Back to Blog

Les 5 points incontournables des nouvelles lignes directrices sur les cookies

Maxime JAILLET

La CNIL a publié ses nouvelles lignes directrices et recommandations. Le compte à rebours est lancé, vous avez 6 mois pour mettre vos sites web et applications en conformité RGPD. Pas de panique. Pour vous faciliter la tâche, on vous montre les principaux points et on vous fournit la liste des articles must-read de notre blog pour tout savoir et tout comprendre. C’est notre actualité marché du jour.

Des boutons « Tout accepter » et « tout refuser » dès le premier écran

L’utilisateur doit pouvoir accepter ou refuser très librement les cookies que les éditeurs souhaitent pouvoir déposer.

Quid de donner un choix global :

  • pour tous les cookies du site ;
  • pour ceux liés à une finalité spécifique (publicité, réseaux sociaux…) ?

La CNIL l’accepte mais ses recommandations sont strictes.

Par exemple, sur le premier écran de l’interface de consentement (où l’on apprend les principales finalités des cookies déposés), il faut un bouton « tout accepter » et un bouton « tout refuser ».

A l’inverse, selon la Commission, « les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement ».

Ce n’est donc pas interdit mais fortement déconseillé.

Ca tombe bien, ces recommandations rejoignent la philosophie du module de cookies d’Axeptio. Et si afficher dès ce stade un bouton de refus vous fait peur, consultez nos statistiques relatives aux taux d’opt-in. Elles sont très bonnes.

Le cookie wall, oui, mais au cas par cas

Hésitez-vous sur la forme que prendra votre interface de consentement ? Bandeau, bulle de notification, cookie wall ?

Suite à l’arrêt rendu par le Conseil d’État, la CNIL n’a pas pu interdire totalement cette pratique. L’analyse de conformité se fera donc au cas par cas.

Si ce format vous tente, consultez nos conseils pour faire un cookie wall privacy-friendly.

Une information claire sur les acteurs déposant des cookies via le site visité

Désormais, vous informez vos visiteurs pour tous les cookies déposés via votre site.

  • Les vôtres ;
  • ceux déposés par des fournisseurs de modules jouant un pur rôle de sous-traitant. Un prestataire de mesure d’audience par exemple.

Sauf que certaines sociétés déposent des cookies et collectent des données pour leurs besoins propres qui viennent se sur-ajouter aux vôtres :

  • un fournisseur de réseau social ;
  • une régie opérant un ciblage publicitaire multi-sites ;
  • etc.

Ces sociétés ne sont pas de simples sous-traitants. Elles sont responsables de traitement, parfois responsables conjointement avec vous. Votre interface de consentement doit au minimum comprendre un lien listant ces sociétés.

Axeptio va de ce point de vue plus loin puisque l’on accepte ou refuse un cookie par finalité mais aussi en fonction de l’identité de son émetteur.

Haro sur les cookies multi-finalités

Comme beaucoup d’acteurs, vous utilisez peut-être les données de navigation en ligne pour mesurer votre audience mais aussi pour segmenter et cibler votre audience.

Techniquement, la tentation est grande d’utiliser le même cookie pour plusieurs finalités différentes. La CNIL recommande de ne plus le faire et de n’affecter qu’une seule finalité à chaque cookie.

  • Cela permet d’être certain que les collectes de données pour la personnalisation publicitaire ou éditoriale du site seront soumises à un consentement préalable. Au contraire des opérations de mesure du trafic du site.
  • Le refus de consentement n’impacte pas les autres finalités. Votre visiteur peut parfaitement refuser la personnalisation des publicités diffusées sur le site mais accepter d’être comptabilisé comme visiteur du site.

Pas de dark patterns, pas de consent fatigue

Comic strip "Le dark pattern"

Les recommandations de la CNIL la conduisent à rejeter toute pratique susceptible de forcer le consentement ou faire revenir sur un choix de refus. Elle donne par conséquent beaucoup d’exemples inacceptables.

