3.1. Les cookies essentiels : pas d’obligation de consentement
3.1.1. Principes et exemples
Conformément à l’article 4.3, e) de la loi modifiée du 30 mai 2005, il n’y a pas d’obligation d’obtenir le consentement préalable de l’utilisateur à la lecture ou au dépôt d’un cookie sur son équipement terminal si ce dernier :
- vise « exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques »
ou
- est « strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
Dans les présentes lignes directrices, ces cookies sont qualifiés de « cookies essentiels ».
Afin d’illustrer cette exemption du consentement, la CNPD est d’avis que, sous certaines conditions, les exemples de cookies ayant les finalités reprises dans le tableau ci-dessous peuvent être qualifiés de cookies essentiels et ne nécessitent donc pas de consentement.
Finalité du cookie |
Obligation d’obtenir un consentement ? |
Enregistrement du choix de l’utilisateur concernant les cookies |
Non. |
Authentification de l’utilisateur |
Non, si ce cookie ne sert qu’à cette finalité. Cependant cela ne sera pas le cas pour la grande majorité des cookies fournis par les réseaux sociaux pour simplifier l’authentification. |
Sauvegarder le panier d’achat |
Non. |
Enregistrer les réponses à un formulaire de contact |
Non. |
Streaming de contenu |
Non, à condition que l’utilisateur ait clairement indiqué sa volonté d’accéder au contenu concerné. |
Personnalisation du service |
Non, par exemple pour enregistrer un format d’affichage ou un paramètre de langue.
Attention : la personnalisation de la publicité ne rentre pas dans cette catégorie et le dépôt ou la lecture d’un cookie pour une telle finalité nécessite l’obtention d’un consentement. |
Sécurité |
Non, dans le cas où le cookie ne sert qu’à cette finalité (par exemple : lutte contre la fraude, détection de tentatives d’authentification multiples) et pour le compte exclusif de l’éditeur du site ou de l’application. |
Statistiques |
Oui, sauf exceptions :
La CNPD considère que, bien que les cookies utilisés pour mesurer l'audience statistique d'un site ("cookies analytiques") ne posent pas de risques importants pour la vie privée lorsqu'ils sont directement placés par le site visité (et non par une partie tierce) à des fins statistiques, et lorsque les visiteurs sont informés clairement de leur utilisation dans les règles de confidentialité, il est néanmoins nécessaire que l’exploitant du site obtienne le consentement de l'utilisateur avant de placer ce type de cookies.
Cependant, dans les cas où l’exploitant du site serait en mesure de démontrer que l’utilisation de certains cookies analytiques sont nécessaires à la fourniture du service (par exemple, parce qu’ils sont nécessaires à l’évaluation des capacités serveurs nécessaires ou à la détection de problèmes de navigation), ceux-ci pourraient être exemptés de consentement. Dans ce cas, la CNPD considère que l’exception ne sera applicable que si les données récoltées via ces cookies :
|
3.1.2. Information à fournir en cas d’utilisation de cookies « essentiels »
Afin d’assurer la plus grande transparence possible à l’égard des internautes, la CNPD recommande aux opérateurs de sites internet et d’applications d’informer les utilisateurs sur le fait qu’ils utilisent des cookies « essentiels », par exemple via un bandeau cookies.
Par ailleurs, si l’utilisation des cookies implique un traitement de données à caractère personnel, une information conforme à l’article 13 du RGPD doit obligatoirement être fournie aux utilisateurs. Celle-ci peut par exemple être documentée dans une « politique de confidentialité » ou une « politique en matière de cookies ». Dans ce cas, l’obligation d’information rejoint celle décrite ci-dessous pour les cookies non-essentiels (Voir la Section. 3.2.2 ci-dessous).
3.1.3. Exemples de bonnes pratiques
A. Utilisation de cookies essentiels n’impliquant pas de traitement de données à caractère personnel :
Par exemple certains cookies de personnalisation d’affichage ne nécessitent aucun traitement de données à caractère personnel (cf. 3.1.1).
Exemple d’affichage pour cookies ne nécessitant aucun traitement de données à caractère personnel
Quelques soient les types de cookies utilisés, il est de bonne pratique d’ajouter un lien pour expliquer à l’utilisateur – a minima – ce qu’est un cookie et quelles sont les finalités poursuivies par les cookies utilisés.
