QRee
Memorandum Cookies

Introduction

Si les différentes lois, réglementations et recommandations de la CNIL ou du Comité Européen de la Protection des Données (ancien G29) se sont accrues ces dernières années, en revanche, l'ensemble normatif relatif aux cookies a eu tendance à s'y diluer (ci-après la « Réglementation sur les Données Personnelles »)1. Néanmoins, la CNIL a publié, le 1er octobre 2020, des lignes directrices venant donner une interprétation plus pratique de cette Réglementation sur les Données Personnelles ainsi qu'un projet de recommandation « cookies et autres traceurs » concernant des modalités pratiques de recueil du consentement de l'internaute.

Le présent mémorandum a pour objet de rappeler les règles applicables aux traitements de données personnelles collectées par voie de cookies et ce, afin de permettre au lecteur de lister les points d'attention en vue de se mettre en conformité.

- Google Analitics

  • Nom du cookie
    • _ga
  • Finalité du cookie
    • Cet outils permet d'analyser le comportement des internautes qui visitent le site QRee afin d'améliorer l'expérience utilisateur
  • Support
    • Desktop
    • Mobile
  • Editeur du cookie
    • Google
  • Lien vers la Politique de confidential ité de l'éditeur
  • Durée de vie du cookie ou du consentement
    • 1 an
  • Données brutes collectées par le cookie
    • Nombre d'utilisateurs
    • Statistiques de la session
    • Géolocalisation approximative
    • Informations sur le navigateur et l'appareil
  • Lieu de stockage des données brutes collectées
    • États-Unis
  • Durée de conservation des données brutes collectées par le cookie
    • 26 mois

1. Qu'est-ce qu'un cookie au sens de la Réglementation sur les Données Personnelles ?

Un cookie est une information déposée sur le terminal (mobile ou non) d'un internaute par un serveur distant.

Le cookie peut être celui de l'éditeur du site Internet qu'il visite ou un cookie d'un éditeur tiers. (cf. ci-après)

Le cookie contient ou non de nombreuses informations (identifiant, éditeur, historique de navigation, date d'expiration, etc.).

Toutefois, la notion de cookies doit s'entendre de façon particulièrement extensive et concerne donc : les cookies http, les local shared objects appelés parfois les cookies « flash », les local storage mis en œuvre au sein du code HTML5, les pixels invisibles ou web bugs, les identifications par calcul d'empreinte du terminal (IDFA) ou encore les cookies les identifiants matériels (adresse MAC, numéro de série...).

Dans le même sens, la Réglementation sur les Données Personnelles spécifique aux cookies s'applique à tout équipement terminal connecté à un réseau de télécommunication (ordinateur, tablette, smartphone, console, TV connectée, véhicule connecté, assistant vocal, etc.)

2. Qui est l'éditeur du cookie ?

Il convient de distinguer d'une part, les cookies de l'exploitant du support et d'autre part, des cookies de tiers.

Un cookie tiers est un cookie placé par un serveur distinct de l'exploitant du support. En pratique, le placement d'un cookie de tiers sur le terminal de l'internaute rentre dans le cadre de l'exécution d'un contrat de prestation de service conclu entre votre société et cet éditeur tiers.

3. Quelle doit être la durée de vie d'un cookie ?

Le consentement lié à un cookie ne devrait pas avoir une durée de vie supérieure à six (6) mois, sauf exception documentée.

Les cookies exemptés du recueil de consentement (voir ci-après), ne devraient pas avoir une durée de vie supérieure à treize (13) mois (sans prorogation automatique lors de nouvelles visites) et les informations collectées par l'intermédiaire de ces cookies exemptés du recueil de consentement sont conservées pour une durée maximale de vingt-cinq (25) mois

Le cookie ne devrait pas avoir une durée de vie supérieure à celle de son consentement.

Chaque nouvelle visite de l'internaute concerné ne saurait prolonger la durée de vie de son consentement.

La CNIL estime par ailleurs que le refus de consentir au dépôt de cookie devrait être conservé autant de temps que le consentement au dépôt de celui-ci.

4. Le recueil indispensable du consentement de l'internaute concerné

De manière générale, le dépôt d'un cookie nécessite toujours l'obtention du consentement préalable de l'internaute.

Le fait de subordonner la fourniture d'un service ou l'accès à un site Internet à l'acceptation d'un cookie (pratique dite de « cookie wall ») est quasiment interdit et ne peut être engagé que dans certaines conditions particulièrement restrictives.

