Le 1er octobre dernier, la CNIL a publié deux délibérations : des lignes directrices modificatives de celles adoptées le 4 juillet 2019, ainsi qu’une recommandation pratique de mise en conformité en cas de recours aux cookies et autres traceurs.
Voici une synthèse des mesures les plus importantes à appliquer lors de la rédaction du bandeau cookies de votre site web depuis les 31 mars 2021.
L’utilisateur doit être informé de l’identité du ou des responsables de traitement, l’existence du droit de retirer son consentement, ainsi que de l’ensemble des finalités des cookies avant de pouvoir autoriser ou refuser le dépôt de ces derniers sur son téléphone ou son ordinateur.
Chaque finalité des cookies doit être mise en exergue dans un intitulé court et mis en évidence (gras et souligné par exemple), accompagné d’un bref descriptif. Par exemple : création et validation du panier d’achat, mesures d’audience du site, etc.
- La description détaillée de chacune de ces finalités pourra être accessible à partir d’un simple bouton de déroulement ou d’un lien hypertexte offrant un accès direct à la politique d’utilisation des cookies.
L’utilisateur doit également être informé des sociétés tierces qui utiliseraient des cookies sur votre site. Pour ce faire, veillez à mettre à sa disposition la liste exhaustive et régulièrement mise à jour de ces sociétés via un lien hypertexte accessible depuis le premier niveau d’information.
S’agissant des cookies strictement nécessaires au fonctionnement de votre site, le bandeau n’a pas besoin d’informer sur leur utilisation. Une information dans la politique d’utilisation des cookies suffit.
L’utilisateur doit être en mesure de :
- Consentir par un acte positif clair. Les boutons accessibles depuis l’interface de recueil du consentement doivent contenir des termes explicites tels que « Tout accepter » et « Tout refuser » ou encore « Je n’autorise » et « Je n’autorise pas ». Le silence de l’utilisateur, qui peut passer par la fermeture du bandeau cookies ou la poursuite de la navigation, doit s’interpréter comme un refus ;
- Refuser les cookies aussi aisément que de les accepter. À ce titre, les boutons « Tout accepter » et « Tout refuser » doivent figurer au même niveau, être de même taille et de même police. Attention à ne pas utiliser des pratiques de design potentiellement trompeuses ;
- Donner son consentement de façon indépendante et spécifique pour chaque finalité, notamment au moyen de cases à cocher pour chaque type ou famille de cookies.
Une mention portant l’information des conséquences attachées à un consentement ou à un refus devra figurer dans le bandeau et ce, préalablement au choix exercé par l’utilisateur.
- De plus, en cas de dépôt de cookies permettant un suivi de la navigation sur d’autres sites/applis, la liste complète et à jour de ces sites/applis doit être disponible via un lien hypertexte ou un bouton accessible depuis le premier niveau d’information.ut lede la navigation ?
Non, le bandeau cookies doit disparaître dans un « laps de temps court ». À cet égard, la CNIL a précisé que la durée de ce laps de temps devait être déterminée au cas par cas, en tenant compte de deux paramètres :
- La fluidité de la navigation, et
- Le fait que l’utilisateur ne se sente pas « contraint » à faire un choix pour faire disparaître le bandeau.
Toutefois, le responsable de traitement peut laisser à l’utilisateur la possibilité de ne pas faire de choix et de retarder sa décision en intégrant une croix de fermeture au bandeau ou en permettant à l’utilisateur de cliquer en dehors de ce dernier pour le fermer. Cette possibilité ne s’interprète pas comme un refus.?
La CNIL estime qu’une durée de validité de 6 mois à partir de l’expression du choix de l’utilisateur est adaptée, de sorte que ce dernier ne soit pas réinterrogé à chacune de ses visites. En cas de circonstances particulières tenant à la nature de votre site ou à des spécificités de son audience, cette durée pourra être modulée.
L’utilisateur ayant donné son consentement doit être en mesure de le retirer à tout moment, notamment grâce :
- À un module de gestion et de retrait du consentement accessible sur toutes les pages de votre site, dans une zone qui attire l’attention des utilisateurs, au moyen d’une icône « cookies », ou
- À un lien hypertexte « Gérer mes cookies » accessible en permanence sur votre site.
- Enfin, il est absolument nécessaire de conserver les choix exprimés par les utilisateurs à des fins de preuve individuelle. En tant que responsable de traitement, vous devez être en mesure de démontrer la validité du processus global de recueil du consentement.
La CNIL a récemment incité les organismes privés et publics à auditer leurs sites web et applications mobiles et rappelé la fin prochaine de la période d’adaptation à ces nouvelles règles.
Nous vous accompagnons pour mettre en conformité votre site, votre bandeau cookies et votre politique cookies, ainsi que pour définir clairement votre stratégie marketing suite aux recommandations de la CNIL impactant les performances marketing de votre site web !
Par Oriane GLOUX et Audrey DECIMA – 29 avril 2021