Entré en vigueur le 25 mai 2018, le RGPD (règlement général sur la protection des données) définit un certain nombre de règle quant à l'utilisation des données personnelles.
Pour être en conformité avec RGPD, vous devez recueillir le consentement des usagers pour le traitement de leurs données. Le consentement est défini comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement".
Pour en savoir plus, vous pouvez lire cet article sur la conformité RGPD et l'obtention du consentement.
Quels cookies sont soumis à acceptation ?
Le RGPD ne se limite pas qu'à l'écriture des cookies sur votre site internet, mais règlemente toute la gestion des données personnelles dans votre entreprise et de vos partenaires. Je me limite dans cet article uniquement à votre site internet et son domaine principal. Dans le cas d'un site internet vous devez obtenir l'accord des visiteurs pour déposer des cookies. Cet accord doit être obtenu avant la dépose des cookies.
Tous les cookies ne sont pas soumis à consentement. Les cookies suivants n'ont pas besoin de recueillir l'acceptation de vos visiteurs
- Les cookies techniques (de fonctionnement). Il s'agit des cookies enregistrant un identifiant de connexion, une inscription, des paramètres de recherche, un panier d'achat, un vote à sondage, etc
- Les cookies destinées aux statistiques si (et seulement si), les cookies ne permettent pas d'identifier l'utilisateur.
Pour en savoir plus, cet article de la CNIL est un bon résumé.
Ce qui a changé depuis le 1er avril 2021
Le consentement était déjà inscrit dans la loi Informatique et Libertés. Il est renforcé par le RGPD et les conditions de son recueil sont précisées.
Depuis le 1er avril 2021, la CNIL a changé sa définition de l'acception. À présent le fait de poursuivre la navigation sur le site n'est plus suffisante pour considérer l'acceptation du visiteurs aux cookies tiers.
Il assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant :
- de comprendre le traitement qui sera fait de leurs données ;
- de choisir sans contrainte d’accepter ou non ce traitement ;
- de changer d’avis librement.
Le recueil du consentement des personnes autorise le traitement de leurs données par les responsables du traitement.
Gérer le consentement des visiteurs et l'enregistrement des cookies sur internet
Au chargement d'une page, vous devez contrôler si le choix de l'utilisateur:
- Soit il a accepté tout ou partie des cookies
- Soit il a refusé tous les cookies
- Soit il n'a pas donné d'avis
Le visiteur a accepté tout ou partie des cookies
Dans ce cas vous pouvez charger les services / scripts qui ont été acceptés qui écriront les cookies nécessaires.
Vous devez également fournir la possibilité au visiteur de modifier son choix.
Le visiteur a refusé tous les cookies
Dans ce cas vous ne pouvez écrire que les cookies techniques et ceux destinés aux statistiques non personnelles.
Vous pouvez écrire un cookie qui enregistre le refus (c'est un cookie technique). Vous devez également fournir la possibilité au visiteur de modifier son choix.
Le visiteur n'a pas donné d'avis
Dans ce cas vous ne pouvez écrire que les cookies techniques et ceux destinés aux statistiques non identifiable.
Vous devez afficher une fenêtre de consentement. Votre fenêtre doit afficher un bouton de refus aussi facilement accessible que le bouton d'acceptation.
Quelques règles de bonne pratique
Les popups d'acceptation de cookie sont une verrue dans la navigation sur internet. À croire que la plupart des webmasters cherchent à rendre cette acceptation la plus désagréable possible afin d'obtenir un consentement complet par lassitude des internautes.
Ce n'est pourtant pas la bonne solution et, à force, vous riquez de faire fuir vos visiteurs. Ce passage obligé gagnerait à être discret et compréhensible en suivant quelques règles simples :
- Préférez l'affichage d'une bannière discrète en bas de page plutôt qu'une bannière centralisée
- Évitez l'obligation de réponse et ne bloquez pas la consulation de la page.
- Respecter l'utilisateur avec un consentement souhaité et non imposé.
- Affichez clairement le bouton Accepter
- Affichez tout aussi clairement le bouton Refuser.
- Placez le bouton Refuser à côté du bouton Accepter pour ne pas obliger l'internaute à chercher.
- Indiquez la portée des données personnelles que vous récoltez.