Ce type de messages peut être affiché via un autre moyen qu’une bannière, l’important étant qu’il soit lisible par l’utilisateur lors de sa première connexion au site ou à l’application et que l’information soit accessible par la suite.
Il est également possible qu’un cookie soit considéré comme essentiel, et donc exempté de consentement, mais qu’il ne soit nécessaire que pour certaines fonctionnalités d’un site ou d’une application (par exemple, le cookie n’est pas nécessaire au fonctionnement du site dans sa globalité, mais uniquement en cas d’utilisation par l’internaute d’un lecteur de musique intégré au site). Dans ce cas, il est recommandé de ne déposer le cookie ou d’accéder à des données du terminal de l’utilisateur qu’à partir du moment où l’utilisateur indique sa volonté d’utiliser le service (dans notre exemple : le lecteur de musique).
Exemple d’affichage pour cookies nécessaires que pour certaines fonctionnalités d’une application de lecteur de musique
Il est - ici aussi - recommandé de fournir des informations complémentaires à l’utilisateur, comprenant au minimum une description des cookies et la finalité des cookies utilisés.
B. Utilisation de cookies essentiels impliquant un traitement de données à caractère personnel :
Dans le cas ou l’utilisation des cookies implique un traitement de données à caractère personnel, comme par exemple dans le cas de la mémorisation d’un panier d’achat (cf. 3.1.1), le lien permettant d’obtenir des informations complémentaires devrait pointer vers une « politique en matière de cookies » ou une « politique de confidentialité, contenant toutes les informations obligatoires en vertu de l’article 13 du RGPD.
Exemple d’affichage pour cookies pointant vers une politique en matière de cookies
3.2. Les cookies non-essentiels : obligation d’obtenir un consentement
3.2.1. Principes et exemples
En cas de lecture ou de dépôt d’un cookie non-essentiel, à savoir un cookie qui ne vise pas « exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques » ou qui n’est pas « strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur », l’opérateur du site est dans l’obligation d’obtenir le consentement préalable de l’utilisateur avant de déposer ou de lire un tel cookie.
Les exemples suivants constituent en principe des cookies non essentiels :
Finalité du cookie |
Obligation d’obtenir un consentement ? |
Cookie utilisé à des fins de traçage (par exemple, suivre un utilisateur lors de sa navigation, d’un appareil à un autre)
|
Oui |
Cookie utilisé à des fins de profilage (par exemple, la collecte de données liées aux intérêts d’un utilisateur, afin de lui créer un profil)
|
Oui |
Cookie utilisé à des fins de ciblage publicitaire (afficher des publicités personnalisées basées sur le profil de l’utilisateur)
|
Oui |
Cookie servant à la géolocalisation de l’utilisateur
|
Oui |
Plugins sociaux (par exemple, des boutons de type « J’aime » ou autres liens dans les pages du site web vers des réseaux sociaux)
|
Oui, si le plugin est lié à l’usage de cookie. |
Comme indiqué préalablement dans la Section 2 ci-dessus, et comme développé plus amplement ci-dessous, le consentement de l’utilisateur nécessaire au dépôt ou à la lecture de cookies non-essentiels doit – depuis le 25 mai 2018 – répondre aux conditions du RGPD, tels que notamment définies aux articles 4-11 et 7 du RGPD.
3.2.2. Consentement éclairé
Le consentement obtenu doit tout d’abord être éclairé, ce qui veut dire que des informations complètes, claires et formulées en des termes compréhensibles, sur l’utilisation des cookies, doivent être fournies à l’utilisateur préalablement à l’obtention de son consentement.
Ces informations doivent être conformes aux articles 12 et 13 du RGPD.
La CNPD recommande que les informations soient fournies en deux niveaux.
A) Premier niveau d’information
Le premier niveau d’information est généralement fourni via un bandeau de cookies ou dans une fenêtre de type « pop-up », qui contient obligatoirement un lien vers le second niveau d’information (une « politique en matière de protection des données » ou une « politique en matière de cookies », séparées des conditions générales).
En pratique, c’est via ce premier niveau d’information que le choix de l’utilisateur en matière de consentement (par exemple, « j’accepte les cookies », « je refuse les cookies » ou « je choisis par finalités ») est également récolté.
