RGPD+et+site+internet+ 3A++Les+cookies

RGPD et site internet :
Les cookies
RGPD et site internet : les cookies ? Support reservé à l’usage exclusif de Solutions 909 21/05/2020
De quoi va-t-on parler ?
1. Quand et comment informer le visiteur ?
2. Focus sur le consentement
3. Comment déposer les cookies ?
4. Le droit de retirer son consentement
5. Exemple : « A ne surtout pas faire »
6. Exemple : « Le bon élève»

La théorie
Quand et comment informer le visiteur ?
 Toute personne qui navigue sur votre site doit savoir

 Si et quelles informations personnelles sont collectées
 Comment les données sont collectées
 Pourquoi elles sont collectées (à quelles fins)
 Combien de temps les données sont conservées
 D’où proviennent les données
 A qui les données sont destinées
 Les cookies et autres traceurs

 N’échappent pas au droit d’information
 Quand informer le visiteur

 Le visiteur doit être informé au moment de la collecte des données
 Dès le chargement de votre site (que ce soit la page d’accueil ou tout autre
page)
 Comment informer le visiteur

 Un simple bandeau d’information suffit pour informer la personne de votre
intention de déposer des cookies
 Ce bandeau doit contenir 3 liens (ou boutons) :
• « Accepter »
• « Refuser »
• « Paramètres »
 Où ?
• En haut ou en bas de la page chargée.
• Il s’agira plus de ne pas altérer l’expérience utilisateur.
 Comment informer le visiteur

 Un simple bandeau d’information suffit pour informer la personne de
votre intention de déposer des cookies
 Ce bandeau doit contenir 3 liens (ou boutons) :

• « Accepter »
• « Refuser »
• « Paramètres »
 Un lien vers une section dédiée sur votre politique de gestion des cookies
• Celle-ci est bien plus détaillée sur les cookies et leurs finalités
Focus sur le consentement
 Le consentement est l’une des 6 bases légales
 La validité du consentement repose sur la caractère explicite du

consentement
 Le consentement ne peut pas être implicite ou supposé
 Le consentement doit donc être:

 Libre
 Eclairé
 Univoque
 Spécifique
Focus sur le consentement
LIBRE ÉCLAIRÉ
 Sans déséquilibre entre les parties  Collecté dans un formulaire à part

 Ne conditionne pas l’accès au service  Dans des termes clairs et
sans préjudice pour la personne compréhensibles
concernée
 Avec des mentions d’informations
 Retrait possible à tout moment spécifiques au consentement à
préciser
UNIVOQUE SPÉCIFIQUE
 Acte positif de la personne concernée  Consentement donné pour une ou

(opt-in) plusieurs finalités spécifiques
Comment déposer les cookies ?
 Pour déposer les cookies

 Vous devez recueillir le consentement de la personne
 Ce consentement ne doit pas être implicite ou supposé
 L’opt-out est interdit. On parle alors d’Opt-in
 Concrètement:
 Aucun cookie ne doit être déposé avant l’acceptation de la personne
 Sauf pour les cookies dits « techniques », qui ne collectent pas de
données personnelles
 Il est interdit de bloquer la navigation tant que la personne n’a pas
accepté les cookies (le fameux « cookie wall »)
 La poursuite de la navigation ne suppose en aucun cas le consentement au
dépôt de cookies
 Vous ne devez pas inciter la personne à Accepter

 Les boutons « Accepter » et « Refuser » doivent être parfaitement identiques
(taille, couleur, forme, positionnement, …)
 Idem pour les boutons « tout accepter » et « tout refuser »
 Ces boutons doivent être à coté l’un de l’autre, et très facile à trouver
 Pour tracer le consentement

 Vous déposez un cookie technique qui contient « vrai » ou « faux »
 Durée d’un cookie

 Limitée à durée de la session, ou pour plusieurs jours, semaines, mois
 Durée limitée à 13 mois
 La personne doit pouvoir installer les cookies qu’elle souhaite