  • Pas de rédaction ambiguë. En mettant à disposition une case cochable ou un interrupteur, vous demandez à l’utilisateur un choix concernant tel type de cookies ou tel type de cookie. La mention qui accompagne doit être claire. Une case non cochée, un interrupteur éteint veut dire que vous n’acceptez pas le dépôt du cookie et rien d’autre.
  • Pas de rédaction compliquée. La mention doit être courte et claire, comme le reste de votre information. L’essentiel est dit en quelques phrases. Ne perdez pas l’utilisateur en l’obligeant à cliquer sur des liens pour se noter dans de l’information.
  • Les boutons « Accepter » et « refuser » doivent être mis sur un même pied d’égalité. Votre bouton d’acceptation ne peut pas être plus grand que l’autre, ou plus lumineux, ou d’une couleur plus vive. N’influencez pas les choix de votre audience.
  • Si votre visiteur a refusé tous les cookies, n’affichez pas votre module de cookies jusqu’à ce qu’il revienne sur son choix ! Vous stockerez pendant au moins 6 mois les traces d’acceptation et de refus de vos visiteurs. Ce n’est qu’au terme de cette durée que vous pourrez solliciter votre utilisateur pour qu’il mette à jour ses choix.
  • Votre interface de gestion de cookies doit être disponible à tout moment… par un moyen visible. Ne cachez pas le lien de réactivation du module au fin fond de votre politique de confidentialité. Votre utilisateur doit pouvoir revenir à tout moment et facilement sur ses consentements.

A ce sujet, consultez notre approche UX design de la gestion des cookies.

Que faire ? Surtout ne pas paniquer.

Vous avez 6 mois pour mettre en conformité vos sites web et applications mobiles au regard des nouvelles prescriptions de la CNIL.

  • Dès à présent, vous pouvez être contrôlé par la CNIL. L’absence de recueil de consentement, des modalités d’opposition invalides ou une rubrique d’information sur les cookies incomplète pourront vous être reprochés.
  • A partir de mars 2021, les contrôles porteront aussi sur les méthodes de recueil du consentement.

La fin progressive des cookies tiers est aussi un sujet qui doit vous conduire à revoir votre gestion des cookies.

Et si vous avez besoin d’aide, Axeptio est là, avec son module et son approche marketing de la gestion des cookies.

Share on social media: 

Ne partez pas si vite ... 

RGPD, LPD... Deux lois pour encadrer la protection des données en Suisse

RGPD et LPD, connaissez-vous ces deux sigles ? C’est le lot quotidien des entreprises établies en Suisse. Le RGPD encadre les opérations concernant les données des citoyens établis dans l’UE. La loi fédérale LPD concerne, elle, la protection des données personnelles en Suisse. Le contexte réglementaire est en pleine mutation. Pour vous, c’est donc l’heure d’accélérer vos projets de conformité.

Lire la suite

Luxembourg – Comment la CNPD contrôle votre conformité RGPD

Connaissez-vous la Commission Nationale pour la Protection des Données (CNPD) ? Cet organe est chargé de faire respecter le RGPD au sein du Grand Duché de Luxembourg. Il privilégie actuellement l’accompagnement à la répression mais cela pourrait changer. En attendant, c’est pour vous l’occasion d’avancer sur la gestion de vos cookies. On vous dit tout.

Lire la suite

Axeptio vous présente le cookie : Zendesk

Zendesk est un outil redoutable pour gérer sa relation client. Des milliers de clients utilise cette solution éprouvée et vraiment agréable à utiliser, que ce soit pour les administrateurs que pour les clients. Derrière ce petit chat intelligent que vous voyez régulièrement en bas à droite sur les sites internet que vous visitez, se cache en réalité des fonctionnalités totalement bluffantes qui aident les entreprises à entretenir leur relation client.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.