RGPD et cookies : un guide complet de la conformité
Le Règlement général sur la protection des données (RGPD) a transformé la manière dont les sites web gèrent les cookies dès son entrée en vigueur le 25 mai 2018. Bien que la directive ePrivacy soit la principale loi européenne encadrant les cookies, le RGPD s'applique dès lors que les cookies traitent des données personnelles — ce qui, dans la pratique, revient à dire presque toujours. Comprendre comment le RGPD s'applique aux cookies est essentiel pour tout site web opérant dans l'Espace économique européen ou ciblant des utilisateurs qui s'y trouvent.
Comment le RGPD s'applique aux cookies
Le RGPD ne mentionne pas les cookies de manière explicite. Il encadre plutôt le traitement des données personnelles, définies à l'article 4(1) comme toute information se rapportant à une personne physique identifiée ou identifiable. Le considérant 30 du RGPD précise expressément que les identifiants en ligne — y compris les identifiants de cookies — peuvent servir à établir des profils de personnes physiques et à les identifier. Cela signifie que tout cookie contenant ou associé à un identifiant unique constitue une donnée personnelle au sens du RGPD.
Dans la pratique, cela couvre la quasi-totalité des cookies, à l'exception des plus élémentaires d'entre eux, les cookies fonctionnels. Les cookies analytiques qui attribuent un identifiant de visiteur unique, les cookies publicitaires qui suivent le comportement de navigation, et même les cookies de session liés à un compte utilisateur traitent tous des données personnelles et relèvent donc des exigences du RGPD.
Article 6 : la base légale du traitement
En vertu de l'article 6 du RGPD, tout traitement de données personnelles requiert une base légale. Pour les traitements liés aux cookies, deux bases sont le plus souvent invoquées :
- Le consentement (article 6(1)(a)) : la personne concernée a consenti au traitement pour une ou plusieurs finalités spécifiques. Il s'agit de la principale base légale pour la plupart des traitements de cookies, en particulier pour les cookies analytiques, marketing et publicitaires.
- L'intérêt légitime (article 6(1)(f)) : le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement, à condition que ces intérêts ne prévalent pas sur les droits et libertés de la personne concernée.
La base de l'intérêt légitime a fait l'objet de débats importants dans le contexte des cookies. Certains exploitants de sites web ont soutenu que le suivi analytique relevait d'un intérêt légitime. Toutefois, plusieurs autorités de protection des données ont rejeté cet argument pour les cookies qui ne sont pas strictement nécessaires. La CNIL française, la DSB autrichienne et le Comité européen de la protection des données (CEPD) ont tous adopté la position selon laquelle le consentement est requis pour les cookies analytiques, et que l'intérêt légitime ne peut servir de base légale au dépôt de cookies non essentiels sur l'appareil d'un utilisateur.
Les lignes directrices 05/2020 du CEPD sur le consentement l'affirment sans équivoque : « Le défilement ou la poursuite de la navigation sur un site web ne constitue pas un consentement valide. » L'ère du consentement implicite pour les cookies est révolue.
Article 7 : les conditions d'un consentement valide
L'article 7 énonce les conditions auxquelles le consentement doit répondre. Pour qu'un consentement aux cookies soit valide au regard du RGPD, il doit être :
- Libre : l'utilisateur doit disposer d'un véritable choix. Le consentement n'est pas libre si l'utilisateur ne peut refuser ou retirer son consentement sans en subir de préjudice. Les murs de cookies (« cookie walls ») qui bloquent l'accès à un site à moins que tous les cookies ne soient acceptés ont été jugés non conformes par plusieurs autorités, même si le cadre juridique varie selon les pays.
- Spécifique : le consentement doit être donné pour chaque finalité distincte. Un simple « Tout accepter » sans possibilité de consentir à des catégories spécifiques ne satisfait pas à cette exigence.
- Éclairé : l'utilisateur doit être clairement informé de ce à quoi il consent. Cela implique d'identifier les cookies, leurs finalités, les données collectées et les éventuels tiers concernés.
- Univoque : le consentement doit résulter d'un acte positif clair. Les cases pré-cochées, le silence ou l'inaction ne constituent pas un consentement valide.
