Les cookies et le paquet télécom de la loi Informatique et Libertés

Suite à l’adoption de l’ordonnance « Paquet télécom » de 2011, la loi relative à l’informatique, aux fichiers et aux libertés de 1978 a été modifiée. Elle impose désormais aux éditeurs de site d’informer les internautes et d’obtenir leur consentement avant le dépôt de certains cookies et autres traceurs.

La loi Informatique et Libertés et les cookies

Définition : qu’est-ce qu’un cookie ?

Un cookie est un fichier qui va être placé sur votre ordinateur lors de la visite d’un site. Ce fichier va contenir des données permettant de distinguer les différents visiteurs. En fonction de son application, le cookie va permettre une identification de l’internaute plus ou moins précise. Un cookie peut, par exemple, être utilisé pour conserver vos préférences sur un site, construire un panier d’achat, suivre vos interactions sur un site ou encore vous proposer des publicités ciblées.

CNIL cookies

Que dit la loi Informatique et Libertés à propos des cookies ?

L’adoption de l’ordonnance « Paquet télécom » a modifié l’article 32 II de la loi relative à l’informatique, aux fichiers et aux libertés. Désormais l’internaute « doit être informé de manière claire et complète » du dépôt de cookies, de leur finalité et des moyens qu’il dispose pour s’y opposer. Le principal changement par rapport à l’ancienne législation c’est que désormais l’internaute doit être informé avant le dépôt du cookie.

Il existe cependant certaines exceptions ; la loi ne s’applique pas à tous les cookies même s’il reste recommandé d’informer l’internaute. Ainsi, la CNIL nous précise que la loi Informatique et Libertés ne s’applique pas pour :

  • les cookies de session, utilisés pour lier un internaute à son compte utilisateur
  • les cookies enregistrant les préférences d’utilisation, comme la langue par exemple ou le refus des cookies
  • les cookies utilisés par les paniers d’achat
  • les cookies contribuant à la sécurité sur service demandé
  • les cookies servant au bon fonctionnement des lecteurs Flash
  • certains cookies permettant l’analyse du trafic sur un site

Comment se mettre en conformité avec la loi ?

Éditeurs de site : quelles sont vos obligations ?

Concrètement, lorsqu’un internaute arrive sur votre site, vous devez empêcher le dépôt de cookies tant que l’internaute n’a pas donné son consentement. Ainsi, en tant qu’éditeur de site vous devez, par exemple, placer un bandeau informant que des cookies vont être déposés et leur fonction. Ce bandeau doit également permettre à l’internaute d’accepter ou de refuser ce dépôt de cookies.

L’acceptation des cookies peut se faire de deux manières. Elle se fera soit par un bouton « Autoriser » sur le bandeau d’information, soit de manière automatique si l’internaute consulte une autre page du site. Il doit également être en mesure de retirer son consentement à tout moment.

Le délai de validité des cookies déposés ne doit pas excéder 13 mois ; le consentement devra donc être à nouveau recueilli à l’expiration de ce délai. Pour les cookies liés à la mesure d’audience et l’analyse de trafic, il vous faudra également anonymiser les adresses IP en ne conservant que les 2 premiers octets des adresses IPV4 et les 6 premiers des adresses IPV6.

Quelles sont les sanctions encourues ?

Comme précisé par la CNIL, informer l’internaute qu’il peut paramétrer son navigateur pour refuser les cookies n’est pas suffisant. Ainsi, à ce jour, de nombreux sites sont encore « hors la loi ». Une majorité se contente d’informer l’internaute au travers d’un bandeau mais ne bloque en aucun cas le dépôt de cookie avant consentement de l’internaute. D’autres n’informent pas l’internaute des cookies utilisés mais ne se gênent pas pour les déposer sur votre ordinateur.

bandeau cookies
Ghostery détecte des traceurs alors qu’il n’y a pas eu acceptation

Pour rappel, tout manquement à la loi relative à l’informatique, aux fichiers et aux libertés est passible de sanctions. Ces dernières peuvent aller jusqu’à 300 000€ d’amende. Il existe donc un réel risque en négligeant cet article de loi sur les cookies bien que la CNIL précise qu’elle est consciente que la mise en conformité d’un site peut nécessiter du temps et que les sanctions dépendront des efforts faits.

Les solutions techniques pour se mettre en conformité

Mettre en place des scripts dédiés aux cookies

Depuis l’adoption de l’ordonnance « Paquet télécom », différents scripts ont vu le jour pour répondre aux besoins des éditeurs de sites face à la loi sur les cookies. Toutefois, tous les scripts ne se valent pas et peu d’entre eux vous mettront en conformité avec la loi relative à l’informatique, aux fichiers et aux libertés. Comme je l’expliquais, un simple bandeau d’information ne sera pas suffisant.

Vous pouvez donc utiliser les différentes ressources proposés par la CNIL dans sa page « Cookies & traceurs : outils et codes sources » ou trouver d’autres alternatives. Jusqu’à cette année, j’utilisais le script tarteaucitron.js d’Amauri Champeaux. Je ne saurais que vous le conseiller puisqu’il vous mettra en conformité tout en offrant une bonne ergonomie pour l’internaute. Par contre, bien que la liste des services proposés se soit bien développée, il se peut qu’elle ne soit pas suffisante dans votre cas.

cookies recommandations CNIL
Script respectant les recommandations de la CNIL sur les cookies

Utiliser des alternatives sans cookies ou cookies exemptés

Pour les boutons de partage sur les réseaux sociaux, n’utilisez plus les boutons « officiels ». À la place, proposez un simple lien pour partager. Ici, les boutons avec compteurs de partage ne déposent aucun cookie. Il s’agit de simples liens mis en forme avec une feuille de style et d’un script récupérant le nombre de partage.

Pour l’analyse de trafic, vous préférerez sans doute essayer une autre solution que Google Analytics. En bloquant le dépôt de cookie à l’arrivée de l’internaute, vos statistiques ne seront plus fiables puisque tous les internautes ne seront plus comptabilisés. En remplacement, je vous invite à découvrir Piwik qui est tout aussi efficace.

Publier une réponse

Les champs marqués d'une * sont obligatoires. Votre adresse email ne sera pas publiée.