La CNPD est d’avis que le premier niveau d’information doit – au minimum – permettre à l’utilisateur de comprendre que des cookies sont utilisés par le site internet ou l’application, l’informer des finalités pour lesquelles ces cookies sont utilisés, qui en sont les responsables (cookies « propres » au site, cookies « tiers » ou les deux ?), l’informer sur la manière dont il peut accepter ou refuser les cookies, sur la possibilité qu’il a de retirer son consentement à tout moment, et sur les conséquences s’attachant à un refus des cookies (si cela est pertinent).
B) Second niveau d’information
Le second niveau d’information, quant à lui, doit être accessible depuis le premier niveau (par exemple, via un lien hypertexte ou un menu déroulant). Il correspond généralement à ce que l’on appelle la « politique en matière de cookies ». Il peut aussi s’agir d’une section dédiée aux cookies dans la politique plus générale en matière de protection des données.
Ce second niveau d’information doit fournir de plus amples explications sur les cookies, et contenir les informations obligatoires en conformité avec les articles 12 et 13 du RGPD.
Ainsi, les informations suivantes doivent notamment être fournies à l’utilisateur dans le second niveau d’information :
- des informations techniques sur les cookies utilisés et une description plus détaillée des finalités poursuivies par ceux-ci,
- une liste précise et exhaustive des responsables de traitement des opérations de lecture ou d’écriture,
- les catégories de données collectées via les cookies,
- les destinataires ayant accès aux cookies ou aux données collectées via les cookies,
- la durée de fonctionnement des cookies utilisés et la durée de rétention des données collectées via ceux-ci,
- les éventuels transferts dans des pays tiers des données collectées via les cookies,
- l'existence d'une éventuelle prise de décision automatisée, y compris un profilage, sur base des informations collectées par l’utilisation des cookies.
Les informations requises par l’article 13 du RGPD, mais qui ne sont pas en lien direct avec l’utilisation de cookies (par exemple, concernant les informations sur le droit d’accès de la personne concernée, ou sur le droit d’introduire une réclamation auprès de la CNPD), peuvent éventuellement se trouver dans la politique plus générale du site internet en matière de protection des données (vers laquelle la politique en matière de cookies devra renvoyer).
3.2.3. Consentement préalable
Le site internet ne peut déposer de cookies non-essentiels avant que l’utilisateur ait donné son consentement activement dans le respect des obligations détaillées dans la présente Section 3.2.
3.2.4. Consentement libre
Le consentement ne peut être valide que si les utilisateurs sont en mesure d'exercer réellement et librement leur choix, sans être forcés, d’une façon ou d’une autre, d’accepter l’utilisation des cookies.
Ainsi, en ce qui concerne les cookies non-essentiels, si un site internet conditionne l’accès à son contenu à un clic sur un bouton « J’accepte » ou à toute acceptation ultérieure, l’utilisateur n’est pas en mesure de donner un consentement libre, puisqu’il ne dispose pas de réel choix : l’utilisateur est obligé d’accepter s’il veut accéder au site. Le consentement ainsi obtenu n’est donc pas valable.
Exemple d’affichage pour lequel l’utilisateur n’est pas en mesure de donner un consentement libre
Le consentement ainsi obtenu est invalide
Dans le cas ci-dessus, l’utilisateur n’a pas d’autres choix que de marquer son accord à l’utilisation de cookies à des fins de publicité comportementale s’il veut accéder au site.
Dans ce cas précis, et dans la mesure où les cookies déposés sont des cookies non-essentiels, ce « cookie wall » ne permet pas le recueil d’un consentement valide.
La CNPD rappelle que les responsables du traitement doivent éviter d’induire en erreur – consciemment ou non – les utilisateurs, lorsqu’ils cherchent à recueillir leur consentement.