L'article 7(3) ajoute une exigence essentielle : retirer son consentement doit être aussi simple que de le donner. Si un utilisateur peut accepter les cookies d'un simple clic, il doit pouvoir retirer ce consentement avec la même facilité. Une bannière de cookies qui met en avant le bouton « Accepter » mais dissimule l'option de refus dans une page de paramètres accessible après plusieurs clics n'est pas conforme.
Article 4(11) : la définition du consentement
L'article 4(11) définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Cette définition est renforcée par le considérant 32, qui précise :
« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. »
L'arrêt de principe Planet49 rendu par la Cour de justice de l'Union européenne (CJUE) en octobre 2019 (affaire C-673/17) a confirmé cette interprétation, en jugeant que les cases pré-cochées ne constituent pas un consentement valide pour les cookies.
Obligations de transparence : articles 12 à 14
Les articles 12 à 14 imposent aux responsables du traitement de fournir des informations sur le traitement des données sous une forme concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Pour les cookies, cela signifie :
- Votre politique en matière de cookies doit être rédigée dans un langage compréhensible par les utilisateurs ordinaires — et non dans un jargon juridique.
- Les informations doivent être fournies au moment de la collecte des données (c'est-à-dire avant le dépôt des cookies).
- Les utilisateurs doivent être informés de l'identité du responsable du traitement, des finalités du traitement, des catégories de données, des éventuels destinataires, des durées de conservation et de leurs droits.
- Si les cookies sont partagés avec des tiers (comme Google Analytics, Facebook Pixel ou des réseaux publicitaires), ces tiers doivent être identifiés.
Article 17 : le droit à l'effacement
L'article 17 confère aux personnes concernées le droit d'obtenir l'effacement de leurs données personnelles. Dans le contexte des cookies, cela signifie que si un utilisateur demande la suppression de ses données, toute donnée personnelle collectée par le biais de cookies doit être effacée. Cela inclut les profils analytiques, les identifiants publicitaires et toute autre donnée liée à des identifiants de cookies.
Pour les exploitants de sites web recourant à des services d'analyse ou de publicité tiers, cela peut s'avérer particulièrement complexe, car les données peuvent être détenues par le tiers. Vos contrats de traitement des données conclus avec les fournisseurs de cookies tiers doivent prévoir des dispositions relatives au traitement des demandes d'effacement.
RGPD ou ePrivacy : lequel s'applique et quand ?
L'articulation entre le RGPD et la directive ePrivacy peut prêter à confusion. Voici comment ils interagissent :
- La directive ePrivacy (article 5(3)) encadre l'acte de stocker ou d'accéder à des informations sur l'appareil d'un utilisateur. Elle exige le consentement pour tous les cookies, à l'exception de ceux qui sont strictement nécessaires. Elle constitue la lex specialis (loi spécifique) en matière de cookies.
- Le RGPD encadre le traitement ultérieur de toute donnée personnelle collectée par le biais des cookies. Il fournit le cadre définissant ce qui constitue un consentement valide, les droits des personnes concernées et les obligations des responsables du traitement.
Concrètement : la directive ePrivacy vous indique que vous avez besoin du consentement pour déposer un cookie. Le RGPD vous précise à quoi ressemble un consentement valide, ce que vous pouvez faire des données et quels droits les utilisateurs détiennent à leur égard. Les deux s'appliquent simultanément.
Autorités de protection des données et mise en application
Chaque État membre de l'UE dispose d'une autorité de protection des données (APD) chargée de faire appliquer à la fois le RGPD et les transpositions nationales de la directive ePrivacy. Ces autorités ont le pouvoir d'enquêter sur les plaintes, de mener des audits et d'infliger des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu.
La mise en application relative aux cookies s'est considérablement accélérée depuis 2020. Les APD à travers l'Europe sont passées des recommandations et avertissements à des amendes substantielles, faisant de la conformité en matière de cookies un véritable risque commercial plutôt qu'une préoccupation théorique.
