Les nouvelles lignes directives de la CNIL sur les cookies

Les cookies d’un site Internet permettent de suivre l’activité d’un utilisateur et de collecter ses données qui ne peut se faire sans son consentement exprès indique la CNIL.

Conformément à son plan d’action annoncé fin juin, la CNIL a publié des lignes directrices relatives aux cookies et autres traceurs.

Mais tout d’abord, qu’est-ce qu’un cookie ?

Un cookie est en réalité un fichier stocké sur le disque dur de l’utilisateur qui permet au serveur web de le reconnaître d’une page web à l’autre. Les cookies sont notamment utilisés par les sites de commerce électronique afin de conserver les préférences de l’utilisateur (par exemple les options qu’il a coché) afin de lui éviter de les ressaisir.

Jusque là, on ne pourrait que se féliciter d’un outil qui vous évite la saisie répétitive fastidieuse d’informations.

“Le problème majeur des cookies relève des informations qu’ils contiennent.

En effet, lorsqu’un utilisateur se connecte à un site personnalisable, celui-ci va lui poser quelques questions afin de dresser son profil, puis stocker ces données dans un cookie. Selon le site, la manière de laquelle l’information est stocké peut s’avérer nuisible à l’utilisateur.

En effet, un site de vente en ligne peut par exemple collecter des informations sur les préférences des utilisateurs par le biais d’un questionnaire, afin de leur proposer ultérieurement des articles pouvant les intéresser.

Par exemple, en sachant si l’utilisateur est un homme ou une femme, un site pourra l’aiguiller directement au rayon approprié pour lui faire économiser du temps (et surtout pour mieux vendre). Si par ailleurs, l’utilisateur a indiqué dans son profil qu’il est amateur de tennis, le site sera en mesure de lui proposer une sélection personnalisée des derniers articles en la matière.

Idéalement, le cookie doit contenir une chaîne aléatoire (identifiant de session) unique et difficilement devinable, valide uniquement pendant un temps donné. Seul le serveur doit pouvoir être en mesure d’associer les préférences de l’utilisateur à cet identifiant. Ainsi, après expiration du cookie l’identifiant de session sera inutile et le cookie ne contiendra aucune information concernant l’utilisateur.

En aucun cas le cookie ne doit contenir directement les informations concernant l’utilisateur et sa durée de vie doit être la plus proche possible de celle correspondant à la session de l’utilisateur.

D’autre part, les données stockées dans un cookie sont envoyées par le serveur, sur la base des données renseignées par l’utilisateur (à l’exception de l’adresse IP et de l’identification du navigateur transmis automatiquement au serveur). Ainsi, le cookie ne peut en aucun cas contenir des informations sur l’utilisateur qu’il n’a pas données ou d’information sur le contenu de l’ordinateur, ou en d’autres termes: le cookie ne peut pas collecter d’informations sur le système de l’utilisateur.

Ainsi, refusez de céder des informations personnelles à un site ne vous inspirant pas confiance car il n’a aucune raison de collecter des informations vous concernant.

Un cookie n’a donc rien de dangereux en soi s’il est bien conçu et si l’utilisateur ne donne pas d’informations personnelles.

Limitations des cookies
Les cookies sont soumis à un certain nombre de contraintes :

Le nombre total des cookies est limité à 300 ; La taille maximale d’un cookie est de 4 ko ; Il ne peut exister au maximum que 20 cookies par domaine.” (Extrait de commentcamarche.net)

Maintenant que vous avez bien saisi comment fonctionne un cookie, revenons au texte de la CNIL.

Ce nouveau texte abroge la recommandation sur les cookies adoptée par la CNIL il y a plus de six ans – en 2013 – et devrait être complété en début d’année 2020 par une recommandation plus opérationnelle, après consultation des professionnels et de la société civile.

La nouvelle délibération rappelle et synthétise les règles existantes et adapte le référentiel juridique aux exigences du RGPD. Ses apports principaux concernent le consentement au dépôt des cookies ou autres traceurs sur le terminal de l’utilisateur.

Désormais la simple poursuite par l’internaute de sa navigation sur un site ne peut plus être regardée comme une expression valide de son consentement au dépôt de cookies.

Cela implique que la pratique du simple bandeau d’information ne sera plus suffisante pour être en conformité.

Lorsque l’internaute souhaite accéder au site, un bandeau imposant d’accepter ou de personnaliser le dépôt des cookies avant de continuer sa navigation apparaît désormais comme la méthode la plus adaptée.

De plus, la CNIL exige que le responsable de traitement soit toujours en mesure de prouver qu’il a bien recueilli le consentement des internautes.

Cette obligation de se préconstituer et de conserver la preuve du consentement permettra à la CNIL de vérifier l’effectivité de ses nouvelles préconisations.

Pour en savoir plus : Délibération de la CNIL n° 2019-093 du 4 juillet 2019

Mis en ligne le 15 nov. 2019
Mise à jour du 30 nov. 2019