RGPD ou ePrivacy : que vont devenir nos cookies ?

L’article 32-II de la loi Informatique et Libertés de 1978, modifiée en 2011 pour appliquer la directive européenne 2009/136/CE (dite directive E-Privacy) fait référence aujourd’hui en matière de gestion des Cookies.

Cette mise à jour instaure depuis, le bandeau d’information que l’on connait. En effet, cette directive impose de recueillir le consentement de l’utilisateur avant de déposer un traceur sur le terminal.

Qu’est qui change avec le RGPD ?

Le principal changement avec le RGPD vis-à-vis des Cookies est que ces derniers sont dorénavant considérés comme des données personnelles et rentrent pleinement dans la définition de l’article 4 qui considère les identifiants en ligne (ici les Cookies persistants, associés uniquement au terminal) en tant que références directes ou indirectes à la personne physique.

Le document actuel de la commission européenne fait une réelle distinction entre les Cookies « utiles », non intrusifs vis-à-vis de la vie privée, et les Cookies liés à la publicité. Le document explique que les Cookies techniques, ou de mesure d’audience et d’analytics seront tolérés sans besoin de consentement. Ce ne sera pas le cas des Cookies tierce-parties, clairement visés par les nouvelles règles, et dont le fonctionnement devra se faire avec le consentement explicite de l’internaute pour chaque traitement effectué.

Les Cookies sont cités une seule fois dans le RGPD, le règlement se voulant le plus généraliste possible. Néanmoins, ils le sont également dans la proposition d’évolution de la directive ePrivacy, qui doit être mise à jour et devrait être appliquée en association avec le règlement européen (dans un délai de 6 mois à 2 ans au-delà du 25 mai 2018).

Ce que l’on sait pour le moment :

  • Les Cookies vitaux au fonctionnement du site seront toujours tolérés
  • Certains Cookies Analytics seront tolérés s’ils correspondent à l’activité du site et ne nuisent pas à l’internaute
  • Les Cookies publicitaires pourraient être interdits

Une des idées principales de la directive ePrivacy serait de « centraliser le consentement des utilisateurs au moyen des paramètres de confidentialité [du] navigateur ». Article de blog de notre partenaire Haas Avocats.

Armand Heslot, expert à la CNIL déclare également : « Le modèle retenu vise à instaurer l’acceptation (ou le refus) des cookies de manière unique, dès la première connexion à un navigateur. »

Les navigateurs pourraient donc proposer donc un choix de niveaux de confidentialité à l’utilisateur, qui pourra ainsi possiblement refuser tous les cookies non-vitaux au fonctionnement des sites web. Ce serait la fin des bannières d’information sur les cookies, car pour une bonne partie d’entre eux, le consentement libre et avisé voulu par le règlement n’était pas obtenu au travers de la bannière.

Si la gestion des cookies pourra désormais être faite au niveau des navigateurs, il reste plusieurs options aux responsables de sites web :

  • Deux navigations proposées, avec cookies pour les internautes ayant accepté, ou sans cookies pour ceux qui refusent.
  • L’option dure dite « pas de visite sans cookies » bloquerait l’accès au site si les cookies sont refusés.
  • L’approche plus agressive où des pop-ups demandant à l’internaute d’activer les cookies reviendraient régulièrement. Cela risque de peser largement sur la navigation à terme.
  • La gestion des cookies au niveau du site web, en proposant différents niveaux d’acceptation des cookies (acceptation des cookies Analytics, puis cookies publicitaires internes au site et enfin cookies publicitaires tierces). Ceci sans oublier de laisser la possibilité à l’internaute de changer ou de revenir sur ses choix.

 

Quelques exemples intéressants

Le site grand public d’Orange www.orange.fr

 

L’utilisation des cookies et sa finalité sont très explicites. Le bandeau que nous connaissons tous est présent cette fois dans l’entête. Au-delà de la demande de consentement à la politique des Cookies sur le site orange.fr , un lien donne également accès à l’interface de paramétrage.

 

Le site institutionnel d’IBM www.ibm.com

L’information ne peut pas être plus claire. Ici, plus qu’un bandeau, c’est une pop-up qui s’ouvre dès la Home-page. La compréhension est mise en avant au détriment sans doute de l’ergonomie ou de la navigation sur la site.

Là encore, on accède facilement à une interface de paramètrage extrêmement fluide et compréhensible. Il suffit de déplacer un curseur pour comprendre le niveau de confidentialité et les impacts en terme de navigation ou d’expérience sur le site.

 

Le nouveau règlement ePrivacy est encore en cours de discussion au parlement et à la commission européenne. Il est peu probable qu’un compromis soit obtenu pour la date d’application du RGPD, mais cela devrait suivre très vite. Les grandes lignes vis-à-vis des Cookies sont néanmoins déjà tracées. Nous devrions voir disparaître les bandeaux sur les Cookies au profit d’une pré-configuration dans les navigateurs. Il sera intéressant de voir comment le paysage de la publicité en ligne, en partie basée sur les Cookies, va évoluer pour répondre à cette nouvelle législation.

 

 

 

 

 

 Une question ? Un projet ? Contactez-nous ! N° vert : 0 805 960 360 appel gratuit depuis un poste fixe Contactez-nous