Logo Logo
Cookiebot

 

La Commission nationale de l’informatique et des libertés (CNIL) contrôle la manière donc votre site web peut effectuer le suivi des visiteurs français.

 

Essayez notre test de conformité gratuit pour vérifier si l'utilisation de cookies sur votre site web et le suivi en ligne sont conformes.

CNIL et cookies, bandeau cookie conforme avec Cookiebot, loi en France, RGPD, ePR

Photo de Jonathan Velasquez sur Unsplash

Mis à jour le 3 juillet 2020.

Le 4 juillet 2019, la Commission nationale de l’informatique et des libertés (CNIL) a adopté de nouvelles lignes directrices concernant les cookies et autres traceurs. Ces lignes directrices précisent les règles de droit applicables pour le traitement des données des internautes français. En tant que propriétaire de site web, il est essentiel de comprendre les exigences françaises pour se mettre en conformité avec la loi.

Dans cet article, nous vous donnons des conseils pour rendre votre utilisation des cookies conformes aux nouvelles lignes directrices et nous vous expliquons pourquoi une solution de consentement comme Cookiebot est nécessaire pour répondre aux exigences de la CNIL.


Site web et conformité des cookies


Mon site est-il concerné par les exigences de la CNIL ?

Si votre site reçoit des visiteurs français alors vous devez suivre les instructions de la CNIL en ce qui concerne l’utilisation des cookies et autres traceurs. Vous êtes concerné peu importe le lieu d’hébergement de votre site, en France ou ailleurs dans le monde.

Le consentement ne concerne pas uniquement les cookies que vous utilisez vous-même pour le traitement des données mais aussi les cookies déposés par des tiers. Il est possible que vous ne soyez pas au courant de l’utilisation de ces cookies et donc que, sans le savoir, vous ne garantissiez pas le droit au consentement de vos utilisateurs.

Mais n’ayez crainte, se mettre en conformité peut être beaucoup plus simple qu’il n’y parait grâce à une solution de consentement comme Cookiebot.

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.

Pourquoi établir un consentement conforme ?

Fondamentalement, il s’agit de respecter les utilisateurs de votre site.

Demander le consentement avant de traiter leurs données est essentiel pour garantir le droit à la vie privée. Les règles définissant le consentement conforme permettent de protéger ce droit et d’uniformiser les pratiques.

Les autorités de protection des données sont responsables de délivrer des sanctions si la législation en vigueur n’est pas respectée.

En France, la CNIL est très active et effectue des contrôles réguliers. Il est donc important d’établir un consentement aux cookies conforme pour respecter le droit à la vie privée et ainsi éviter de lourdes sanctions.


La CNIL et les cookies


La CNIL, c’est quoi ?

La Commission national de l’informatique et des libertés, couramment appelée la CNIL, a été créée en 1978 par la loi Informatique et Libertés pour protéger la vie privée et les libertés individuelles à l’ère du développement informatique.

Son objectif est double : à la fois aider les particuliers à protéger leurs données et à exercer leurs droits, mais aussi accompagner les professionnels dans leur mise en conformité.

Sanctions de la CNIL

Au fil du temps, la CNIL a gagné en autorité et elle peut aujourd’hui infliger des sanctions sévères.

L’entrée en vigueur du règlement général sur la protection des données (RGPD) renforce notamment les pouvoirs de la CNIL en matière de sanctions. En effet les sanctions encourues pour non-conformité au RGPD peuvent s’élever à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros d’amendes.

Ainsi en 2019, la CNIL a condamné Google à payer une amende de 50 millions d’euros pour un consentement recueilli de façon non conforme dans le cadre de ciblage publicitaire.

En application de la loi Informatique et Libertés, la CNIL peut également infliger des peines allant jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Missions de la CNIL

Toutefois, la CNIL n’est pas seulement responsable de délivrer des sanctions : elle souhaite surtout permettre une innovation technologique ne portant pas préjudice aux libertés individuelles.

