Cookies : ça y est, la Cnil commence à contrôler les sites français

Par
Le 03 octobre 2014
 0
Les contrôles de la Cnil commencent. La Commission va vérifier que les sites Internet français utilisant des cookies publicitaires ou de mesure d'audience invitent les visiteurs à leur consentement préalable.

« En utilisant ce site, vous acceptez l'utilisation de cookies permettant de vous proposer des contenus et des services adaptés à vos centres d'intérêts. » Le message a fleuri le Web français depuis décembre 2013. Il est la conséquence directe d'une recommandation de la Cnil découlant d'une directive européenne de 2011.

0168000001591228-photo-cnil-logo.jpg

Celle-ci explique que « les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent (pas) être déposés ou lus sur son terminal, tant que la personne n'a pas donné son consentement ».

A partir de ce mois d'octobre, la Commission va procéder à des contrôles. Tout acteur contrevenant à cette obligation s'expose à une amende pouvant atteindre 150 000 euros. Voici un rappel pour être conforme :


Mettre son site Web en conformité


  • Qui est concerné par cette obligation ?

Les responsables de sites, éditeurs d'applications mobiles, régies publicitaires, réseaux sociaux et éditeurs de solutions de mesure d'audience.

  • Quels sont les cookies concernés par la loi ?

Les cookies liés aux opérations publicitaires, comme le traçage comportemental, les cookies des réseaux sociaux générés par les boutons de partage ainsi que certains cookies de mesure d'audience.

  • Quelles sont les obligations légales ?

Informer les internautes de la finalité des cookies, obtenir leur consentement et leur fournir un moyen de les refuser. A noter que la durée de validité de ce consentement est de 13 mois maximum.

  • Quels sont les cookies exemptés ?

Les cookies utilisés pour un panier d'achat de site marchand, l'identification pour la durée d'une session, l'authentification, la lecture de fichiers multimédias, l'équilibrage de charge, l'analyse d'audience (dans certains cas) ou encore la personnalisation de l'interface utilisateur.



Consciente que la mise en conformité avec ces dispositions présente, selon les cas, une certaine complexité, la Cnil consacre désormais une partie de son site Web à ce sujet. Elle explique quelles sont les façons de mesurer l'audience afin d'être exempté du message de consentement préalable. La Commission explique aussi comment recueillir ce consentement pour les outils comme Google Analytics ou Universal Analytics. La Cnil dispose enfin de solutions pour les boutons de partage sociaux ou pour les sites multipliant les cookies.


Préparer un contrôle de la Cnil


Il faut tout d'abord savoir que la décision de procéder à une vérification est prise par le président de la Cnil, sur la proposition du service des contrôles. La décision de prévenir, ou non, le responsable du site Web qui va faire l'objet de cette visite est « prise en opportunité », ce qui signifie qu'elle ne sera pas systématique. La Cnil peut aussi exiger la fourniture de documents en amont de sa visite. Voici le déroulé d'un contrôle :

  • Une mission de contrôle vise prioritairement à obtenir copie du maximum d'informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements informatiques.

  • La délégation de la Cnil peut demander communication de tous documents nécessaires à l'accomplissement de sa mission, quel qu'en soit le support, et en prendre copie.

  • Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.

  • La délégation peut demander copie de : contrats (ex.: contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc.

  • Un procès-verbal de fin de mission est établi à l'issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.


Les arguments contre ce dispositif


Si la Cnil est empêchée de mener son contrôle, la peine encourue est de 1 an d'emprisonnement et 15 000 euros d'amende. Une fois la vérification effectuée, soit aucune observation particulière n'a été faite et un courrier vient clôturer le contrôle - possiblement assorti de conseils. Ou, lorsque des manquements sérieux sont relevés, le dossier est transmis à la formation contentieuse, qui peut prononcer les sanctions.

Le recueillement préalable du consentement de l'internaute sur les cookies ne fait pas l'unanimité. Invité à se prononcer sur ce sujet au salon E-commerce Paris, Olivier Mathiot, co-fondateur et PDG de PriceMinister, a fait part de toutes ses craintes. Pour lui, ce genre de pratique met en péril la personnalisation de l'expérience utilisateur, vue comme créatrice de valeur. Mais aussi, et plus prosaïquement, elle menace les tests A/B.

Un impact jugé « minime »

Le patron de la place de marché explique que sa société ne gère pas tous les aspects de son développement et de son optimisation. Comme d'autres acteurs du e-commerce, son entreprise fait appel à des prestataires dont le métier est, par exemple, de réaliser ces tests A/B. Problème : les cookies employés par ces sociétés ne sont pas ceux de PriceMinister. Qualifiés de tiers, ils entrent sous le coup de la directive européenne.

Olivier Mathiot ajoute qu'à l'heure actuelle, de nombreux sites Web écrivent le cookie en premier, puis affichent le message ensuite. Cela, pour des raisons techniques. PriceMinister, lui, est équipé du bandeau informatif imposé par la Cnil (même si d'autres solutions, plus créatives, peuvent être envisagées, tant qu'elles sont conformes à la loi). Mais de l'aveu de son PDG, l'impact sur le business est minime...



Modifié le 01/06/2018 à 15h36
scroll top