Elle recommande donc aux opérateurs de sites internet ou d’applications de présenter, de façon identique, les différents choix dont dispose l’utilisateur quant à l’acceptation des cookies
En particulier, la CNPD recommande d’éviter l’utilisation de tout ou partie des pratiques suivantes de design trompeur, pratiques visant à piéger l’utilisateur et qui font partie du phénomène des « dark patterns » :
- Formes différentes des « boutons de consentement » (par exemple, l’utilisation d’un grand bouton « j’accepte », alors que le bouton « je refuse » n’est présenté que sous la forme d’un petit lien hypertexte) ;
- Polices d’écriture différentes des « boutons de consentement » (par exemple, un bouton « j’accepte » utilisant une police d’écriture aisément lisible, et un bouton « je refuse » utilisant une police d’écriture illisible) ;
- Couleurs différentes des « boutons de consentement » (par exemple, un bouton « j’accepte » dont le fond apparait coloré, contre un bouton « je refuse » dont le fond est en blanc) ;
- Tailles différentes des « boutons de consentement » (par exemple, un grand bouton « j’accepte » mis en évidence, alors que le bouton « je refuse » n’apparait qu’en tout petit format) ;
- Contrastes différents des « boutons de consentement » (par exemple, un bouton « j’accepte » dans un contraste fort le rendant bien visible, alors que le bouton « je refuse » est très peu contrasté par rapport au reste de la bannière, et est donc peu visible) ;
En effet, le fait d’utiliser tout ou partie des pratiques susmentionnées pour présenter les choix offerts à l’utilisateur, et d’influencer ainsi les choix de celui-ci, pourrait notamment impacter le caractère libre, éclairé et univoque du consentement (voir exemple ci-dessous). Cela pourrait en outre porter atteinte à l’obligation de fournir une information claire et compréhensible.
Exemple d’affichage dans lequel le design influence l’utilisateur.
Type de pratique à éviter : le design influence l’utilisateur à accepter
3.2.5. Consentement univoque - action positive de l’utilisateur
Le consentement doit être univoque. Cela signifie qu’aucune ambiguïté quant à l’expression du consentement ne peut exister.
Pour ce faire, le consentement doit se manifester par une action positive claire de la personne, qui a été préalablement informée des conséquences de son choix. La manifestation de volonté peut s’exprimer, par exemple, par le fait de cocher une case ou d’activer un bouton par glissement.
En revanche, les cas suivants ne peuvent pas être considérés comme un acte positif de l’utilisateur, et ne constituent donc pas un consentement univoque :
- le fait de continuer de naviguer sur le site internet ou d’utiliser une application
- le fait de considérer la configuration du terminal acceptant les cookies comme marque de consentement
- le fait de ne pas décocher une case pré-cochée
- le fait de ne pas avoir exercé de choix lors de la demande de consentement
Sans autre action de l’utilisateur, les cas précités ne constituent pas des consentements valables, mais sont en outre à considérer comme des refus de consentement.
3.2.6. Consentement spécifique
Si des cookies non-essentiels sont déposés afin de poursuivre différentes finalités, l’utilisateur doit avoir la possibilité de donner ou de refuser son consentement, de façon distincte pour chaque finalité.
Ceci n’empêche pas de proposer à l’utilisateur, en plus de la possibilité de réaliser un choix par finalité, des boutons « tout accepter » et « tout refuser ».
3.2.7.. Refus et retrait du consentement
Conformément à l’article 7 (3) du RGPD, la personne concernée doit être en mesure de retirer son consentement à tout moment et aussi facilement qu’elle a pu le donner. Cela signifie que s’il suffit d’un clic pour donner son consentement, celui-ci doit pouvoir être retiré aussi facilement.
Exemple de bonne pratique :
- Lors de la première connexion l’utilisateur se voit afficher l’interface de recueil de consentement et il choisit de tout accepter.
- Plus tard, si l’utilisateur veut retirer son consentement, il doit pouvoir rappeler aisément cette même interface, par exemple par le biais d’un lien clair affiché en bas de chaque page, d’une icône flottante ou d’autre moyen rapide et compréhensif.
Exemple de lien en bas de page :
Exemple d’icone flottante :
- Une fois l’interface de nouveau disponible, cela lui permet cette fois-ci de notifier son refus tout aussi facilement, ce qui implique le retrait du consentement précédemment donné.
En outre, comme indiqué précédemment, le RGPD implique que le consentement doit être donné librement. Dans la continuité de cet esprit, la CNPD recommande fortement d’offrir les mêmes possibilités pour donner son consentement que pour le refuser.
De ce fait, s’il faut plusieurs opérations (nombre de clics ou autre) pour accepter une finalité particulière, il ne faut pas un nombre d’opérations supérieur pour la refuser. De la même façon, si un bouton « j’accepte tout » est présent sur la première couche, un bouton similaire « je refuse tout » devrait également s’y trouver.
