Dois-je proposer une option de refus des cookies, et pas seulement une option « Accepter » ?

Cookies
Written By Nathalie Pouderoux

Oui, si vous utilisez des cookies qui ne sont pas strictement nécessaires au fonctionnement de votre site Internet, vous devez offrir aux utilisateurs la possibilité de les refuser, et pas seulement une option « Accepter ».

En vertu du RGPD et de la directive ePrivacy, le consentement aux cookies doit être libre, éclairé et spécifique. Cela signifie que les utilisateurs ne doivent pas être incités à accepter les cookies de suivi ou d'analyse par des astuces de conception (comme le fait de ne proposer qu'un bouton « Accepter » ou de masquer l'option « Refuser »). Le consentement doit également être aussi facile à retirer qu'à donner. Votre bannière ou vos paramètres de cookies doivent donc permettre aux utilisateurs de refuser ou de modifier leurs préférences sans difficulté.

Il est important de noter que vous ne pouvez pas présumer du consentement par le silence, l'inactivité ou en indiquant que « la poursuite de l'utilisation du site signifie que vous acceptez ». Pour les cookies non essentiels, tels que ceux utilisés à des fins de marketing ou de suivi des performances, les utilisateurs doivent donner leur consentement explicite.

Concrètement, cela signifie que votre site Internet doit :

  • Expliquer clairement quels cookies sont utilisés et pourquoi.

  • Permettre aux utilisateurs de refuser les cookies non essentiels avant qu'ils ne soient installés sur leur appareil.

  • Fournir un moyen simple de modifier les préférences en matière de cookies ultérieurement.

Nous vous expliquons plus en détail la conformité en matière de cookies dans cet article.

Quels sont les différents types de cookies ?

Les cookies, bien qu'ils soient souvent regroupés sous une même appellation, diffèrent les uns des autres sur des points importants, notamment en ce qui concerne leur durée de vie, leur origine et leur fonction.

En termes de durée, les cookies de session sont temporaires et sont effacés dès que l'utilisateur ferme son navigateur ou met fin à sa session. À l'inverse, les cookies persistants restent stockés sur l'appareil de l'utilisateur pendant une période déterminée, définie par une date d'expiration intégrée dans le code du cookie. Ils restent en place jusqu'à ce qu'ils soient supprimés manuellement ou automatiquement par le navigateur après leur expiration.

Les cookies peuvent également être distingués en fonction de leur origine. Les cookies propriétaires sont placés directement par le site web que l'utilisateur visite. Ils sont généralement utilisés pour soutenir les fonctionnalités du site ou recueillir des données analytiques de base. Les cookies tiers, en revanche, sont définis par des domaines externes, le plus souvent des réseaux publicitaires ou des plateformes d'analyse, et sont souvent utilisés pour suivre les utilisateurs sur différents sites web, ce qui en fait une source plus fréquente de préoccupations en matière de confidentialité.

Sur le plan fonctionnel, les cookies se répartissent en plusieurs catégories. Les cookies strictement nécessaires permettent d'utiliser les fonctionnalités essentielles du site, telles que la mémorisation des articles dans un panier ou le maintien de sessions de connexion sécurisées. Ils ne nécessitent pas le consentement de l'utilisateur, mais doivent néanmoins être expliqués. Les cookies de fonctionnalité (ou cookies de préférence) mémorisent les choix de l'utilisateur, tels que la langue ou la région.

Les cookies de performance collectent des données anonymisées sur la manière dont les visiteurs interagissent avec le site afin d'améliorer son ergonomie. Enfin, les cookies marketing suivent le comportement de navigation et sont principalement utilisés pour diffuser des publicités ciblées. Ceux-ci ont tendance à être persistants et proviennent de sources tierces, ce qui les soumet à des exigences de conformité plus strictes.

Quelles sont les règles à respecter en matière de conformité des cookies ?

Conformité des cookies au Royaume-Uni

Au Royaume-Uni, les exigences légales relatives aux cookies sont principalement régies par le règlement sur la vie privée et les communications électroniques (PECR), parallèlement au RGPD britannique. En vertu de ces règles, les organisations ne doivent pas installer de cookies non essentiels sur l'appareil d'un utilisateur sans avoir obtenu son consentement préalable et éclairé.