 En cliquant sur le bouton « paramètres »
 Pour des raisons de simplicité, vous pouvez organiser les cookies par type :
• Nécessaire
• Non nécessaire
 Parmi les nécessaires

• Les techniques
• Le consentement
 Parmi les non-nécessaires

• Les fonctionnels
• Par finalité : marketing, mesures d’audience, réseaux sociaux, partenaires…
 A vérifier
 Qu’aucun cookie n’est déposé lors du chargement du site
 Qu’à l’acceptation, seuls les cookies acceptés sont bien déposés
 Qu’au refus, aucun cookie n’est déposé
 Attention !
 Il vaut mieux ne pas déposer de cookies (même temporairement) si pour des
raisons techniques, vous n’arrivez pas à ne pas installer les cookies (not. avec les
extensions WordPress)
 Dans ce cas, vous êtes en risques, et ne respectez ni le RGPD ni le droit des
personnes
 L’amende arrivera avec 100% de probabilité, si une plainte est déposée
Le droit de retirer son consentement
 Le RGPD consacre un nouveau droit

 Le droit de retirer son consentement
 La personne doit pouvoir retirer son consentement à tout moment, de manière
simple, et sans exclusion du bénéfice à naviguer sur le site
 Une fois retiré

 Vous ne pouvez plus traiter les données, donc vous effacez les cookies déposés
 Vous devez en avertir tous les sous-traitants
 Le retrait du consentement doit être tracé tout comme l’acception
La politique de gestion des cookies
 Page dédiée ou section dans les mentions d’information RGPD
 On rappelle la définition d’un cookie
 On décrit de manière précise à quoi servent les cookies lorsqu’ils sont acceptés
 On liste l’exhaustivité des cookies déposés, leurs finalités et leurs durées
 On informe du droit à retirer son consentement à tout moment
 On indique la manière de procéder pour retirer les cookies
• Pour les navigateurs les plus connus : Chrome, Firefox, Edge, …

• On renvoie au pire vers la page de suppression des cookies des éditeurs des navigateurs
Passons à la pratique
« A ne surtout pas faire »
 Exemple de bandeau non conforme
 Explications:
 Les cookies sont déposés sans consentement explicite
 La poursuite de la navigation ne vaut pas consentement explicite
 Absence du bouton « Refuser »
 La suite n’est pas mieux : le paramétrage
 Tous les cookies sont acceptés par défaut (Pas bien !)
 Le coup de grâce !
 On vérifie les cookies déposés
 Il s’agit bien de ceux qui ont été acceptés (enfin sans notre
consentement)
 Je refuse tous les cookies
 Rien n’a changé !
 Conclusion:
 Site nullement conforme ! Il ne respecte pas le droit des personnes !
 Pire, il vous fait croire que vous avez refusé les cookies, et les laisse
 Même si c’est un problème purement technique, l’éditeur du site ne doit pas
continuer cette pratique
 Si plainte ou contrôle, l’amende (4% du CA ou 20M€) sera proportionnelle aux
manquements et surtout aux gains retirés par cette pratique totalement illicite
« Le bon élève »
 Exemple de bandeau conforme
 Explications:
 Aucun cookie déposé sans consentement explicite, sauf cookies techniques
 Le bouton « Refuser » est présent
 Les boutons « Accepter » et « Refuser » sont parfaitement identiques
 « En savoir plus » renvoie vers la politique de gestion des cookies
 Paramétrage conforme
 Les cookies non nécessaires sont désactivés par défaut
 Toujours conforme
 Lors du chargement
 Après Acceptation
 Après Refus
 Toujours conforme et transparent

 Pour des raisons purement techniques liés à WordPress
• Impossible de désinstaller les cookies après Refus
• Décision : N’installer aucun cookie non nécessaire
 Solutions 909 préfère ne pas bénéficier de l’avantage à déposer les cookies, plutôt
que de ne pas respecter le droit des personnes et ne pas être conforme au RGPD
Un site conforme
 Un site est conforme