Ainsi, la CNIL oriente son action autour de 4 missions :

  1. Informer, protéger les droits
  2. Accompagner la conformité et conseiller
  3. Anticiper et innover
  4. Contrôler et sanctionner

Consultez le site de la CNIL ici.

En ce qui concerne les cookies, la CNIL se rapporte à la législation en vigueur pour orienter son action.

Les lois cookies - RGPD, ePrivacy, loi Informatique et Libertés


En France, l’utilisation de cookies est soumise à deux types de législation : française et européenne. Essayons d’y voir plus clair.

Le RGPD, ou règlement général sur la protection des données, est un règlement contraignant dans tous les États membres de l'UE depuis mai 2018. Ainsi, il n’a pas nécessité de transcription en droit français. Il porte sur la protection des données à caractère personnel indépendamment du type de données (pas seulement les informations numériques des utilisateurs) et la manière dont les sociétés doivent garantir la transparence et documenter le consentement des utilisateurs. Il n’adresse donc pas en détail les problématiques liées aux cookies (le mot « cookie » n’est mentionné qu’une seule fois). En France, le RGPD est placé sous l’autorité de la CNIL.

Informez-vous sur le RGPD et lisez le texte de la loi RGPD.

La directive « vie privée et communications électroniques » ou ePrivacy, est un acte juridique plus ancien, adopté en 2002 et mis à jour en 2009, qui traite principalement des cookies, de la conservation des données numériques et des e-mails non sollicités. Il s'agit, comme mentionné précédemment, d'une directive et non d'un règlement, et elle nécessite donc d’être transcrite en droit français.

Lisez la directive ePrivacy ici.

La loi Informatique et Libertés (loi n. 78-17 du 6 janvier 1978) est une loi française qui règlemente le traitement des données personnelles des citoyens français. Elle a été mise à jour en juin 2018 pour être en cohérence avec le RGPD. Elle transcrit également en droit français la directive ePrivacy à l’article 82 par décret du 29 mai 2019.

Jetez un coup d’œil à la loi Informatique et Libertés du 6 janvier 1978.

Ces trois documents de droit français et européen représentent les bases juridiques sur lesquelles s’appuient la CNIL.

Comment rendre mon utilisation de cookies conforme grâce à Cookiebot ?


Lignes directrices et recommandation de la CNIL

Le 4 juillet 2019, la CNIL a publié des lignes directrices pour accompagner les professionnels et propriétaires de site web dans leur mise en conformité de leur utilisation des cookies et traceurs analogues. Bien que ce texte soit en lui-même non contraignant, il repose sur les textes de loi mentionnés ci-dessus et peut donc avoir une portée juridique importante.

Accéder aux lignes directrices en cliquant sur ce lien.

En complément de ces lignes directrices, la CNIL publie une recommandation « cookies et autres traceurs » donnant des détails sur les modalités pratiques de recueil de consentement et des exemples concrets de bonnes pratiques à adopter. Les propriétaires de site web sont invités à apporter leur contribution dans l’élaboration de ce guide pratique à paraître en juillet 2020.

Consultez le projet de recommandation et participez à la consultation ici.

Dans la suite de cet article, nous détaillons les recommandations de la CNIL en matière de recueil, de preuve et de retrait de consentement et nous vous montrons comment Cookiebot peut vous aider à répondre simplement à ces exigences complexes.

Recueil du consentement

D’après l’article 82 de la loi informatique et libertés, le stockage d’informations ou l’accès à des informations stockées dans le terminal de l’utilisateur ne peut avoir lieu que si l’utilisateur a été « être informé de manière claire et complète ».

La CNIL définit ainsi 4 caractéristiques du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Qu’est-ce que cela signifie et quelle aide peut apporter Cookiebot ?

1. Consentement libre

Le consentement aux cookies est absolument incompatible avec la coercition. L’utilisateur doit faire face des options présentées similairement pour pouvoir effectuer librement son choix.

