RGPD est le sigle de « Règlement Général sur la Protection des Données » mis en place par le Parlement européen. Ce texte a pour but d'encadrer le traitement des données et leur circulation au sein de l'Union européenne. Il vise à renforcer la protection des informations personnelles en encadrant leur collecte, leur traitement et leur stockage. En France, c'est la CNIL (Commission nationale de l'informatique et des libertés) qui veille à la bonne application du RGPD.

Transformer le RGPD en opportunité [e-book gratuit]

 

Quels sont les 3 objectifs principaux du RGPD ?

 

Le RGPD définit 3 objectifs principaux :

  • Protéger les données à caractère personnel de tous les individus résidant dans l'Union européenne.
  • Encadrer le traitement et les transferts d'informations entre les organisations.
  • Responsabiliser les entreprises, administrations et associations sur la protection des données personnelles.

Ces objectifs sont détaillés au travers de 99 articles de loi. Certains précisent explicitement les conditions et situations particulières de traitement. Une série de textes garantit les droits des personnes concernées par rapport à leurs données (accès, rectification, suppression). Certains de ces textes visent directement les cookies, notamment l'article 5, qui précise que le consentement préalable de l'utilisateur est indispensable pour stocker des informations sur son terminal.

 

Est-ce que le RGPD est obligatoire ?

 

Le RGPD est obligatoire pour toutes les organisations publiques ou privées qui traitent des données personnelles pour leur propre compte ou celui d'un tiers. Il concerne plus précisément :

  • Les entreprises, associations et administrations établies dans un pays de l'UE.
  • Les structures étrangères, mais dont les activités et collectes ciblent des résidents européens.
  • Les sous-traitants qui collectent des données personnelles dans l'UE pour le compte de leurs mandataires ou clients.

Les critères de taille, de statut ou de secteur d'activité n'entrent pas en jeu dès lors que des informations personnelles sont collectées. Ainsi, toute organisation qui utilise des cookies sur son site web ou ses applications peut être concernée par le RGPD.

L'article 5 du RGPD précise également que l'obligation de recueillir le consentement pour les cookies concerne les éditeurs de sites web et d'applications mobiles, les modules de partage sur les réseaux sociaux et les régies de publicité.

Transformer le RGPD en opportunité

Le dossier complet pour comprendre le RGPD en quelques minutes

 

Comment être conforme au RGPD en matière de cookies ?

 

1 - Identifier les cookies indispensables à l'activité

 

Les cookies indispensables au fonctionnement d'un site ou d'une application ne sont pas soumis à l'obligation d'obtenir le consentement de l'utilisateur. Les traceurs exemptés sont, par exemple, ceux qui :

  • Gèrent l'authentification et maintiennent l'identification de l'utilisateur pendant sa navigation.
  • Sécurisent les accès et protègent, par exemple, contre les tentatives d'hameçonnage.
  • Enregistrent le choix de l'internaute en matière de cookies.
  • Gardent en mémoire des informations essentielles, comme le panier d'achat.
  • Personnalisent les interfaces pour améliorer l'expérience d'un service (par exemple, le choix de la langue).
  • Contribuent aux performances de l'application, par exemple, en détectant une navigation depuis un mobile pour adapter l'affichage.
  • Limitent l'accès gratuit aux contenus pour les sites qui fonctionnent avec un système d'abonnement payant.

Certains cookies de mesure de trafic peuvent également être dispensés de l'obligation de consentement, mais sous conditions. Ils ne doivent conduire à aucun recoupement des données avec d'autres traitements ni être transmis à des tiers. Enfin, ces traceurs doivent être limités à un site ou une application sans suivi global des utilisateurs sur le web.

 

2 - Lister les cookies non essentiels, soumis au consentement de l'utilisateur

 

Les cookies non essentiels ont un objectif publicitaire ou visent à améliorer l'expérience utilisateur, mais sans être indispensables au fonctionnement du service. Se trouvent dans cette catégorie les traceurs qui :

  • Gèrent l'affichage de produits ou de contenus personnalisés en fonction, par exemple, des habitudes de navigation.
  • Mesurent l'audience sans garantir l'anonymisation des données.
  • Permettent de partager du contenu sur les réseaux sociaux.
  • Facilitent l'affichage de publicités personnalisées, par exemple, selon la géolocalisation de l'internaute.

