale des données n’est pas évidente à obtenir.
  • La CNIL compte publier sur son site une liste des acteurs dont les solutions vous permettront de bénéficier de l’exemption de consentement
Comic Strip le Cookie soldat

Dans quels cas demander le consentement des internautes ?

L’accord de vos utilisateurs sera indispensable pour les cookies non nécessaires au fonctionnement du site. Et notamment ceux utilisés pour  :

  • des finalités publicitaires. Cela inclut la facturation des opérations d’affiliation et l’affichage de publicités contextuelles ;
  • La lutte contre la fraude. Certains cookies pourront néanmoins être considérés comme indispensables au fonctionnement du site. Par exemple, ce sera le cas de ceux qui servent à sécuriser un mécanisme d’authentification ;
  • la mise à disposition de fonctionnalités de partage sur les réseaux sociaux.

Cookie Wall, TCF IAB ? Licite ou non ?

La CNIL reste défavorable au format du cookie wall mais ne l’interdit pas complètement. Une analyse au cas par cas sera donc nécessaire pour déterminer ce qui respecte ou non la réglementation.

La CNIL ne se positionne pas directement sur le protocole TCF auquel l’IAB soumet l’industrie publicitaire. Subtilité du droit, chaque éditeur a besoin d’une base légale distincte :

  • pour déposer et lire des cookies, d’une part ;
  • pour collecter des données via ces cookies et les exploiter, d’autre part.

Théoriquement,un éditeur pourrait donc soumettre ses cookies au consentement mais collecter des données en se basant sur son seul intérêt légitime.

Heureusement, la CNIL rappelle que le refus d’un l’utilisateur du recours à des traceurs publicitaires entraîne aussi celui de la collecte des données.

Comic strip Rendez les cookies heureux

Comment informer les utilisateurs ?

Selon la Commission Nationale de l’Informatique et des Libertés, l’information doit être complète, visible et mise en évidence.

L’écran d’interpellation de votre audience (qu’il prenne la forme d’une bannière, d’une popup ou d’un cookie wall) comprendra donc un premier niveau d’information.

  • La liste des principales finalités des cookies déposés. On mentionnera ainsi sur le premier écran une finalité publicitaire dont on détaillera les objectifs (sous-finalités) dans un second temps (capping publicitaire, facturation, lutte contre la fraude au clic…) ;
  • la liste du ou des responsables de traitement, en pratique rendue accessible par un lien cliquable ;
  • la possibilité de revenir sur son consentement à tout moment ;
  • éventuellement, les conséquences liées au refus d’un cookie.

Une information plus complète sera fournie de manière éparse au sein du module de gestion des cookies et dans une rubrique dédiées.

Gérer l’UX design de vos parcours

La CNIL accorde une grande importance à l’UX design de votre module, au point d’émettre des recommandations en la matière telles que :

  • ne pas avoir recours à des mécaniques permettant de fausser ou forcer le consentement (dark patterns). Ce serait le cas par exemple si l’éditeur laisse entendre que le consentement est obligatoire ou s’il met en valeur un choix plutôt qu’un autre.
  • Afficher un bouton un bouton « Tout accepter » et un bouton « Tout refuser » sur le premier écran de sollicitation. La CNIL est par contre défavorable à l’affichage d’un bouton « Tout accepter » et un bouton « Paramétrer vos choix » ;
  • rendre le module de gestion des cookies accessible par un bouton affiché sur un endroit qui attire l’attention de l’internaute.

Quid de la délégation de sous-domaines ?

La délégation de sous-domaines (ou CNAME Cloacking) est un procédé envisagé par certains pour contourner leurs obligations. L’éditeur délègue la gestion d’un sous-domaine à un acteur tiers qui pourra continuer de déposer des cookies mais pour le compte de l’éditeur.

Ce n’est pas illicite en soi mais cela augmente les risques.

  • L’éditeur reste comptable de ses devoirs de transparence et éventuellement de recueil de consentement ;
  • Ce procédé peut engendrer des failles de sécurité, notamment si des hackers devenaient en mesure de lire les jetons d’authentification stockés dans les cookies.

Conclusion : Etes-vous prêts à respecter les lignes directrices de la CNIL ?

En publiant sa foire aux questions, la CNIL continue d’alimenter le marché en informations pertinentes. On en sait plus sur la manière d’implémenter les lignes directrices.

C’est parti ! Vous voilà invité à basculer dans une approche privilégiant la transparence et le contrôle rendu à l’utilisateur. Mais aussi finalement à penser la gestion des cookies en termes d’expérience marketing. C’est ce qu’Axeptio propose avec sa Consent Management Platform.

Alors n’attendez plus pour vous y mettre.

Share on social media: 

Ne partez pas si vite ... 

Les murs porteurs ...

Une question revient de plus en plus du côté des entreprises désireuses de trouver une astuce aux contraintes posées par la réglementation sur les Cookies associé à la notion de consentement empruntée au RGPD : peut-on imposer un choix à l’internaute lors de son passage sur un site web ? « Êtes-vous oui ou non d’accord pour que nous déposions un cookie sur votre machine ? Répondez ou partez. »

Lire la suite

Après la France, l'Italie va publier ses nouvelles règles pour les cookies !

En Italie, la consultation publique lancée par le régulateur étant achevée, on attend que le Garante publie ses nouvelles lignes directrices sur les cookies. Si vous vous intéressez à ce marché, c’est le moment de vous préparer à l’application des nouvelles règles. Configuration de la bannière, cookies de mesure d’audience, consentement granulaires, cookies walls…

Lire la suite

Consent Wall et Cookie Wall

Il y a 20 ans je mettais en ligne mon premier site internet. J'avais imbriqué sans tout bien comprendre des balises <table>, <tr>, <td> et intégré des images tirées d'un CD-ROM que j'avais reçu en cadeau avec mon magazine d'informatique. J'avais fini par comprendre comment me connecter à l'espace FTP inclus dans mon abonnement 56k et avec l'ancestral Fetch j'avais pu y déposer mes fichiers. Mon site était en ligne, accessible par le monde entier, sans authentification, sans barrière, ni bannière.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.