Back to Blog

Quels sont les cookies exemptés de consentement ?

Maxime JAILLET

Utilisez-vous des cookies exemptés de consentement ? Oui sans doute, les cookies techniques, nécessaires pour faire fonctionner le site sont dans ce cas. Les cookies de mesure d’audience peuvent être considérés comme techniques à condition de respecter des règles strictes. Quoiqu’il en soit, absence de consentement ne veut pas dire absence de mesures à respecter. On vous en parle. C’est notre product news du jour.

Quelle est la liste des cookies exemptés de consentement ?

Somme toute, la règle est assez simple. Tous les cookies explicitement nécessaires pour faire fonctionner votre site correctement et délivrer le service sont exemptés de consentement.

Les autres correspondent en quelque sorte à des fonctionnalités additionnelles : boutons de partage, personnalisation de la publicité… Ils ne peuvent donc être déposés que si l’utilisateur les a autorisés.

Parmi la liste des traceurs exemptés, on trouvera les cookies utilisés pour :

  • stocker le choix du user d’accepter ou non les cookies ;
  • authentifier, connecter le user à son compte ;
  • assurer la sécurité du site (par exemple les cookies utilisés pour empêcher les tentatives d’accès frauduleuses ;
  • mémoriser le contenu d’un panier d’achat ou pour enregistrer les préférences de langue ;
  • l'équilibrage de la charge des équipements (load balancing) ;
  • limiter l’accès gratuit aux contenus d’un site à un échantillon pré-défini.

Pourquoi les cookies de mesure d’audience sont exemptés de consentement ?

Tous ne le sont pas, en vérité.

Malgré le relatif silence de la directive ePrivacy de 2002 sur ce point, les autorités de régulation nationale ont tendance à prévoir des cas d’exemption. C’est le cas de la CNIL en France et du Garante en Italie.

Les cookies servant exclusivement à mesurer l’audience du site sont assimilés à des cookies techniques. Ils servent au final à :

  • produire des reportings agrégés et ainsi avoir une vision des comportements clients par les grandes masses ;
  • améliorer l’ergonomie du site.

Pour cette raison, les régulateurs ont tendance à accepter que l’éditeur du site les dépose sans consentement préalable de son audience.

Comment bénéficier de l’exemption de consentement pour les cookies de mesure d’audience ?

Là, ça se complique sérieusement.

Généralement, les régulateurs européens définissent des conditions assez drastiques pour bénéficier de l’exemption.

L’une des plus difficiles à respecter sera celle liée à la finalité. Les cookies ne doivent servir qu’à de la mesure d’audience agrégée. Pas de finalité marketing liée à de l’envoi de communications commerciales ou à la personnalisation de campagnes de display retargetting.

Or dans bien des situations, ce n’est pas le cas.

  • Beaucoup d’éditeurs utilisent une solution de mesure d’audience pour récolter l’historique individuel de navigation des internautes. Autrement dit, la data récoltée se déverse dans des infrastructures servant à analyser comment améliorer l’ergonomie du site… et dans d’autres infrastructures servant au ciblage publicitaire.
  • Une solution comme Google Analytics est couplée à l’outil publicitaire Google Ads. Même sans activer de campagnes, votre utilisation de l’outil pourrait être considérée comme publicitaire et non pas purement analytique.
  • Les acteurs comme Facebook ou Google exploitent les données récoltées par leurs clients pour leurs besoins propres. Cela écarte toute possibilité de bénéficier de l’exemption.

Il y a aussi d’autres conditions. Par exemple :

  • ne pas recouper la donnée avec d’autres bases ;
  • anonymiser les adresses IP ;
  • etc.

En pratique, si vous voulez absolument échapper au consentement, le mieux est de vous appuyer sur une solution reconnue par la CNIL en France. Elle tient une liste à jour d’outils qui, dans une certaine configuration, sont dans les clous.

On notera qu’à ce jour, Google Analytics n’y figure pas...

Comment gérer les cookies exemptés de consentement ?

Quand bien même certains de vos cookies peuvent être déposés sans le consentement de vos visiteurs, il faut respecter quelques règles.

Rassurez-vous, elles n’ont rien de bien compliqué. Quelles sont ces règles ?

  • Informer vos users que vous déposez ces cookies en affichant un bandeau dès le chargement du site ;
  • Donner un moyen simple de bloquer le dépôt des cookies de mesure d’audience. C’est un droit à l’opt-out. Par contre, pour les cookies techniques, il n’y a pas besoin d’accorder cette faculté.

Dans la pratique, cela laisse une grande marge de manœuvre aux éditeurs et effectivement, on trouve des façons différentes de gérer ces cookies :

  • certains sites se contentent d’un bandeau informatif et renvoient à leurs politiques de confidentialité pour trouver un lien d’opt-out pour le cookie de mesure d’audience. Dans la plus grande majorité des cas, ces solutions sont fournies par un acteur tiers. Le lien d’opt-out correspond donc à un mécanisme créé par ce tiers.
  • D’autres sites intègrent un module de gestion de préférences dans la rubrique d’informations sur des cookies. Vous pouvez cocher une case pour vous opposer au dépôt de cookies de mesure d’audience.

La mise en œuvre des règles sera néanmoins plus simple si vous dotez votre site d’une consent management platform. Une CMP reste donc utile pour les sites, vitrine ou de e-commerce, qui déposent un ou deux cookies.

Conclusion : Avez-vous des cookies exemptés de consentement ?

Tout n’est pas blanc ou noir sur votre site.

Vous déposez des cookies qui relèvent de plusieurs régimes juridiques. D’où le besoin d’avoir une vraie gestion des cookies. Finis les bandeaux informatifs.

Place aux CMP qui vous permettront de mettre en avant au mieux vos cookies et d’en gérer le dépôt en fonction des règles juridiques qui s’appliquent.

Le cas de la mesure d’audience reste le plus difficile. Il existe bien un régime d’exemption mais dans beaucoup de cas, il ne s’appliquera pas. Votre mesure d’audience peut donc elle aussi être soumise au consentement de votre audience.

Ce qui compte en pareil cas, c’est la qualité de l’interpellation de l’utilisateur. Axeptio a travaillé de ce point de vue l’UX design et le graphisme de son module de gestion des cookies.

En l’utilisant, vous mettez en avant vos cookies d’une manières imple et fun. Vous dédramatisez la collecte de données tout en étant totalement transparent.

C’est une excellente manière de préserver la confiance de votre audience et d’aller chercher des opt-in.

On en parle ?



Share on social media: 

Ne partez pas si vite ... 

Intégrer Axeptio avec Google Tag Manager – Ce tutoriel donne une nouvelle méthode

Intégrer le SDK d’Axeptio sur chaque page de votre site, un problème ? Craignez-vous de ralentir votre temps de chargement ? L’agence Choosit propose une autre méthode pour intégrer Axeptio avec Google Tag Manager. Cette approche a de vrais avantages, des limites aussi qui font qu’elle ne remplace ce que vous faites jusqu'à présent.

Lire la suite

Vers une loi fédérale sur la Privacy aux USA ?

Après la vague de lois locales, bientôt une loi fédérale sur la Privacy aux Etats-Unis ? Il est vrai que beaucoup de projets de lois sont déposés dans ce sens.

Lire la suite

« Si vous n’utilisez pas le TCF, vous n’êtes pas RGPD compliant ? Ça c’est la blague du siècle ! »

On rentre maintenant dans le dur : les éditeurs sont-ils oui non obligés d’utiliser le protocole TCF ?

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.