Back to Blog

Les 5 points incontournables des nouvelles lignes directrices sur les cookies

Maxime JAILLET

La CNIL a publié ses nouvelles lignes directrices et recommandations. Le compte à rebours est lancé, vous avez 6 mois pour mettre vos sites web et applications en conformité RGPD. Pas de panique. Pour vous faciliter la tâche, on vous montre les principaux points et on vous fournit la liste des articles must-read de notre blog pour tout savoir et tout comprendre. C’est notre actualité marché du jour.

Des boutons « Tout accepter » et « tout refuser » dès le premier écran

L’utilisateur doit pouvoir accepter ou refuser très librement les cookies que les éditeurs souhaitent pouvoir déposer.

Quid de donner un choix global :

  • pour tous les cookies du site ;
  • pour ceux liés à une finalité spécifique (publicité, réseaux sociaux…) ?

La CNIL l’accepte mais ses recommandations sont strictes.

Par exemple, sur le premier écran de l’interface de consentement (où l’on apprend les principales finalités des cookies déposés), il faut un bouton « tout accepter » et un bouton « tout refuser ».

A l’inverse, selon la Commission, « les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement ».

Ce n’est donc pas interdit mais fortement déconseillé.

Ca tombe bien, ces recommandations rejoignent la philosophie du module de cookies d’Axeptio. Et si afficher dès ce stade un bouton de refus vous fait peur, consultez nos statistiques relatives aux taux d’opt-in. Elles sont très bonnes.

Le cookie wall, oui, mais au cas par cas

Hésitez-vous sur la forme que prendra votre interface de consentement ? Bandeau, bulle de notification, cookie wall ?

Suite à l’arrêt rendu par le Conseil d’État, la CNIL n’a pas pu interdire totalement cette pratique. L’analyse de conformité se fera donc au cas par cas.

Si ce format vous tente, consultez nos conseils pour faire un cookie wall privacy-friendly.

Une information claire sur les acteurs déposant des cookies via le site visité

Désormais, vous informez vos visiteurs pour tous les cookies déposés via votre site.

  • Les vôtres ;
  • ceux déposés par des fournisseurs de modules jouant un pur rôle de sous-traitant. Un prestataire de mesure d’audience par exemple.

Sauf que certaines sociétés déposent des cookies et collectent des données pour leurs besoins propres qui viennent se sur-ajouter aux vôtres :

  • un fournisseur de réseau social ;
  • une régie opérant un ciblage publicitaire multi-sites ;
  • etc.

Ces sociétés ne sont pas de simples sous-traitants. Elles sont responsables de traitement, parfois responsables conjointement avec vous. Votre interface de consentement doit au minimum comprendre un lien listant ces sociétés.

Axeptio va de ce point de vue plus loin puisque l’on accepte ou refuse un cookie par finalité mais aussi en fonction de l’identité de son émetteur.

Haro sur les cookies multi-finalités

Comme beaucoup d’acteurs, vous utilisez peut-être les données de navigation en ligne pour mesurer votre audience mais aussi pour segmenter et cibler votre audience.

Techniquement, la tentation est grande d’utiliser le même cookie pour plusieurs finalités différentes. La CNIL recommande de ne plus le faire et de n’affecter qu’une seule finalité à chaque cookie.

  • Cela permet d’être certain que les collectes de données pour la personnalisation publicitaire ou éditoriale du site seront soumises à un consentement préalable. Au contraire des opérations de mesure du trafic du site.
  • Le refus de consentement n’impacte pas les autres finalités. Votre visiteur peut parfaitement refuser la personnalisation des publicités diffusées sur le site mais accepter d’être comptabilisé comme visiteur du site.

Pas de dark patterns, pas de consent fatigue

Comic strip "Le dark pattern"

Les recommandations de la CNIL la conduisent à rejeter toute pratique susceptible de forcer le consentement ou faire revenir sur un choix de refus. Elle donne par conséquent beaucoup d’exemples inacceptables.

  • Pas de rédaction ambiguë. En mettant à disposition une case cochable ou un interrupteur, vous demandez à l’utilisateur un choix concernant tel type de cookies ou tel type de cookie. La mention qui accompagne doit être claire. Une case non cochée, un interrupteur éteint veut dire que vous n’acceptez pas le dépôt du cookie et rien d’autre.
  • Pas de rédaction compliquée. La mention doit être courte et claire, comme le reste de votre information. L’essentiel est dit en quelques phrases. Ne perdez pas l’utilisateur en l’obligeant à cliquer sur des liens pour se noter dans de l’information.
  • Les boutons « Accepter » et « refuser » doivent être mis sur un même pied d’égalité. Votre bouton d’acceptation ne peut pas être plus grand que l’autre, ou plus lumineux, ou d’une couleur plus vive. N’influencez pas les choix de votre audience.
  • Si votre visiteur a refusé tous les cookies, n’affichez pas votre module de cookies jusqu’à ce qu’il revienne sur son choix ! Vous stockerez pendant au moins 6 mois les traces d’acceptation et de refus de vos visiteurs. Ce n’est qu’au terme de cette durée que vous pourrez solliciter votre utilisateur pour qu’il mette à jour ses choix.
  • Votre interface de gestion de cookies doit être disponible à tout moment… par un moyen visible. Ne cachez pas le lien de réactivation du module au fin fond de votre politique de confidentialité. Votre utilisateur doit pouvoir revenir à tout moment et facilement sur ses consentements.

A ce sujet, consultez notre approche UX design de la gestion des cookies.

Que faire ? Surtout ne pas paniquer.

Vous avez 6 mois pour mettre en conformité vos sites web et applications mobiles au regard des nouvelles prescriptions de la CNIL.

  • Dès à présent, vous pouvez être contrôlé par la CNIL. L’absence de recueil de consentement, des modalités d’opposition invalides ou une rubrique d’information sur les cookies incomplète pourront vous être reprochés.
  • A partir de mars 2021, les contrôles porteront aussi sur les méthodes de recueil du consentement.

La fin progressive des cookies tiers est aussi un sujet qui doit vous conduire à revoir votre gestion des cookies.

Et si vous avez besoin d’aide, Axeptio est là, avec son module et son approche marketing de la gestion des cookies.

Share on social media: 

Ne partez pas si vite ... 

RTB et publicité programmatique - Le framework de l’IAB viole-t-il le RGPD ?

Le dernier rapport de l’Autorité de Protection des Données belge conclut que le framework TCF de l’IAB ne respecte pas le RGPD. Les constats effectués sont accablants. Mais ce n’est qu’un rapport, pas une décision. La procédure de l’APD poursuit donc son cours. Pour les éditeurs de sites web, c’est par contre peut-être le moment de passer au marketing choisi.

Lire la suite

Axeptio a parlé cookies au 28e congrès de l’ACE

Le 15 octobre dernier, Axeptio a participé à un atelier sur les cookies. Ca tombe bien, la CNIL a dernièrement publié ses nouvelles lignes directrices et recommandations. Pour Axeptio, c’était l’occasion de présenter notre philosophie autour de notre module de gestion de cookies.

Lire la suite

Comment appliquer des durées de conservation à vos données personnelles ?

Mettez en place une politique de gestion des durées de conservation de vos données personnelles. Obligation légale de limiter le stockage et l’utilisation au strict nécessaire, c’est aussi un bon moyen de maîtriser votre risque en n’exploitant que des données pertinentes. Nous faisons un saut chez la société Choucroute pour voir comment procéder.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.