Est-il possible de déposer des cookies sans demander le consentement ?

Est-il possible de déposer des cookies sans demander le consentement ?

Les cookies sont des traceurs utilisés par les éditeurs de sites internet pour différentes finalités : mesure d’audience, authentification, publicité… Certains de ces cookies nécessitent la collecte du consentement du visiteur.

Dans quels cas le consentement est-il obligatoire ?

L’utilisation de cookies donne lieu le plus souvent à la collecte de données personnelles, tels que l’adresse IP ou le numéro d’identification du navigateur (user-agent). Si ces données ne sont pas anonymisées, l’utilisation des cookies constitue un traitement de ces données et dès lors devra respecter la règlementation sur la protection des données personnelles existantes (RGPD et ePrivacy).

L’éditeur devra alors informer l’utilisateur et recueillir son consentement avant tout dépôt ou lecture de cookies sur le site.

Dans quels cas le consentement est-il facultatif ?

L’article 5 des lignes directrices de la CNIL dispose que dans certains cas le recueillement du consentement est facultatif. Cette exemption d’obligation est valable pour les traceurs dont la finalité se rattache aux exceptions prévues à l’article 82 de la loi Informatique et Libertés.

Seront ainsi concernés les traceurs qui conservent le choix de l’utilisateur en matière de consentement, ou encore les traceurs utilisés pour authentifier l’utilisateur et assurer la sécurité de l’authentification. Ce sera aussi le cas pour les traceurs utilisés sur un site marchand, aussi bien ceux pour mémoriser un panier que ceux pour facturer les produits ou services.

Il n’est pas non plus nécessaire de recueillir le consentement de l’utilisateur pour déposer des traceurs permettant de personnaliser l’interface de l’utilisateur, comme le choix de la langue.

Cette exemption d’obligation vaudra également pour “les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication”. Pour les sites proposant des services payants, les traceurs utilisés pour limiter l’accès à certaines parties du site sont aussi exemptés de consentement.

Est-il nécessaire d’informer l’utilisateur si on ne recueille pas le consentement ?

Bien que cela ne constitue pas une obligation, la CNIL recommande d’informer l’utilisateur sur l’existence d'opérations de lecture et d’écriture et leur finalité.

Existe-t-il un régime particulier pour les cookies de mesure d’audience ?

L’exception prévue par la CNIL concerne également les traceurs de mesure d’audience. Ces solutions sont des outils indispensables au bon fonctionnement d’un site, en permettant de comprendre comment le visiteur accède au site et en analysant son parcours.  

Les cookies de mesure d'audience ne nécessitent eux aussi pas de recueillement du consentement de l’utilisateur, à condition de respecter certaines règles.  

Le cookie ne doit ainsi servir qu’à mesurer l’audience du site. Les données collectées par la solution de mesure d’audience devront également être exploitées par l’éditeur du site uniquement. Un partage des données avec un autre prestataire pour d’autres finalités exclut de fait l’exemption de collecte de consentement.

Les cookies déposés ne doivent pas non plus permettre le suivi global de la navigation d’un visiteur sur plusieurs sites, et ne produire que des données statistiques anonymes. C’est notamment pour cela que Google Analytics, solution de mesure d’audience la plus utilisée dans le monde, nécessite le consentement de l’utilisateur.

La CNIL recommande de limiter à treize mois la durée de vie de ce type de traceur. Cette durée ne doit pas être reportée automatiquement à chaque nouvelle visite, et doit être vérifiée régulièrement.

Quelles sont les solutions de mesure d’audience qui ne nécessitent pas le consentement de l’utilisateur ?

La solution Matomo peut dans certains cas ne pas nécessiter le recueil du consentement. Elle n’est cependant pas conforme par défaut au RGPD, puisque les données collectées ne sont pas anonymisées. Son utilisation complexe peut également poser problème.

Pour répondre à la problématique de la collecte du consentement, la société Astra Porta a développée la solution de mesure d'audience Abla Analytics. En mettant en place cette solution, vous bénéficiez du régime de l’exemption de collecte de consentement.

Cette solution s’opère dans le respect de la vie privée des personnes : à la différence d’autres solutions, Abla Analytics effectue automatiquement une anonymisation des données, ne suit pas la navigation de l’utilisateur, et ne réalise aucun profilage.

Abla Analytics - Mesure d’audience conforme RGPD CNIL - Alternative à Google Analytics