RGPD et protection des données de vos visiteurs : comment rester en conformité ?
Le règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018. On fait le point sur ses évolutions et sur ce qui doit être mis en place avant la prochaine échéance de la Commission Nationale de l'Informatique et des Libertés (CNIL), le 31 mars 2021.
Depuis mai 2018 et l’entrée en application du RGPD, chaque internaute s’est habitué à devoir accepter (souvent de force, on ne va pas se mentir) des cookies en arrivant sur un site internet. Alors pour ceux qui se demandent encore ce qu’est un cookie et pour tous ceux qui ont besoin d’un rappel, le voici.
Ça, par exemple, c’est ce qu’on appelle « accepter de force »…
Qu’est-ce qu’un cookie ?
Sur internet, un cookie est un petit morceau de texte qui est automatiquement enregistré sur votre ordinateur par un site lorsque vous le parcourez. Son rôle ? Enregistrer des informations vous concernant comme un identifiant, un mot de passe, un âge, des habitudes de navigation, etc. Même s’il est vrai qu’une partie de ces données peut ensuite être collectée et analysée afin de vous proposer des publicités qui vous correspondent, il ne faut pas oublier qu’une grande partie est simplement utilisée dans le but de faciliter votre navigation sur le site (en prenant en compte la version de votre navigateur ou la langue que vous préférez utiliser par exemple). Enfin, il est important de préciser que les cookies n’ont pas accès au contenu de votre ordinateur.
Aujourd’hui, la CNIL fait évoluer les règles d’utilisation des cookies et cela a des conséquences sur votre site.
Alors, que vont changer les nouvelles règles à partir du 31 mars 2021 ?
La CNIL, en tant que régulateur, a fait évoluer ses recommandations afin de donner plus de contrôle aux internautes sur l’utilisation de leurs données. A présent, je cite : « l’internaute doit être clairement informé des objectifs de ces cookies et il doit être aussi facile pour lui de les refuser que de les accepter ».
Pour être clair, il ne s’agit plus simplement de prévenir l’internaute qu’en poursuivant sa navigation sur votre site il accepte l’utilisation de cookies. Il doit savoir qui collecte ses données et comprendre avec des mots simples comment vont être utilisées ses données. L’internaute doit aussi pouvoir refuser aussi simplement qu’accepter. Les cookies non essentiels au fonctionnement ne pourront pas être déposés sur son ordinateur s’il ne l’a pas accepté explicitement par une action. Autre changement, l’internaute doit être en mesure de retirer son consentement à tout moment. Cela signifie qu’un module ou un lien doit être facilement accessible par le visiteur de votre site s’il change éventuellement d’avis au cours de sa visite.
Enfin, tous les exploitants des cookies doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Fini donc le choix entre « J’accepte » ou « En savoir plus » qui renvoie vers la politique de confidentialité. Fini aussi le choix entre « J’accepte » ou « Je refuse » sans réellement savoir ce qu’il se cache derrière.
À gauche, un exemple de ce qui ne sera plus accepté à partir du 31 mars et à droite, un exemple de bonne pratique.
La phrase qui résume le mieux cette nouvelle recommandation de la CNIL est sûrement : “pour que le consentement de l’internaute soit valable, il doit être éclairé”.
Il est aussi important de préciser qu’une partie des cookies sont exemptés de consentement, à savoir :
- les cookies qui conservent le choix exprimé par les visiteurs sur le dépôt de cookie ;
- ceux qui sont destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou nécessaire pour la facturation du produit et/ou service acheté(s) ;
- ceux qui sont destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification (par exemple en limitant les tentatives d’accès robotisées ou inattendues) ;
- les cookies de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service) ;
- ceux qui permettent l’équilibrage de la charge des équipements concourant à un service de communication ;
- les cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains cookies de mesure d’audience dès lors qu’ils ont pour finalité la réalisation de statistiques anonymes (pour en savoir plus, consultez cet article de la CNIL).
Ainsi, pour être en conformité avec le RGPD au 31 mars 2021, voici nos recommandations :
- Lister les cookies qui sont utilisés sur votre site.
- Être le plus transparent possible, vulgariser les termes s’ils sont trop techniques.
- Ne pas mettre en place une action complexe et donc dissuasive pour refuser les cookies.
- Se faire accompagner (et ça chez Walt, on sait faire !).
Au-delà de l’aspect réglementaire, Walt s’assure que la gestion du consentement cookies soit intégrée de manière discrète et en accord avec le design de votre site internet.
Cet article a été rédigé par Alexandre, co-fondateur de Walt et directeur marketing digital.