En pratique, cela signifie qu’un site ne peut pas utiliser de design trompeur qui inciterait fortement l’utilisateur à consentir aux cookies (comme des boutons de tailles ou de couleurs différentes).

Cookiebot respecte l’exigence de consentement libre en proposant un bandeau de consentement aux cookies couvrant moins de la moitié de l’écran, avec une police de caractères uniformes, des boutons de même taille et de même couleur pour l’autorisation de tous les cookies ou seulement de ceux choisis, etc.

Le bandeau cookie développé par Cookiebot répond à l’exigence de protection des données par défaut, c’est-à-dire qu’en l’absence de choix, aucun traceur n’est mis en place.

bandeau cookie conforme par Cookiebot, site web

Un bandeau cookie conforme selon le principe de consentement libre

2. Consentement spécifique

La notion de spécificité du consentement implique que l’utilisateur doit pouvoir consentir à chaque finalité des cookies.

La CNIL propose que chaque finalité soit accompagnée d’un intitulé, d’un bref descriptif et du nom du ou des responsables du traitement. La commission suggère également de regrouper les finalités de cookies par catégories et d’indiquer le nombre de responsables du traitement.

Le bandeau cookie proposé par Cookiebot donne accès en un clic à un menu déroulant comprenant le nombre de cookies, les noms des fournisseurs, un court descriptif sur la finalité de chaque cookie et la durée de vie des cookies. Pour proposer une solution conviviale et ergonomique, les cookies sont regroupés en 4 catégories de finalité : nécessaires, préférences, statistiques et marketing.

bandeau cookie conforme Cookiebot, catégories de cookies, finalité des cookies

Détails d’un bandeau cookie conforme au principe de consentement spécifique

3. Consentement éclairé

La CNIL recommande que les informations sur les cookies doivent inclure un minimum de termes juridiques et techniques pour être simples et compréhensibles par tous les utilisateurs. Les informations doivent être facilement accessibles et expliquer comment retirer ou modifier son consentement.

Cookiebot suit ces bonnes pratiques en donnant accès en 1 ou 2 clics à partir du bandeau cookie aux informations relatives aux cookies et au droit de retrait du consentement. Les informations sont succinctes mais suffisantes pour un premier niveau d’information. Des informations complémentaires sont facilement accessibles via des liens renvoyant à la déclaration relative aux cookies et à la politique confidentialité.

En ce qui concerne les cookies nécessaires, en accord avec l’article 82 de la loi informatique et libertés et les lignes directrices, le consentement n’est pas requis mais les informations sur ces cookies sont néanmoins accessibles.

bandeau cookie conforme Cookiebot texte sur les finalités des cookies, déclaration relative aux cookies

Informations du bandeau cookie relatives au retrait du consentement

4. Consentement univoque

L’univocité du consentement signifie que celui-ci doit être donné par une action positive qui ne laisse ainsi aucun doute sur la décision de l’utilisateur.

Dans les faits, cela signifie que la poursuite de la navigation, l’utilisation de cases pré-cochées ou l’acceptation globale des conditions générales ne constituent pas un consentement valable.

Cet aspect du consentement n’est pas seulement affaire de bonnes pratiques mais bien une obligation au niveau européen depuis le verdict rendu sur l’affaire Planet49 par la Cour de justice de l’Union européenne en octobre 2019.

Dans le bandeau cookie de Cookiebot, seuls les cookies strictement nécessaires au fonctionnement de base du site web sont cochés par défaut. Tous les autres cookies et traceurs analogues sont détectés et bloqués automatiquement par le scanneur ultra-performant de Cookiebot et ce jusqu’à l’obtention du consentement. Ainsi, un utilisateur peut continuer la navigation sur le site sans que les cookies soient activés par défaut.

bandeau cookie conforme CNIL par Cookiebot, catégories de cookies

Bandeau cookie de Cookiebot sans cases pré-cochées pour un consentement actif et positif

Preuve et possibilité de retrait du consentement

D’après la CNIL, les responsables du traitement, tiers ou non, doivent être dans la capacité de prouver le consentement ou le refus des utilisateurs.

