Les cookies sont de petits fichiers de données que les sites web placent sur les appareils des utilisateurs lorsqu'ils naviguent et les stockent dans leurs navigateurs web.

Les cookies peuvent permettre aux sites web de se souvenir des utilisateurs individuels et de leurs préférences et paramètres lorsqu'ils reviennent sur le site. Par exemple, un site web peut utiliser des cookies pour se souvenir de votre nom d'utilisateur et de votre mot de passe afin que vous puissiez vous connecter automatiquement la prochaine fois. Les cookies peuvent également permettre aux annonceurs de suivre l'activité en ligne des utilisateurs afin de leur proposer des publicités personnalisées.

Comme les cookies peuvent stocker suffisamment d'informations pour potentiellement identifier un individu, ils relèvent de la définition des données personnelles dans le RGPD et sont donc soumis à la réglementation.

Consentement aux cookies GDPR

Dans le document juridique de 88 pages du règlement GDPR, les cookies ne sont mentionnés qu'une seule fois.

En complément du GDPR, il y a la directive ePrivacy (EPD) — ou la “loi sur les cookies.” Dernièrement modifiée en 2009, elle sera finalement remplacée par le Règlement sur la confidentialité et les communications électroniques, qui contient des dispositions spécifiques sur les cookies.

Pour se conformer aux réglementations régissant les cookies en vertu du GDPR et de l'EPD, les organisations doivent :

  • Recevoir le consentement des utilisateurs avant d'utiliser des cookies non strictement nécessaires
  • Expliquer clairement les données que chaque cookie suit et pourquoi
  • Documenter et stocker le consentement des utilisateurs
  • Permettre aux utilisateurs d'accéder à votre service même s'ils n'autorisent pas l'utilisation de certains cookies
  • Faciliter le retrait du consentement par les utilisateurs

Pour répondre à ces exigences et informer les clients de la manière dont votre organisation collecte et utilise leurs données, les organisations peuvent créer un avis de consentement aux cookies.

Exemple d'avis de consentement aux cookies GDPR

Un avis de consentement aux cookies typique comprend quelques éléments communs. Il couvre généralement :

  • Les types de cookies utilisés
  • Comment vous utilisez chaque type de cookie
  • Si vous partagez les données stockées dans les cookies avec des annonceurs ou d'autres tiers
  • Comment les utilisateurs peuvent gérer les cookies
  • Un lien vers une page où les utilisateurs peuvent en savoir plus

Il est courant de présenter cet avis sous forme de bannière. Cette bannière inclura des boutons permettant aux utilisateurs d'accepter ou de refuser les cookies. Chacune de ces options doit être présentée clairement pour que les utilisateurs puissent refuser les cookies aussi facilement qu'ils peuvent les accepter.

Voici un exemple du site web de l'ICO au Royaume-Uni :

Remarquez que les utilisateurs peuvent cliquer sur le lien vers leur page de cookies, qui détaille plus précisément ce que sont les cookies, comment ils sont utilisés sur le site web et comment les utilisateurs peuvent gérer leurs paramètres de cookies. Voici à quoi ressemble cette page :

FAQs

Le RGPD nécessite-t-il un consentement pour les cookies ?

Oui, le RGPD nécessite un consentement pour les cookies car ils entrent dans la définition des données personnelles.

Comment devenir conforme au RGPD en matière de cookies ?

Pour être conforme au RGPD en matière de cookies, vous devez répondre aux exigences suivantes :

  • Obtenir le consentement des utilisateurs avant d'utiliser des cookies, à l'exception des cookies strictement nécessaires
  • Expliquer clairement les données suivies par chaque cookie et pourquoi
  • Documenter et stocker le consentement des utilisateurs
  • Permettre aux utilisateurs d'accéder à votre service même s'ils n'autorisent pas l'utilisation de certains cookies
  • Faciliter le retrait du consentement pour les utilisateurs

Que sont les cookies selon le RGPD ?

Selon le RGPD, les cookies sont des identifiants en ligne fournis par des dispositifs, des applications, des outils et des protocoles qui peuvent être associés à des personnes physiques. Cela peut laisser des traces pouvant être utilisées pour créer des profils des personnes physiques et identifier celles-ci, en particulier si elles sont combinées avec des identifiants uniques et d'autres informations reçues par les serveurs. D'autres exemples de ces identifiants en ligne selon le RGPD sont les adresses IP et les étiquettes de radiofréquence.