Néanmoins cette exigence de consentement ne s'applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

Dès lors, peuvent être considérés comme exemptés du recueil du consentement préalable de l'internaute :

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l'authentification auprès d'un service, y compris ceux visant à assurer la sécurité du mécanisme d'authentification, par exemple en limitant les tentatives d'accès robotisées ou inattendues ; les traceurs destinés à l'authentification auprès d'un service, y compris ceux visant à assurer la sécurité du mécanisme d'authentification, par exemple en limitant les tentatives d'accès robotisées ou inattendues ;
  • les traceurs destinés à garder en mémoire le contenu d'un panier d'achats sur un site marchand ou à facturer à l'utilisateur le ou les produits et/ou services achetés ;
  • les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d'un service), lorsqu'une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l'accès gratuit à un échantillon de contenu demandé par les utilisateurs [quantité prédéfinie et/ou sur une période limitée] ; les cookies permettant la mesure d'audience, dans les conditions définies ci-après.

Si le cookie poursuit une finalité en plus de celles exposées ci-dessus, le dépôt de celui-ci ne pourra être exempt du consentement de l'internaute.

De même, certaines solutions de cookies d'analyse de mesure d'audience ne requièrent pas non plus de consentement à condition de n'avoir pour finalité que la seule mesure de l'audience sur le site ou l'application pour le compte exclusif de l'éditeur. Ces traceurs doivent uniquement servir à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d'autres traitements ni transmises à des tiers, ces différentes opérations n'étant pas non plus nécessaires au fonctionnement du service.

5. Quelle doit être la durée de vie des données collectées par voie de cookies ?

Les données brutes collectées par voie de cookies et les données interprétatives doivent être conservées pendant une durée qui doit être définie, sans pouvoir excéder vingt-cinq (25) mois en ce qui concerne les informations issues de cookies de mesure d'audience.

6. Comment se formalise le recueil du consentement des internautes concernés quant à l'installation et/ou la lecture de cookies sur leur Terminal ?

La Réglementation sur les Données Personnelles exige un consentement préalable de la personne concernée avant que soit inscrit sur son terminal un cookie, lequel se recueille couramment par la voie d'un « Bandeau Cookie » ou d'une « Consent Management Platform (CMP) » qui doit prévoir la possibilité de consentir ou de refuser le dépôt de cookie.

Chacune des finalités des traceurs doit être présentée à l'utilisateur avant que celui-ci se voie offrir la possibilité de consentir ou de ne pas consentir à leur utilisation.

Il est ainsi possible de proposer des boutons d'acceptation et de refus globaux via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser » mis en évidence de la même façon sous réserve qu'il soit également possible d'exercer son consentement sur chacune de ces finalités.

Le refus de répondre à ce bandeau cookie ou cette CMP et/ou la poursuite de la navigation ne doi (ven) t pas être interprété(s) comme une manifestation du consentement.

Vous trouverez, en Annexe II, des modèles de recueil du consentement.

7. Comment se formalise l'information des internautes concernés quant à l'installation et/ou la lecture de cookies sur leur Terminal ?

La Réglementation sur les Données Personnelles exige sur le bandeau cookie/la CMP un lien (« en savoir plus »/« afficher plus d'information »/« personnaliser mes choix ») vers une page dédiée au paramétrage des cookies.

La page en question doit permettre également à l'internaute de s'opposer aux cookies déposés sur son terminal.

Ainsi, chacune des finalités non fonctionnelles, doit être accompagnée d'un opt-out ayant pour objet de désactiver l'ensemble des cookies liés à la finalité concernée et.

Plus encore, cette page est l'occasion pour vous de permettre à l'internaute de s'opposer facilement à certains de vos traitements de données. La liste exhaustive des responsables du ou des traitements concernés par cookie ainsi qu'un lien vers leur politique de confidentialité devrait être mis à la disposition de l'utilisateur au moment du recueil de son consentement et, de manière permanente, à un endroit aisément accessible (votre politique de confidentialité ou une page cookie). Le consentement doit être renouvelé dans l'hypothèse d'une modification majeure de cette liste.

Cet opt-out qui peut sembler insistant est en réalité un moyen permettant de limiter le recueil exprès du consentement dans certains cas spécifiques, notamment en matière de publicité. Par ailleurs, le Conseil d'État a rappelé que celui- ci était obligatoire et que le paramétrage du navigateur proposé aux utilisateurs ne constitue pas un mode valable d'opposition au dépôt de « cookies »2.

La CNIL considère que pour que l'utilisateur soit pleinement conscient de la portée de son consentement, il devrait notamment savoir si ce dernier est valable pour le suivi de sa navigation sur d'autres sites ou applications que ceux depuis lesquels son consentement est recueilli.

Vous trouverez, en Annexe II, des modèles d'information proposés par la CNIL et qui doivent être adaptés à votre situation.

8. Conservez la preuve du consentement

Enfin vous devez pouvoir être en mesure de prouver que vous avez recueilli le consentement du cookie et que le mécanisme de collecte répond bien aux exigences posées ci-dessus.

S'agissant de la preuve de validité du consentement, la CNIL recommande notamment les modalités suivantes, non exclusives :

  • Les différentes versions du code informatique utilisé par l'organisme recueillant le consentement peuvent être mises sous séquestre auprès d'un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;
  • Une capture d'écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l'application ;
  • Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
  • Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l'appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.