Nouvelles règles sur les cookies à partir de ce 1er avril: ce qui change pour les internautes

Dans la lignée du règlement européen sur la protection des données personnelles (RGPD), mis en place en 2018, une étape supplémentaire est franchie ce 1er avril 2021 dans la protection de la vie privée des internautes. Désormais, tous les sites Web affichés en France doivent se conformer à de nouvelles règles émises par la Commission nationale de l'informatique et des libertés (CNIL). Le but: présenter sans ambiguïté l’utilisation des cookies par un site internet.

Refus aussi simple que le consentement

Pour rappel, les cookies sont des petits fichiers informatiques créés dès lors qu’un internaute se rend sur un site Web et enregistrés par le navigateur, comme Chrome ou Safari. Ils peuvent avoir de nombreux usages différents. Sur un site de e-commerce, ils vont par exemple garder en mémoire des articles mis dans le panier par l’internaute, afin que le client puisse les retrouver lors d’une visite ultérieure.

Si ces cookies sont aussi utilisés à des fins statistiques, pour qu’un site puisse mieux connaître ses visiteurs, ces fichiers sont régulièrement pointés du doigt en raison de leur utilisation commerciale. Ils sont ainsi utilisés pour enregistrer toutes les interactions de l’internaute, par exemple afin de lui proposer de la publicité ciblée par la suite.

En octobre 2020, la CNIL a présenté de nouvelles règles, que doivent respecter tous les sites dès ce 1er avril 2021. L’une des plus importantes concerne le consentement de l’utilisateur au moment d’accepter d’être tracé par ces cookies.

“Refuser les traceurs doit être aussi aisé que de les accepter”, précise l’autorité administrative, faisant référence au bandeau qui s’affiche lors de la visite d’un site internet.

De nombreux sites jouent sur différents leviers pour inciter les internautes à accepter les cookies plutôt que de les refuser. Par exemple en proposant un bouton simple pour “tout accepter”, mais en imposant de se rendre sur une autre fenêtre pour définir un autre choix.

Tout site ne proposant pas un bouton de refus aussi accessible - en un clic - que le bouton de consentement sera donc hors la loi. L’affichage d’un bouton “tout refuser” aux côtés du bouton “tout accepter” est ainsi préconisé. Notons qu'en vertu d'une décision du Conseil d'Etat de juin 2020, les éditeurs sont libres de bloquer l'accès à leur site (ou le rendre payant) en cas de refus.

Information claire et synthétique

L’autre principale règle, qui concerne toujours le consentement, est relative à l’information. Tout site Web doit désormais clairement indiquer la nature et l’objectif des cookies auquel il soumettra les internautes. L’identité des acteurs recueillant des informations personnelles doit aussi être mentionnée.

La première règle est que, avant que l’internaute accepte les cookies, le site doit l’informer, de façon claire et synthétique, de ce à quoi ils vont servir: publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux”, résume ainsi la CNIL.

Le partage d’information avec les réseaux sociaux fait notamment référence aux cookies tiers, des cookies déposés par un site partenaire, comme par exemple Facebook.

Ainsi, un client annonceur de Facebook (ou Google) commercialisant des chaussures déposera un cookie appartenant à Facebook pour identifier les internautes ayant consulté l’un de ses produits, afin d’afficher une publicité pour ce dernier ou un produit analogue directement sur le réseau social par la suite.

Quelques exceptions

Enfin, la CNIL est revenue sur l’évolution d’une règle selon laquelle le simple fait que l’internaute décide de naviguer sur un site Web valait consentement en matière de cookies. Désormais, cette présomption est caduque: le consentement devra toujours passer par l’acceptation effective par un clic sur un bouton dédié.

L’autorité administrative propose toutefois quelques exceptions à ce consentement, concernant des cookies uniquement destinés à améliorer le confort de l’internaute. Elles concernent par exemple les cookies destinés à conserver un article en panier pour un site marchand, ceux qui permettent de rester authentifié - évitant de devoir se reconnecter à son compte à chaque visite, ou encore les cookies liés aux statistiques de fréquentation.