Besoin d’un guide pour comprendre le pourquoi du comment utiliser des cookies sur votre site web ?
Vous avez décidé de vous plonger dans la gestion des cookies de votre site web, mais pour vous, c’est chou vert et vert chou..
Nous vous avons préparé un guide pour vous aider à y voir plus clair !
Si votre site est un site d’e-commerce ou le site d’une école, n’hésitez pas à consulter également nos articles spécifiques.
Qu’est-ce qu’un cookie ?
Un cookie est un petit fichier texte qui sera déposé sur le terminal (ordinateur, smartphone, tablette) ou le navigateur utilisé par le visiteur de votre site web. Ce fichier va collecter des informations, différentes selon la raison d’être du cookie.
L’objectif que vous poursuivez avec cette collecte de données déterminera la catégorie du cookies, ainsi que (avec d’autres critères), si vous avez besoin du consentement du visiteur pour pouvoir le déposer ou le lire (si déjà déposé).
De nos jours, sachez qu’il existe également d’autres technologies qui peuvent être utilisées à la place de cookies, mais ces technologies restent soumises à la règle du consentement (ainsi qu’à ses exceptions).
Les catégories de cookies
Selon leur durée de conservation
Cookie de session
Il est stocké dans le navigateur utilisé par votre visiteur pour se balader sur le site. À la fermeture du navigateur, il disparaît.
Cookie persistant
Il est stocké sur l’appareil utilisé pour naviguer sur le site et a une durée de vie définie dans la politique de gestion de cookies.
Selon qui aura accès aux données collectées par le cookie
Cookie propriétaire / “interne” / “de première partie”
Le cookie est déposé par votre domaine (emplacement de votre site en ligne, qui est inscrit dans la barre d’adresse du navigateur).
Cookie tiers
Le cookie est déposé par d’autres domaines que le vôtre via votre site.
Ex : si votre site internet reprend des éléments provenant d’autres sites (plugins, images, bouton de réseaux sociaux, etc.)
Selon leur objectif d’utilisation
Les cookies nécessaires
Pour permettre le fonctionnement du site ou permettre au visiteur du site d’utiliser les fonctionnalités qu’il a demandées.
On parle bien ici de la nécessité du point de vue du visiteur de votre site, pas de votre point de vue de gestionnaire du site.
Ex: sécurisation du site, gestion du consentement des cookies
Les cookies statistiques
Pour mesurer et analyser l’audience du site.
Ex: nombre de visites sur le site, identifier les pages les +/- visitées
Les cookies fonctionnels
Pour permettre une expérience conviviale et personnalisée (améliore la navigation sur le site).
Ex: intégration de contenu provenant d’une plateforme tiers.
Les cookies marketing
Pour présenter au visiteur des publicités ciblées sur ses centres d’intérêt présumés ou tenter de comprendre ses centres d’intérêt.
Pas de catalogue officiel et universel des cookies
Ces différentes catégories ne correspondent pas à des catégories définies par la loi.
Il se peut donc que vous croisiez des terminologies un peu différentes et qu’un même type de cookie soit repris sous une catégorie différente d’un site à l’autre.
Ces catégories sont avant tout là pour aider le visiteur de votre site web à comprendre votre objectif (ou celui du tiers qui passerait via votre vite) lorsque vous souhaitez déposer un cookie sur son ordinateur, son smartphone ou sa tablette.
Mais ce dépôt ne peut se faire que sous certaines conditions, qui sont elles bien définies par la loi, sur base de la directive européenne EPrivacy.
Comment collecter des données via les cookies en toute légalité ?
Votre visiteur doit être informé du fait que votre site va déposer des cookies sur son terminal (pc, smartphone, tablette, etc.) ou navigateur
Vous devrez toujours bien veiller à informer le visiteur de la présence de cookies (que vous ayez besoin de son consentement ou non).
Cela passe généralement par la présence d’une bannière qui fournira un premier niveau d’information, complétée par un renvoi vers votre politique de gestion de cookies (ou un point spécifique dans votre politique de vie privée).
Dans certains cas, votre visiteur doit avoir donné son consentement avant le dépôt / la lecture des cookies.
Les cas où le consentement n’est PAS obligatoire
Il existe deux situations (définies par la directive EPrivacy) où les cookies pourront être déposés et lus sans devoir demander le consentement de votre visiteur :
1°/ Le cookie sert uniquement à permettre ou faciliter la communication électronique.