En plus d'être soumis au consentement de l'internaute, les finalités et objectifs de ces traceurs doivent être précisément définis. L'internaute doit comprendre facilement quelles sont les données collectées et comment elles sont exploitées.

 

3 - Repérer les cookies tiers et vérifier leur conformité au RGPD

 

Les cookies tiers sont des traceurs déposés par des sociétés autres que l'éditeur d'un site ou d'une application. Il s'agit le plus souvent de partenaires commerciaux ou de solutions et modules de prestataires de services. L'identification de ces traceurs est indispensable, car ils peuvent également être soumis au consentement de l'utilisateur, voire être non conformes au RGPD.

Par exemple, la solution de reCAPTCHA de Google, qui protège les sites contre les robots et les spams a récemment été « épinglée » par la CNIL. Le service, bien qu'utilisé à des fins de sécurité, entraîne la collecte d'informations matérielles et logicielles transmises à Google pour analyse. Il doit donc être soumis au consentement de l'internaute.

La solution la plus simple pour identifier les cookies tiers est de consulter la politique de confidentialité de chaque éditeur dont les outils, interfaces ou services sont intégrés sur un site. Des extensions de navigateur permettent également d'afficher tous les traceurs présents sur une page web.

 

4 - Mettre en place une interface de consentement visible et intuitive

 

Le RGPD stipule que les cookies tiers et non essentiels doivent être acceptés de manière spécifique, libre, univoque et « éclairée ». Une simple poursuite de navigation ou l'acceptation de conditions générales ne sont pas suffisantes.

Pour être conforme au RGPD, la CNIL émet des recommandations sur la mise en place d'interfaces de consentement :

  • Bien mises en évidence (bandeau, bannière).
  • Rédigées en des termes compréhensibles par tous les utilisateurs.
  • Ergonomiques avec des modalités de choix ou de refus au même niveau de visibilité et d'accessibilité.
  • Réversibles, c'est-à-dire que l'utilisateur doit garder la possibilité de retirer son consentement à tout moment.
  • Complètes avec des informations sur la finalité des cookies et l'identité des responsables de traitement.

Pour plus de clarté et de lisibilité, les interfaces de consentement peuvent afficher des explications résumées sur les cookies. Elles doivent, dans ce cas, renvoyer vers une page comportant toutes informations détaillées, comme la politique de confidentialité.

 

5 - Intégrer les cookies dans la politique de gestion des données personnelles

 

Les cookies peuvent enregistrer des données personnelles. Pour être en conformité avec le RGPD, ces informations ne doivent pas être conservées plus que le temps « nécessaire à la finalité pour laquelle elles ont été collectées par l'entreprise ».

Les organisations ont donc la responsabilité de déterminer la durée de conservation et de mettre en place des solutions de destruction. Ces éléments sont le plus souvent définis dans une politique de conservation des données communiquées à la CNIL en cas de contrôle. La commission recommande une durée de vie de 13 mois pour les traceurs et de 25 mois pour les informations collectées.

La politique de gestion des données personnelles ou de confidentialité doit aussi préciser les droits des internautes sur leurs informations, y compris celles collectées par les cookies. Ces droits sont également définis par le RGPD et concernent :

  • Les accès avec la possibilité pour l'internaute d'interroger régulièrement le responsable de traitement sur les données stockées.
  • La rectification des informations par leur propriétaire.
  • L'opposition pour refuser, par exemple, la transmission à des tiers.
  • La limitation du traitement.
  • La portabilité pour que les internautes puissent récupérer leurs données pour leur propre usage.
  • L'effacement, aussi appelé « droit à l'oubli ».

Communauté HubSpot

Pour aller plus loin, téléchargez l'e-book pour transformer le RGPD en opportunité et vérifiez si votre entreprise est en conformité avec les nouvelles normes.

Publication originale le 16 septembre 2022, mise à jour le 16 septembre 2022

Sujet(s):

RGPD