Suite aux recommandations publiées par la CNIL fin 2020 concernant les mesures à mettre en œuvre par les éditeurs de sites internet relatif au dépôt des cookies, la CNIL avait donné un délai de 6 mois aux organismes pour s’y conformer, ce délai est désormais clôturé depuis avril dernier.
La conformité des sites internet est l’un des axes de contrôles phares de la CNIL annoncé en début d’année. Dès lors, l’Autorité de Contrôle a entamé une série de mises en demeure d’une vingtaine de sites internet en mai dernier et vient tout récemment d’annoncer de nouvelles mises en demeure pour une quarantaine d’autres organismes. Divers secteurs d’activités sont touchés tels que les sites e-commerce, le tourisme en ligne, le secteur bancaire, les collectivités locales ou les acteurs de l’énergie. Ces organismes ont désormais jusqu’au 6 septembre prochain pour se conformer à la législation relative au dépôt des cookies sous peine de sanction.
Pour rappel, suite aux lignes directrices publiées par la CNIL en juillet 2019, le refus du dépôt des cookies doit être aussi simple que de l’accepter. Lors de sa connexion sur un site, un utilisateur doit se voir offrir la possibilité de refuser le dépôt de tous cookies, en dehors de ceux strictement nécessaires à la navigation, la poursuite de cette dernière ne doit plus être considérée comme un consentement tacite de la part de l’internaute.
Ainsi, la CNIL est venue définir deux catégories de cookies :
- les cookies techniques : cookies strictement nécessaires à la navigation en l’absence desquels le site ne sera pas en mesure de fournir son service (cookies de session, cookies permettant l’identification, cookies permettant de conserver le contenu d’un panier d’achat…). Ces traceurs sont exonérés de consentement.
- Les cookies optionnels : il s’agit de cookies non soumis à consentement car ils ne sont pas strictement nécessaires à l’utilisation d’un service (cookies publicitaires, les cookies de partage de réseaux sociaux, les cookies analysant le trafic du site…).
Le consentement de l’utilisateur devra être recueilli conformément aux conditions définies dans le RGPD en se manifestant par un acte positif clair (cases à cocher). Une information préalable sur la finalité des cookies déposés doit être adressée à l’internaute sous forme de bandeau lors de sa connexion au site, les traceurs pouvant être acceptés ou refusés individuellement selon ses préférences. Une preuve du consentement ou de ses modalités de collecte devra être conservée par les éditeurs, dans le cadre du principe d’accountability du RGPD.