 S’il est en HTTPS
• Un certificat doit être valide et émis par une autorité
• Let’s Encrypt en délivre gratuitement
• Votre hébergeur doit pouvoir vous proposer la mise en place d’un certificat
 S’il respecte le RGPD sur les cookies
 S’il informe les personnes de leurs droits
 S’il est hébergé sur le territoire de l’UE ou si le transfert hors UE est

encadré
En cas de non conformité
 Vous éditez vous-même votre site :

 Vous risquez le contrôle, la plainte et l’amende !
 Vos utilisateurs n’ont pas confiance en vous pour l’utilisation de leurs données
 Vous êtes grandement exposé au risque d’image
 Vous passez par un sous-traitant (Shopify, Prestation shop, agence web…)

 Vous êtes en risque au même titre que si vous éditiez vous-même votre site
 Votre sous-traitant est également soumis aux mêmes risques que vous
 Vous pouvez exiger de vous livrer un site conforme au risque de dénoncer le
contrat, sans préavis ni pénalités
 Vérifier vos contrats avant signature !
 Une question ? Un commentaire ? De l’aide ?
 Ecrivez-moi : dpo@solutions909.fr
RGPD | Protection des Données Personnelles

Audit | Mise en conformité | DPO Externe | Formations
Solution Web de Pilotage de la Conformité

RGPD+et+site+internet+ 3A++Les+cookies

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

RGPD+et+site+internet+ 3A++Les+cookies

Transféré par

Droits d'auteur :

Formats disponibles

RGPD et site internet :

1. Quand et comment informer le visiteur ?

2. Focus sur le consentement

3. Comment déposer les cookies ?

4. Le droit de retirer son consentement

5. Exemple : « A ne surtout pas faire »

6. Exemple : « Le bon élève»

 Toute personne qui navigue sur votre site doit savoir

 Les cookies et autres traceurs

 Quand informer le visiteur

 Comment informer le visiteur

 Comment informer le visiteur

 Ce bandeau doit contenir 3 liens (ou boutons) :

 Le consentement est l’une des 6 bases légales

 La validité du consentement repose sur la caractère explicite du

 Le consentement ne peut pas être implicite ou supposé

 Le consentement doit donc être:

 Sans déséquilibre entre les parties  Collecté dans un formulaire à part

 Acte positif de la personne concernée  Consentement donné pour une ou

 Pour déposer les cookies

 Vous ne devez pas inciter la personne à Accepter

 Pour tracer le consentement

 Durée d’un cookie

 La personne doit pouvoir installer les cookies qu’elle souhaite

 Parmi les nécessaires

 Parmi les non-nécessaires

 Le RGPD consacre un nouveau droit

 Une fois retiré

 Page dédiée ou section dans les mentions d’information RGPD

 On rappelle la définition d’un cookie

 On liste l’exhaustivité des cookies déposés, leurs finalités et leurs durées

 On informe du droit à retirer son consentement à tout moment

 On indique la manière de procéder pour retirer les cookies

• Pour les navigateurs les plus connus : Chrome, Firefox, Edge, …

 Exemple de bandeau non conforme

 La suite n’est pas mieux : le paramétrage

 Tous les cookies sont acceptés par défaut (Pas bien !)

 Je refuse tous les cookies

 Rien n’a changé !

 Site nullement conforme ! Il ne respecte pas le droit des personnes !

 Même si c’est un problème purement technique, l’éditeur du site ne doit pas

continuer cette pratique

 Si plainte ou contrôle, l’amende (4% du CA ou 20M€) sera proportionnelle aux

 Exemple de bandeau conforme

 Les cookies non nécessaires sont désactivés par défaut

 Toujours conforme et transparent

 Un site est conforme

 S’il respecte le RGPD sur les cookies

 S’il informe les personnes de leurs droits

 S’il est hébergé sur le territoire de l’UE ou si le transfert hors UE est

 Vous éditez vous-même votre site :

 Vous passez par un sous-traitant (Shopify, Prestation shop, agence web…)

RGPD | Protection des Données Personnelles

Vous aimerez peut-être aussi