Réglementation Cookies:
Auditez votre site

La réglementation en vigueur concernant les cookies et autres traceurs concerne tous les sites web et applications mobile (sites vitrines, e-commerce, blog) dès lors qu’ils sont accessibles au public. L’audit cookies permet de vérifier si votre site respecte cette réglementation, et propose des recommandations dans le cas contraire.

Que dit la loi sur les cookies traceurs ?
Comment vérifier que mon site respecte la réglementation cookies ?

 

A quoi servent les cookies traceurs ?

Lorsque vous visitez un site web, celui-ci enregistre de petites informations sur votre ordinateur ou votre téléphone; ces informations ont différentes finalités.

  • Certains cookies sont nécessaires au fonctionnement technique du site: mémorisation du panier d’achat sur un site e-commerce ou identification de l’utilisateur après la connexion par exemple;
  • Certains cookies ont un but marketing: suivre l’utilisateur, analyser sa navigation, lui proposer de la publicité ciblée… ;
  • Les cookies traceurs peuvent également mémoriser les préférences de l’internaute pour personnaliser la navigation d’une visite à l’autres.

La technologie “cookie” est la plus ancienne méthode permettant de stocker des informations sur le périphérique d’un visiteur, mais il en existe beaucoup d’autres (stockage local, base de données locale, traceurs dans les applications smartphone…). D’une manière générale, on parlera donc de cookies et traceurs, car la réglementation est commune à l’ensemble de ces techniques.

La quasi-totalité des sites web utilisent des cookies traceurs pour une ou plusieurs de ces finalités. Si vous avez un site internet, il est très fort probable que celui-ci dépose des cookies sur le navigateur de vos visiteurs. En tant qu’éditeur de site web, vous êtes donc concernés par la réglementation sur les cookies.

Cookies tiers

Quelle est la réglementation sur les cookies traceurs ?

La réglementation applicable en France est l’article 82 de la loi Informatique et Libertés, qui est une transposition de la directive européenne 2002/58/CE.

Concrètement, la législation impose de demander le consentement des utilisateurs avant de déposer des cookies traceurs sur leur terminal. C’est la règle générale, mais elle comprend un certain nombre d’exceptions. Pour certaines finalités, le consentement n’est pas nécessaire, par exemple:

  • Cookies strictement nécessaire au fonctionnement technique du site ou de l’application
  • Cookies nécessaires à la mesure d’audience anonymisée, dans certains cas

Attention, même pour ces cookies ne nécessitant pas le consentement de l’utilisateur, celui-ci doit être informé de l’existence de ces traceurs et de leur finalité.

La Commission Nationale de l’Informatique et des Libertés (CNIL) détaille sur son site les cas où le consentement n’est pas requishttps://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi

R

A retenir

Les cookies sont une des nombreuses technologies permettant de suivre les utilisateurs. La réglementation est la même pour tous les types de traceurs.

Besoin d'aide pour auditer votre conformité cookies traceurs ?

Comment vérifier que mon site respecte la législation des cookies traceurs ?

Voici la marche à suivre pour contrôler la conformité de votre site concernant les cookies.

Faire l’inventaire des cookies

La première étape consiste à analyser votre site pour lister les différents cookies qui sont déposés sur le navigateur. Pour cela, une solution simple consiste à naviguer sur votre site comme le ferait un internaute, et à utiliser les outils du navigateur pour afficher la liste des cookies.

Attention, vérifiez que vous n’êtes pas connecté à l’interface d’administration de votre site avant de commencer (backoffice WordPress par exemple), car cela pourrait fausser les résultats. En effet, l’interface d’administration dépose certainement des cookies, mais ceux-ci ne sont pas concernés par la réglementation car il s’agit d’une zone privée.

La procédure suivante s’applique si vous utilisez le navigateur Google Chrome (le plus utilisé), mais fonctionne également à l’identique sous Microsoft Edge. Les autres navigateurs web proposent généralement des interfaces similaires mais vous devrez peut-être chercher un peu.

  1. Déconnectez-vous de votre interface d’administration (backoffice) et supprimez tous les cookies dans les options du navigateur
  2. Si vous utilisez une extension pour bloquer les publicités (AdBlock), désactivez-la pour ne pas fausser les résultats
  3. Ouvrez la page d’accueil de votre site, et naviguez sur plusieurs pages du site; essayez d’explorer un maximum de pages différentes (articles de blocs, produits à vendre, formulaire de contact, liste de liens partenaires, plan d’accès à votre entreprise…). Certains cookies ne sont probablement déposés que sur certaines parties de votre site; si vous le visitez trop rapidement, vous risquez d’en rater.
  4. Cliquez sur le cadenas à gauche de l’adresse de votre page, vous devriez obtenir quelque chose de ce type:
    Exemple de site n'utilisant pas de cookies
  5. Dans cet exemple, le site n’utilise aucun cookie, donc l’inventaire s’arrête là. A l’inverse, si votre site utilise des cookies (cas le plus fréquent), le navigateur vous indique le nombre de cookies. Cliquez sur Cookies pour obtenir la liste des cookies, par exemple:
    Liste de cookies déposés par Yahoo