Principales amendes RGPD liées aux cookies
Les actions de mise en application suivantes illustrent les conséquences financières bien réelles d'une non-conformité en matière de cookies :
| Entreprise | Amende | Autorité | Année | Problème principal |
|---|---|---|---|---|
| Amazon Europe | 746 millions € | CNPD (Luxembourg) | 2021 | Mécanismes de suivi publicitaire et de consentement non conformes |
| Google LLC | 150 millions € | CNIL (France) | 2022 | Refuser les cookies n'était pas aussi simple que de les accepter |
| Facebook (Meta) | 60 millions € | CNIL (France) | 2022 | Absence de mécanisme simple pour refuser les cookies |
| Microsoft (Bing) | 60 millions € | CNIL (France) | 2022 | Cookies déposés sans consentement, absence de mécanisme de refus simple |
| TikTok | 5 millions € | CNIL (France) | 2023 | Refuser les cookies exigeait plus de clics que de les accepter |
| Criteo | 40 millions € | CNIL (France) | 2023 | Absence de recueil d'un consentement valide pour les cookies de suivi |
| Vueling Airlines | 30 000 € | AEPD (Espagne) | 2020 | Aucune option pour refuser les cookies, uniquement « accepter » |
Ces amendes ne se limitent pas aux grandes entreprises. Les petites et moyennes entreprises ont également fait l'objet d'actions de mise en application, en particulier en France, en Italie et en Allemagne. La CNIL à elle seule a émis plus de 100 mises en demeure à l'encontre de sites web de toutes tailles concernant la conformité en matière de cookies en 2021.
Liste de contrôle pratique pour la conformité RGPD des cookies
Utilisez cette liste de contrôle pour vérifier que votre site web respecte les exigences du RGPD en matière de cookies :
- Identifiez tous les cookies que votre site web dépose, y compris ceux placés par des scripts tiers tels que les outils d'analyse, de publicité et les widgets de réseaux sociaux.
- Classez chaque cookie comme strictement nécessaire, fonctionnel, analytique ou marketing/publicitaire.
- Mettez en place un consentement préalable pour tous les cookies non essentiels. Aucun cookie analytique ou marketing ne doit se déclencher avant que l'utilisateur n'ait donné son consentement.
- Présentez les choix de consentement de façon équitable. L'option de refus des cookies doit être aussi visible et accessible que l'option d'acceptation.
- Proposez un consentement granulaire. Les utilisateurs doivent pouvoir consentir à des catégories spécifiques de cookies plutôt que d'être contraints à un choix binaire du type tout ou rien.
- N'utilisez pas de cases pré-cochées. Toutes les catégories de cookies optionnelles doivent être décochées par défaut.
- Fournissez des informations claires sur la finalité de chaque cookie, les données qu'il collecte, qui a accès à ces données et la durée de conservation du cookie.
- Identifiez les tiers. Nommez les services tiers qui déposent des cookies sur votre site (Google Analytics, Facebook Pixel, HubSpot, etc.).
- Facilitez le retrait du consentement. Offrez aux utilisateurs un moyen permanent et facilement accessible de modifier leurs préférences en matière de cookies après le consentement initial. Un lien dans le pied de page ou une icône flottante sont des approches courantes.
- Conservez les enregistrements de consentement. Tenez un journal indiquant quand chaque utilisateur a donné son consentement, à quoi il a consenti et la version de la politique en matière de cookies en vigueur à ce moment-là.
- Respectez techniquement les choix de consentement. Assurez-vous que le refus du consentement empêche réellement le dépôt des cookies correspondants. Cela nécessite de bloquer les scripts avant le consentement, et non simplement de supprimer les cookies après coup.
- Tenez à jour une politique en matière de cookies qui soit actuelle, exacte et rédigée dans un langage clair. Mettez-la à jour chaque fois que vous ajoutez de nouveaux cookies ou services tiers.
- Traitez les demandes des personnes concernées. Disposez d'un processus de réponse aux demandes d'effacement qui inclut les données collectées via les cookies.
- Effectuez des analyses régulières. Lancez des analyses automatisées de cookies au moins une fois par mois et après chaque déploiement afin de détecter les nouveaux cookies introduits par des scripts ou plugins mis à jour.
La conformité des cookies au titre du RGPD n'est pas un exercice ponctuel. Elle exige une attention continue à mesure que votre site web évolue, que de nouveaux scripts sont ajoutés et que les recommandations réglementaires sont actualisées. Les organisations qui la considèrent comme un processus continu plutôt que comme une simple case à cocher sont celles qui échappent aux actions de mise en application — et qui, ce faisant, gagnent la confiance de leurs utilisateurs.
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement