Logo Logo
Cookiebot

 

La Commission nationale de l’informatique et des libertés (CNIL) contrôle la manière donc votre site web peut effectuer le suivi des visiteurs français.

 

Essayez notre test de conformité gratuit pour vérifier si l'utilisation de cookies sur votre site web et le suivi en ligne sont conformes.

CNIL et cookies, bandeau cookie conforme avec Cookiebot, loi en France, RGPD, ePR

Photo de Jonathan Velasquez sur Unsplash

Mis à jour le 7 octobre 2020.

Le 17 septembre 2020, la Commission nationale de l’informatique et des libertés (CNIL) a adopté de nouvelles lignes directrices et une recommandation concernant les cookies et autres traceurs, mettant ainsi à jour les précédentes lignes directrices du 4 juillet 2019.

Ces lignes directrices précisent les règles de droit applicables pour le traitement des données des internautes français. En tant que propriétaire de site web, il est essentiel de comprendre les exigences françaises pour se mettre en conformité avec la loi.

Dans cet article, nous vous donnons des conseils pour rendre votre utilisation des cookies conformes aux nouvelles lignes directrices et nous vous expliquons pourquoi une solution de consentement comme Cookiebot est nécessaire pour répondre aux exigences de la CNIL.


Site web et conformité des cookies


Mon site est-il concerné par les exigences de la CNIL ?

Si votre site reçoit des visiteurs français alors vous devez suivre les instructions de la CNIL en ce qui concerne l’utilisation des cookies et autres traceurs. Vous êtes concerné peu importe le lieu d’hébergement de votre site, en France ou ailleurs dans le monde.

Le consentement ne concerne pas uniquement les cookies que vous utilisez vous-même pour le traitement des données mais aussi les cookies déposés par des tiers. Il est possible que vous ne soyez pas au courant de l’utilisation de ces cookies et donc que, sans le savoir, vous ne garantissiez pas le droit au consentement de vos utilisateurs.

Mais n’ayez crainte, se mettre en conformité peut être beaucoup plus simple qu’il n’y parait grâce à une solution de consentement comme Cookiebot.

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.

Pourquoi établir un consentement conforme ?

Fondamentalement, il s’agit de respecter les utilisateurs de votre site.

Demander le consentement avant de traiter leurs données est essentiel pour garantir le droit à la vie privée. Les règles définissant le consentement conforme permettent de protéger ce droit et d’uniformiser les pratiques.

Les autorités de protection des données sont responsables de délivrer des sanctions si la législation en vigueur n’est pas respectée.

En France, la CNIL est très active et effectue des contrôles réguliers. Il est donc important d’établir un consentement aux cookies conforme pour respecter le droit à la vie privée et ainsi éviter de lourdes sanctions.


La CNIL et les cookies


La CNIL, c’est quoi ?

La Commission national de l’informatique et des libertés, couramment appelée la CNIL, a été créée en 1978 par la loi Informatique et Libertés pour protéger la vie privée et les libertés individuelles à l’ère du développement informatique.

Son objectif est double : à la fois aider les particuliers à protéger leurs données et à exercer leurs droits, mais aussi accompagner les professionnels dans leur mise en conformité.

Sanctions de la CNIL

Au fil du temps, la CNIL a gagné en autorité et elle peut aujourd’hui infliger des sanctions sévères.

L’entrée en vigueur du règlement général sur la protection des données (RGPD) renforce notamment les pouvoirs de la CNIL en matière de sanctions. En effet les sanctions encourues pour non-conformité au RGPD peuvent s’élever à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros d’amendes.

Ainsi en 2019, la CNIL a condamné Google à payer une amende de 50 millions d’euros pour un consentement recueilli de façon non conforme dans le cadre de ciblage publicitaire.

En application de la loi Informatique et Libertés, la CNIL peut également infliger des peines allant jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Missions de la CNIL

Toutefois, la CNIL n’est pas seulement responsable de délivrer des sanctions : elle souhaite surtout permettre une innovation technologique ne portant pas préjudice aux libertés individuelles.

Ainsi, la CNIL oriente son action autour de 4 missions :

  1. Informer, protéger les droits
  2. Accompagner la conformité et conseiller
  3. Anticiper et innover
  4. Contrôler et sanctionner

Consultez le site de la CNIL ici.

En ce qui concerne les cookies, la CNIL se rapporte à la législation en vigueur pour orienter son action.

Les lois cookies - RGPD, ePrivacy, loi Informatique et Libertés


En France, l’utilisation de cookies est soumise à deux types de législation : française et européenne. Essayons d’y voir plus clair.

Le RGPD, ou règlement général sur la protection des données, est un règlement contraignant dans tous les États membres de l'UE depuis mai 2018. Ainsi, il n’a pas nécessité de transcription en droit français. Il porte sur la protection des données à caractère personnel indépendamment du type de données (pas seulement les informations numériques des utilisateurs) et la manière dont les sociétés doivent garantir la transparence et documenter le consentement des utilisateurs. Il n’adresse donc pas en détail les problématiques liées aux cookies (le mot « cookie » n’est mentionné qu’une seule fois). En France, le RGPD est placé sous l’autorité de la CNIL.

Informez-vous sur le RGPD et lisez le texte de la loi RGPD.

La directive « vie privée et communications électroniques » ou ePrivacy, est un acte juridique plus ancien, adopté en 2002 et mis à jour en 2009, qui traite principalement des cookies, de la conservation des données numériques et des e-mails non sollicités. Il s'agit, comme mentionné précédemment, d'une directive et non d'un règlement, et elle nécessite donc d’être transcrite en droit français.

Lisez la directive ePrivacy ici.

La loi Informatique et Libertés (loi n. 78-17 du 6 janvier 1978) est une loi française qui règlemente le traitement des données personnelles des citoyens français. Elle a été mise à jour en juin 2018 pour être en cohérence avec le RGPD. Elle transcrit également en droit français la directive ePrivacy à l’article 82 par décret du 29 mai 2019.

Jetez un coup d’œil à la loi Informatique et Libertés du 6 janvier 1978.

Ces trois documents de droit français et européen représentent les bases juridiques sur lesquelles s’appuie la CNIL.

Comment rendre mon utilisation de cookies conforme grâce à Cookiebot ?


Lignes directrices et recommandation de la CNIL

Le 17 septembre, la CNIL a adopté de nouvelles lignes directrices pour accompagner les professionnels et propriétaires de site web dans leur mise en conformité de leur utilisation des cookies et traceurs analogues. Celles-ci sont une mise à jour des précédentes lignes directrices publiées le 4 juillet 2019.

Les lignes directrices concernent « toutes les opérations de lecture ou écriture réalisées dans le terminal de communication électronique d’un utilisateur d’un réseau de télécommunication ouvert au public ». Ainsi, elles ne s’appliquent pas uniquement aux cookies mais également à d’autres types de traceurs.

De plus, contrairement au RGPD, les lignes directrices de la CNIL concernent tous types de données, que celles-ci soient à caractère personnel ou non.

Bien que ce texte soit en lui-même non contraignant, il repose sur les textes de loi mentionnés ci-dessus et peut donc avoir une portée juridique importante.

Accéder aux lignes directrices en cliquant sur ce lien.

En complément de ces lignes directrices, la CNIL publie une recommandation « cookies et autres traceurs » donnant des détails sur les modalités pratiques de recueil de consentement et des exemples concrets de bonnes pratiques à adopter.

Cette recommandation a été élaborée en concertation avec des représentants des professions concernées par la publicité numérique ainsi qu’avec les représentants de la société civile, et a fait l’objet d’une consultation publique du 14 janvier au 25 février 2020.

Consultez la recommandation « cookies et autres traceurs ».

Jetez un coup d’œil aux résultats de la consultation publique sur le projet de recommandation.

Dans la suite de cet article, nous détaillons les recommandations de la CNIL en matière de recueil, de preuve et de retrait de consentement et nous vous montrons comment Cookiebot peut vous aider à répondre simplement à ces exigences complexes.

Responsable du traitement des données

L’article 3 des lignes directrices définit l’éditeur du site web comme responsable du traitement même si ce traitement est sous-traité. Les tiers peuvent également être tenus responsables du traitement, en plus de l’éditeur, s’ils agissent pour leur propre compte.

En tant que propriétaire et éditeur de site web, vous êtes donc dans l’obligation de connaître et de contrôler le traitement des données sur votre site, ainsi que de vous assurer que des tiers ou sous-traitants n’ont pas de comportements qui ne respectent pas la législation française et européenne, et, le cas présent, de mettre fin à ces traitements.

Recueil du consentement

D’après l’article 82 de la loi informatique et libertés, le stockage d’informations ou l’accès à des informations stockées dans le terminal de l’utilisateur ne peut avoir lieu que si l’utilisateur a été « informé de manière claire et complète ».

La CNIL définit ainsi 4 caractéristiques du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Qu’est-ce que cela signifie et quelle aide peut apporter Cookiebot ?

1. Consentement libre

Le consentement aux cookies est absolument incompatible avec la coercition. L’utilisateur doit faire face des options présentées similairement pour pouvoir effectuer librement son choix.

En pratique, cela signifie qu’un site ne peut pas utiliser de design trompeur (ou « dark patterns ») qui inciterait fortement l’utilisateur à consentir aux cookies (comme des boutons de tailles ou de couleurs différentes).

Cookiebot respecte l’exigence de consentement libre en proposant un bandeau de consentement aux cookies couvrant moins de la moitié de l’écran, avec une police de caractères uniformes, des boutons de même taille et de même couleur pour l’autorisation de tous les cookies ou seulement de ceux choisis, etc.

Le bandeau cookie développé par Cookiebot répond à l’exigence de protection des données par défaut, c’est-à-dire qu’en l’absence de choix, aucun traceur n’est mis en place.

bandeau cookie conforme par Cookiebot, site web

Un bandeau cookie conforme selon le principe de consentement libre

2. Consentement spécifique

La notion de spécificité du consentement implique que l’utilisateur doit pouvoir consentir à chaque finalité des cookies.

La CNIL propose que chaque finalité soit accompagnée d’un intitulé, d’un bref descriptif et du nom du ou des responsables du traitement. La commission suggère également de regrouper les finalités de cookies par catégories et d’indiquer le nombre de responsables du traitement.

Le bandeau cookie proposé par Cookiebot donne accès en un clic à un menu déroulant comprenant le nombre de cookies, les noms des fournisseurs, un court descriptif sur la finalité de chaque cookie et la durée de vie des cookies. Pour proposer une solution conviviale et ergonomique, les cookies sont regroupés en 4 catégories de finalité : nécessaires, préférences, statistiques et marketing.

bandeau cookie conforme Cookiebot, catégories de cookies, finalité des cookies

Détails d’un bandeau cookie conforme au principe de consentement spécifique

3. Consentement éclairé

La CNIL recommande que les informations sur les cookies doivent inclure un minimum de termes juridiques et techniques pour être simples et compréhensibles par tous les utilisateurs. Les informations doivent être facilement accessibles et expliquer comment retirer ou modifier son consentement.

D’après l’article 2 des lignes directrices, les informations à donner à l’utilisateur doivent à minima contenir :

Cookiebot suit ces bonnes pratiques en donnant accès en 1 ou 2 clics à partir du bandeau cookie aux informations relatives aux cookies et au droit de retrait du consentement. Les informations sont succinctes mais suffisantes pour un premier niveau d’information. Des informations complémentaires sont facilement accessibles via des liens renvoyant à la déclaration relative aux cookies et à la politique confidentialité.

En ce qui concerne les cookies nécessaires, en accord avec l’article 82 de la loi informatique et libertés et les lignes directrices, le consentement n’est pas requis mais les informations sur ces cookies sont néanmoins accessibles.

bandeau cookie conforme Cookiebot texte sur les finalités des cookies, déclaration relative aux cookies

Informations du bandeau cookie relatives au retrait du consentement

4. Consentement univoque

L’univocité du consentement signifie que celui-ci doit être donné par une action positive qui ne laisse ainsi aucun doute sur la décision de l’utilisateur.

Dans les faits, cela signifie que l'inaction, la poursuite de la navigation, l’utilisation de cases pré-cochées ou l’acceptation globale des conditions générales ne constituent pas un consentement valable.

Cet aspect du consentement n’est pas seulement affaire de bonnes pratiques mais bien une obligation au niveau européen depuis le verdict rendu sur l’affaire Planet49 par la Cour de justice de l’Union européenne en octobre 2019.

Dans le bandeau cookie de Cookiebot, vous pouvez choisir que seuls les cookies strictement nécessaires au fonctionnement de base du site web soient cochés par défaut. Tous les autres cookies et traceurs analogues sont détectés et bloqués automatiquement par le scanneur ultra-performant de Cookiebot et ce jusqu’à l’obtention du consentement. Ainsi, un utilisateur peut continuer la navigation sur le site sans que les cookies soient activés par défaut.

bandeau cookie conforme CNIL par Cookiebot, catégories de cookies

Bandeau cookie de Cookiebot sans cases pré-cochées pour un consentement actif et positif

Preuve et possibilité de retrait du consentement

D’après la CNIL, les responsables du traitement, tiers ou non, doivent être dans la capacité de prouver le consentement ou le refus des utilisateurs.

En tant que propriétaire de site web, il est de votre responsabilité de conserver les consentements des utilisateurs et de pouvoir montrer ces preuves à la CNIL en cas de contrôle.

Heureusement, Cookiebot suit les conseils de la CNIL et, en tant que plateforme de gestion des consentements (ou CMP pour Consent Management Plateform), vous permet d’enregistrer automatiquement et de manière anonyme les informations liées au consentement à l’aide d’une clé chiffrée. Vous pouvez définir la période de renouvellement du consentement de l’utilisateur avant la réapparition du bandeau lors d’une nouvelle visite. Le consentement peut également être de nouveau requis en cas d’ajout substantiel de responsables de traitement détectés lors d’un audit mensuel automatisé.

En ce qui concerne les possibilités de retrait du consentement, la CNIL s’appuie sur le RGPD et demande qu’il soit aussi facile de retirer son consentement qu’il est de le donner. L’utilisateur doit être informé avant de donner son consentement des possibilités de le retirer ou modifier.

Cookiebot produit pour chaque site un rapport de cookies qui peut être publié sur n’importe quelle sous page du site par la simple incorporation d’un code JavaScript.

Par exemple, sur le site web de Cookiebot, cette déclaration relative aux cookies est accessible en 1 clic à partir de toutes les sous pages via le bandeau de bas de page.

Déclaration relative aux cookies, site web de Cookiebot

Lien vers la déclaration relative aux cookies lors d’une navigation sur le site Cookiebot

Traceurs exemptés du recueil du consentement selon la CNIL


Certains traceurs nécessaires peuvent être exemptés du recueil du consentement de l’utilisateur pour être placés sur le terminal de ce dernier.

Dans l’article 5 des lignes directrices, la CNIL donne une liste partielle des traceurs pouvant être regardés comme exemptés. Il s’agit par exemple des traceurs :

Certains traceurs de mesure d’audience peuvent également être exemptés s’ils sont strictement au fonctionnement et aux opérations d’administration courante d’un site web.  Ils peuvent collecter des données, si ces données :

Il est important de rappeler que les données à caractère personnelles sont en outre soumises au RGPD.

CNIL et cookie walls


Le 19 juin 2020, le Conseil d’État, la plus haute autorité administrative française, a décidé d’exiger le retrait du paragraphe évoquant les cookies walls à l’article 2 des lignes directrices de la CNIL suite un recours en annulation déposé par des associations et syndicats de la publicité en ligne, du e-commerce et des médias.

Le Conseil d’État a estimé que la CNIL avait excédé son autorité en déclarant que « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. » Il indique que la CNIL ne peut pas légalement interdire les cookie walls. Cependant, le Conseil d’État ne déclare pas que les cookie walls sont un moyen légal de se conformer au RGPD.

« Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue. » (Conseil d’État, 19 juin 2020)

Par cette décision, le Conseil d’État confirme également que les autres points contestés par les requérants sont légaux, seul le paragraphe concernant les cookie walls a du être modifié.

Dans ces nouvelles lignes directrices, la CNIL « estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté de consentement » (Article 2).

La CNIL s’appuie sur le RGPD et sa définition d’un consentement libre.

Apprenez-en plus sur la légalité des cookie walls pour le consentement des utilisateurs de l'UE.

Résumé


Dans cet article, nous avons décrit les exigences en matière de cookies pour les sites web recevant des visiteurs français.

Être en conformité avec les législations françaises et européennes en vigueur permet d’éviter de lourdes sanctions administratives, délivrées notamment par la CNIL, mais surtout de respecter la vie privée des internautes en créant de la transparence.

Cookiebot vous accompagne pour donner aux utilisateurs de votre site web un véritable choix pour le traitement de leurs données et ainsi entretenir leur confiance.

Scannez gratuitement votre site web dès aujourd'hui pour découvrir quels cookies sont utilisés sur votre site web et si ce dernier est conforme.

Ressources


Site de la CNIL

Lignes directrices de la CNIL (PDF)

Recommandation « cookies et autres traceurs » (PDF)

Résultats de la consultation de la CNIL sur le projet de recommandation « cookies et autres traceurs » (PDF)

Questions-réponses sur les lignes directrices modificatives et la recommandation « cookies et autres traceurs » de la CNIL

Décision du Conseil d’Etat sur les lignes directrices de la CNIL

Loi Informatique et Libertés du 6 janvier 1978

Sanction de la CNIL envers Google LLC

Qu’est-ce que le RGPD ?

Texte officiel du règlement général sur la protection des données (RGPD)

Directive « vie privée et communication électronique » (ePrivacy)

Communiqué de presse officiel de la Cour de justice de l’Union européenne sur l’affaire Planet49

Le Monde : Interview avec Marie-Laure Denis, présidente de la CNIL, sur la recommandation cookies

Noveau mode de consentement Google 

Cookiebot intégre parfaitement avec le nouveau Google Consent Mode.

Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui

Faites un essai gratuit