Identifier le rôle de chaque cookie traceur

Si vous obtenez une lise de cookies aussi longue que dans l’exemple ci-dessus, vous avez du pain sur la planche. Souvent, vous obtiendrez une liste plus restreinte. Le navigateur trie les cookies en fonction du domaine (nom de domaine) qui est à l’origine du dépôt; vous devriez donc avoir une rubrique portant le nom de votre site, et potentiellement quelques autres correspondant à des services tiers utilisés par votre site (régie publicitaire, réseaux sociaux, outils de mesure d’audience).

Parcourez la liste et notez (par exemple dans un fichier Excel) le nom de chaque cookie, le domaine à l’origine du dépôt (le vôtre ou un autre), et essayez d’identifier la raison d’être du cookie. Pour cette étape, qui peut être fastidieuse si le nombre de cookies est important, vous pouvez essayer de déduire la finalité à partir du nom du cookie: “ads” correspondra certainement à de la publicité, “sessionID” à l’identification des utilisateurs lors de la navigtion, “cart” au panier d’achat…

En déduire la conformité de votre site

Si votre site dépose uniquement des cookies strictement nécessaires à son fonctionnement technique (cookie de session ou de panier, ou cookie utilisé pour la répartition de charge par exemple), une simple information suffit.

En revanche, si vous avez identifié au moins un cookie poursuivant une autre finalité (marketing par exemple), vous devez obtenir le consentement explicite de l’internaute avant de déposer le cookie sur son navigateur. Si votre site a déposé ces cookies sans vous demander votre avis, il n’est pas conforme.

Checklist conformité cookies

Cookies: qu’est-ce qu’un consentement explicite ?

Comme on vient de le voir, votre site doit demander le consentement de l’internaute avant de déposer certains types de cookies. Mais pour être conforme à la loi et aux recommandations de la CNIL, le recueil du consentement doit respecter certaines règles.

  • Les cookies ne doivent pas être déposés avant l’acceptation par l’internaute.
  • L’acceptation ou le refus doit être donné pour chaque finalité; cela signifie qu’un visiteur peut accepter les cookies de préférence et refuser les cookies publicitaires s’il le souhaite.
  • Vous devez fournir une information complète sur les cookies utilisés par votre site lors du recueil du consentement; cette information doit être maintenue à jour.
  • La demande de consentement ne doit pas être orientée, ni dans la forme, ni dans le contenu de la question. Le refus de certains types de cookies ne doit pas empêcher l’internaute de visiter votre site.
  • Le consentement doit être explicite; les formulations du type “Si vous poursuivez votre navigation, vous acceptez les cookies” ne sont pas autorisées.
  • Il est aussi facile de refuser les cookies que de les accepter; par exemple, si votre formulaire propose un bouton “Tout accepter”, il doit proposer également un bouton “Tout refuser”, ne nécessitant pas plus de clics de souris.
  • Le choix peut être modifié à tout moment; une bonne pratique consiste à inclure sur toutes les pages du site un bouton permettant d’accéder au formulaire de paramétrage.
s

Point clé

Les formulations comme “Si vous poursuivez votre navigation, vous acceptez l’utilisation des cookies” ne sont pas autorisées.

Réaliser un audit de cookies

Si votre site utilise plusieurs services tiers (pour la publicité ou le partage sur les réseaux sociaux, ou encore pour la mesure d’audience), le travail d’identification des cookies peut être difficile à faire manuellement. Dans ce cas, il peut être pertinent de faire appel à un professionnel pour réaliser un audit de conformité cookies traceurs. Pour ma part, je réalise les audits de conformité cookies en partie manuellement et en partie en utilisant des outils professionnels automatisés.

Dans sa recommandation du 4 février, la CNIL recommande à tous les éditeurs de sites web d’auditer leur site sans attendre. Après une longue période de transition, elle rappelle qu’il n’y aura plus aucune tolérance à partir du 31 mars 2021.

La bonne idée

Pas le temps de réaliser vous-même votre audit ? Je peux réaliser votre audit de conformité cookies traceurs (offre à durée limitée).

Après l’audit, la mise en conformité

Avez-vous identifié des non-conformités sur votre site ? Des solutions existent pour le mettre à jour afin de le conformer aux règles en matière de protection de la vie privée. Quelle que soit la technologie utilisée par votre site (WordPress, Prestashop ou autre), n’hésitez pas à me contacter si vous avez besoin d’un accompagnement technique.

Commander un audit de conformité Cookies

Audit réalisé en partie manuellement et en partie à l’aide d’outils professionnels automatisés.