Cela signifie que les entreprises doivent clairement informer les utilisateurs de l'utilisation de cookies, expliquer leur fonction et leur raison d'être, et obtenir leur consentement avant d'installer des cookies qui ne sont pas strictement nécessaires. Cela s'applique non seulement aux cookies traditionnels, mais aussi aux technologies similaires qui stockent ou accèdent à des informations sur l'appareil d'un utilisateur, y compris les outils utilisés dans les applications ou sur les appareils connectés tels que les téléviseurs intelligents.

Il est important de noter qu'il incombe à l'organisation de veiller à ce que ces informations soient présentées de manière accessible et compréhensible pour l'utilisateur moyen. Les utilisateurs doivent être informés des conséquences potentielles de leur consentement à l'utilisation de cookies, en particulier lorsqu'il s'agit de suivi, de profilage ou de partage de données avec des tiers.

Conformité aux cookies de l'UE

Dans l'Union européenne, les cookies relèvent du champ d'application du règlement général sur la protection des données (RGPD) lorsqu'ils peuvent être utilisés pour identifier directement ou indirectement des personnes physiques. Bien que le règlement ne se concentre pas spécifiquement sur les cookies, il précise clairement que tout identifiant en ligne, y compris les cookies, est considéré comme une donnée à caractère personnel s'il peut être lié à un profil utilisateur ou utilisé pour suivre un comportement.

De ce fait, les organisations qui utilisent des cookies pour surveiller les utilisateurs, personnaliser le contenu ou analyser le comportement doivent traiter ces cookies comme des données à caractère personnel au sens du RGPD. Cela signifie que dans la plupart des cas, vous devez disposer d'une base juridique valable pour traiter les données, et cette base est généralement le consentement.

Le consentement au sens du RGPD doit être libre, spécifique, éclairé et univoque. Les cases précochées ou l'acceptation passive (comme la poursuite de la navigation sur un site) ne répondent pas à cette norme. Les utilisateurs doivent clairement accepter l'utilisation de cookies non essentiels et doivent également avoir la possibilité de retirer leur consentement aussi facilement qu'ils l'ont donné.

Même si les cookies n'identifient pas directement une personne, s'ils sont utilisés pour créer des profils d'utilisateurs ou suivre leur comportement sur différents services, ils sont considérés comme suffisamment intrusifs pour être soumis aux règles de protection des données. Par conséquent, les entreprises opérant dans l'UE doivent veiller à évaluer la finalité et l'effet des cookies qu'elles utilisent et à faire preuve de transparence à leur sujet.

Que doivent faire les organisations pour se conformer ?

Pour garantir la conformité de votre entreprise, vous devez d'abord réaliser un audit des cookies et des technologies similaires utilisés sur votre site web ou votre plateforme numérique. Une fois les cookies identifiés, vous devez évaluer si chaque cookie est essentiel au fonctionnement du site ou si le consentement est requis.

Lorsque le consentement est nécessaire, les utilisateurs doivent recevoir des informations claires et complètes avant que le cookie ne soit installé. Ces informations doivent notamment préciser les données collectées, leur finalité, l'implication éventuelle de tiers et la durée de conservation des données. Le langage utilisé doit être simple et adapté au public visé, en évitant autant que possible le jargon technique.

Les mécanismes de consentement doivent être solides. Les utilisateurs ne doivent pas être obligés d'accepter les cookies pour accéder aux fonctionnalités essentielles d'un site web, et il doit être aussi facile de retirer son consentement que de le donner. Les enregistrements des consentements doivent être conservés de manière sécurisée, et si la nature ou l'utilisation des cookies change, ou si les appareils sont partagés entre différents utilisateurs, les organisations peuvent être amenées à actualiser ou à obtenir à nouveau le consentement à intervalles appropriés.

Bien que cela soit souvent appelé « conformité des cookies », il est essentiel de reconnaître que ces règles s'appliquent à toute technologie qui stocke ou accède à des données sur l'appareil d'un utilisateur, ce qui rend indispensable pour les organisations de prendre en compte le champ d'application plus large des outils de suivi et des contenus intégrés dans leurs démarches de conformité.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.


Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante, pour Gerrish Legal

Nathalie Pouderoux
Next

Intérêt légitime, anonymat et modèles d'IA : Guide pratique pour le développement et le déploiement à destination des non-juristes