Cela est le cas si le cookie vise un de ces trois aspects techniques :
- acheminer l’information sur le réseau, notamment en identifiant les terminaux visés par la communication ;
- échanger des éléments de données dans l’ordre prévu, notamment en numérotant les paquets de données ;
- détecter les erreurs de transmission ou les pertes de données.
2°/ Le cookie est strictement nécessaire/essentiel pour fournir le service de communication en ligne demandé par le visiteur du site.
Cela est le cas si les deux conditions suivantes sont remplies :
- Sans le cookie, la fonctionnalité ne fonctionne pas ;
- La fonctionnalité a été explicitement demandée par le visiteur.
Exemples de cookies ne nécessitant pas de consentement :
- les cookies qui retiennent le choix du visiteur concernant le dépôt des autres catégories de cookies
- les cookies retenant le contenu d’un panier d’achat pendant une certaine durée
- les cookies d’authentification à un compte utilisateur
- les cookies de sécurité pour protéger le visiteur contre une connexion malveillante à son compte utilisateur
- les cookies de plug-in permettant le partage de contenu sur les réseaux sociaux, uniquement si ceux-ci visent les visiteurs membres du réseau en question quand ils sont connectés à ce réseau au moment de la navigation.
Éléments supplémentaires pour déterminer si le cookie peut profiter d’une des exemptions.
Tout comme il n’existe pas de catalogue officiel de cookies, il n’existe pas non plus de liste définitive de quel cookie peut se passer du consentement de votre visiteur.
Pourquoi cela ?
Parce que le contexte d’utilisation du cookie (votre utilisation spécifique, la durée de conservation, qui aura accès aux données) est tout aussi important que le cookie en lui-même.
Il existe néanmoins des recommandations sur lesquelles nous pouvons nous baser pour définir des conseils supplémentaires :
- Si un cookie collecte des informations qui pourraient être utilisées pour plusieurs objectifs, chaque objectif doit être évalué pour déterminer s’il nécessite le consentement ou non du visiteur.
- Si la durée de vie du cookie est complètement disproportionnée par rapport à son objectif, il pourrait nécessiter un consentement (alors que sur base des critères de la directive EPrivacy, il serait exempté).
Quand le consentement est obligatoire, ce n’est pas n’importe quel consentement.
En effet, celui-ci doit répondre à quatre critères (définis par le RGPD) pour être valide.
Il devra être :
- Univoque (sans ambiguïté)
- Libre (sans contrainte)
- Spécifique (une utilisation des données, un consentement)
- Eclairé (en ayant informé le visiteur)
Votre visiteur aura toujours le droit de changer d’avis et de retirer son consentement. Retirer son consentement doit d’ailleurs être aussi facile que le donner.
Attention : Mettre en place un système complexe pour décourager votre visiteur de retirer son consentement revient à utiliser des dark patterns et est illégal.
L’enjeu du choix de votre outil de gestion de cookies
Le choix de votre outil de gestion de cookies est important pour pouvoir garantir une information suffisante et un consentement valide.
Évitez les outils qui :
- déposent par défaut tous les cookies et effacent ceux qui ne sont pas sélectionnés par le visiteur après qu’il ait fait son choix ;
- prévoient que les boutons de consentement sont pré-cochés ;
- mettent plus en avant (couleur, taille, localisation) le bouton “consentement à tous les cookies” par rapport à un bouton “refuser les cookies non essentiels”;
- comportent dans le texte de leur bannière une variante du traditionnel “si vous continuez à naviguer sur ce site, nous considérons que vous avez consenti au dépôt de tous les cookies”.
En effet, ces pratiques ne respectent pas les obligations légales imposées par la directive EPrivacy ainsi que le RGPD.
Est-ce que vous pouvez utiliser votre “intérêt légitime” pour justifier le dépôt ou la lecture des données collectées via le cookie ?
La directive EPrivacy est très claire à ce sujet : soit vous avez le consentement de votre visiteur, soit vous êtes dans les conditions pour vous passer de ce consentement. Il n’y a pas d’autres options.
Or, on voit encore régulièrement des bannières qui proposent au visiteur d’accepter ou de refuser le dépôt de cookies de marketing provenant de sociétés tiers “partenaires” et qui, si le visiteur refuse, déposent le cookie sur base de l’intérêt légitime de cette société partenaire.
Cette pratique très discutable est également à éviter, surtout si vous voulez esquiver des problèmes.
Conclusion
Nous espérons que vous y voyez un peu plus clair dans la sélection des cookies à utiliser sur votre site internet et la manière de les intégrer en toute conformité.