En effet, la CNPD estime que s’il est possible de consentir en un seul clic alors que
plusieurs clics sont nécessaires pour exprimer un refus de consentir , il existe un risque de biaiser le choix de l’utilisateur, ce dernier désirant généralement accéder au site internet le plus rapidement possible.
Pour rappel (voir Section 3.2.5 ci-dessus), toute inaction de la part de l’utilisateur ou toute action réalisée en dehors du mécanisme de demande de consentement (comme le fait de quitter ce mécanisme (ex : croix en haut à droite)) est à considérer par l’opérateur du site ou de l’application comme un refus de consentement.
3.2.8. Durée de validité et renouvellement du consentement
Bien que le RGPD ne fixe pas de durée de validité du consentement, dans le cadre de l’utilisation des cookies la CNPD recommande que cette durée ne dépasse pas une durée maximale de 12 mois, période après laquelle il faudra à nouveau demander le consentement à l’utilisateur.
Si la durée de validité du consentement n’est pas dépassée, la CNPD recommande de ne pas redemander le consentement aux personnes concernées, sauf en cas de modification notable des traitements de données concernés (ex : changement de partenaire publicitaire, modification des catégories de données récoltées via les cookies, modification des pays de destinations, modification d’une finalité de traitement, etc.).
Le consentement peut également être redemandé dans les cas où l’utilisateur a changé de terminal (il utilise un autre appareil) ou a effacé les cookies servant à l’enregistrement du recueil du consentement.
3.2.9. Preuve du consentement
La CNPD rappelle qu’en vertu de l’article 7.1 du RGPD, les responsables du traitement ont l’obligation d’être en mesure de fournir la preuve du fait qu’ils ont valablement recueilli le consentement des utilisateurs.
Ainsi, le responsable du traitement doit pouvoir prouver qu’une personne spécifique a fourni son consentement (par exemple, en conservant des informations sur la session lors de laquelle le consentement a été donné)[1].
En outre, le responsable du traitement doit également pouvoir prouver que le consentement obtenu répond aux critères d’obtention d’un consentement valable, tels que décris dans la présente section 3.2. La preuve de la validité du consentement pourrait par exemple être obtenue via des moyens tels que :
- la conservation d’une preuve du rendu de l’interface de recueil du consentement affiché sur le terminal de l’utilisateur lors de la demande de consentement, de façon horodatée, pour chaque version du site ou de l’application ;
- la conservation des différentes versions du code informatique utilisé pour le recueil du consentement ;
- la réalisation d’audits des mécanismes de recueil du consentement par des tiers mandatés à cette fin ;
Si le responsable du traitement a recours aux services d’une plateforme de gestion du consentement, il peut être prévu que le tiers proposant la plateforme conserve et fournisse, sur demande, des informations relatives aux outils mis en œuvre pour obtenir le consentement et à leurs configurations successives, de façon horodatée.
3.2.10. L’utilisation d’une plateforme de gestion du consentement
La CNPD constate que beaucoup de responsables de sites internet ou d’applications ont recours à des plateformes de gestion du consentement (en anglais, « consent management platform ») mises en place par des acteurs tiers, afin de gérer le bandeau cookies, et les consentements obtenus via celui-ci.
La CNPD souhaite rappeler que, quand bien même le responsable du site ou de l’application aurait recours à une telle solution, celui-ci demeure responsable du bon respect des règles applicables, telles que détaillées dans les présentes lignes directrices.
En outre, si la plateforme de gestion du consentement traite des données à caractère personnel pour le compte du responsable du site ou de l’application, la plateforme est à considérer comme « sous-traitant » au sens de l’article 4, 8) du RGPD.
Dans ce cas, la CNPD rappelle qu’un contrat de sous-traitance répondant aux conditions de l’article 28 du RGPD doit être conclu entre le responsable du site ou de l’application et la société offrant la plateforme de gestion du consentement.
3.2.11. Exemples de bonnes pratiques
Ci-dessous figurent des exemples de bonnes pratiques de recueil du consentement.
Exemple A: Le consentement par finalité est disponible directement.
Dans l’exemple ci-dessus, les options de refus étant cochés par défaut, le design n’est pas non plus trompeur.
Il est à noter que les informations détaillées peuvent être affichées via d’autres moyens comme des menus déroulants.
Exemple B: Un consentement global est disponible directement mais le consentement par finalité est disponible dans un second temps.