En tant que propriétaire de site web, il est de votre responsabilité de conserver les consentements des utilisateurs et de pouvoir montrer ces preuves à la CNIL en cas de contrôle.

Heureusement, Cookiebot vous permet d’enregistrer automatiquement et de manière anonyme les informations liées au consentement à l’aide d’une clé chiffrée. Le choix de l’utilisateur est conservé pendant 12 mois puis l’utilisateur doit renouveler son consentement avec la réapparition du bandeau lors d’une nouvelle visite. Le consentement peut également être de nouveau requis en cas d’ajout substantiel de responsables de traitement détectés lors d’un audit mensuel automatisé.

En ce qui concerne les possibilités de retrait du consentement, la CNIL s’appuie sur le RGPD et demande qu’il soit aussi facile de retirer son consentement qu’il est de le donner. L’utilisateur doit être informé avant de donner son consentement des possibilités de le retirer ou modifier.

Cookiebot produit pour chaque site un rapport de cookies qui peut être publié sur n’importe quelle sous page du site par la simple incorporation d’un code JavaScript.

Par exemple, sur le site web de Cookiebot, cette déclaration relative aux cookies est accessible en 1 clic à partir de toutes les sous pages via le bandeau de bas de page.

Déclaration relative aux cookies, site web de Cookiebot

Lien vers la déclaration relative aux cookies lors d’une navigation sur le site Cookiebot

CNIL et cookie walls


Le 19 juin 2020, le Conseil d’État, la plus haute autorité administrative française, a décidé d’exiger le retrait du paragraphe évoquant les cookies walls à l’article 2 des lignes directrices de la CNIL suite un recours en annulation déposé par des associations et syndicats de la publicité en ligne, du e-commerce et des médias. Le Conseil d’État a estimé que la CNIL avait excédé son autorité en déclarant que « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. » Il indique que la CNIL ne peut pas légalement interdire les cookie walls. Cependant, le Conseil d’État ne déclare pas que les cookie walls sont un moyen légal de se conformer au RGPD.

« Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue. » (Conseil d’État, 19 juin 2020)

Par cette décision, le Conseil d’État confirme également que les autres points contestés par les requérants sont légaux, seul le paragraphe concernant les cookie walls doit être retirer.

D’après le calendrier de la CNIL, les nouvelles lignes directrices et l’adoption de la recommandation sont prévues après la rentrée de septembre 2020.

Résumé


Dans cet article, nous avons décrit les exigences en matière de cookies pour les sites web recevant des visiteurs français.

Être en conformité avec les législations françaises et européennes en vigueur permet d’éviter de lourdes sanctions administratives, délivrées notamment par la CNIL, mais surtout de respecter la vie privée des internautes en créant de la transparence.

Cookiebot vous accompagne pour donner aux utilisateurs de votre site web un véritable choix pour le traitement de leurs données et ainsi entretenir leur confiance.

Ressources


Site de la CNIL

Lignes directrices de la CNIL (PDF)

Consultation de la CNIL sur le projet de recommandation « cookies et autres traceurs »

Loi Informatique et Libertés du 6 janvier 1978

Sanction de la CNIL envers Google LLC

Qu’est-ce que le RGPD ?

Texte officiel du règlement général sur la protection des données (RGPD)

Directive « vie privée et communication électronique » (ePrivacy)

Communiqué de presse officiel de la Cour de justice de l’Union européenne sur l’affaire Planet49

Le Monde : Interview avec Marie-Laure Denis, présidente de la CNIL, sur la recommandation cookies

Noveau mode de consentement Google 

Cookiebot intégre parfaitement avec le nouveau Google Consent Mode.

Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui

Faites un essai gratuit