Lexique IT
Cookie
Un cookie est un fichier texte qui est déposé par le fournisseur d’un site internet, sur l’ordinateur, le téléphone ou tout autre terminal de l’utilisateur d’un site ou d’une application, permettant de collecter des informations relatives à ce dernier et à son interaction avec le site ou l’application, et notamment des données à caractère personnel.
Il peut s’agir de cookies HTTP, de cookies « flash », du résultat du calcul d’une empreinte unique du terminal, de pixels invisibles, de tout autre identifiant généré par un logiciel ou un système d’exploitation.
Ils peuvent avoir des usages multiples, et notamment servir à conserver en mémoire le contenu d’un panier d’achat, de personnaliser la langue des sites, d’étudier l’utilisation du site à des fins statistiques ou publicitaires, de mesure l’audience du site…
En application de la directive ePrivacy 2009/136/CE, le fournisseur d’un service de communications électroniques accessible au public peut déposer des cookies sur l’ordinateur de l’utilisateur, dans la mesure et pour la durée nécessaire à la fourniture ou à la commercialisation de ces services et, pour autant que l’utilisateur ait donné son consentement préalable.
Ainsi, le fournisseur du site doit en principe recueillir le consentement préalable de l’utilisateur avant le dépôt de cookies sur son terminal. Par exception, si les cookies ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, le consentement n’a pas être recueilli.
Sont ainsi notamment exemptés du recueil du consentement préalable de l’utilisateur les cookies :
- Conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- Destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- Destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
- De personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- Permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- Permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée).
Certains traceurs de mesure d’audience peuvent également être exemptés du consentement de l’utilisateur lorsque :
- Ils ne permettent pas le suivi global de la navigation de l’utilisateur sur différents sites ;
- Ils ne permettent pas de recouper les données avec d’autres traitements ;
- Ils doivent servir uniquement à produire des données statistiques anonymes ;
- Ils ne permettent pas de transférer les données à des tiers.
Concernant toutes les autres catégories de cookies soumises au consentement préalable de l’utilisateur, ce dernier doit avoir la possibilité de retirer à tout moment son consentement ainsi que de le paramétrer à sa convenance.
Le consentement recueilli par le fournisseur doit ainsi répondre aux conditions prévues par le RGPD. Il doit être donné au travers d’un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant.
Ainsi, la simple poursuite de la navigation sur un site ne peut être considérée comme une expression valide du consentement de l’internaute au dépôt de cookies.
Enfin, le choix de l’utilisateur au consentement ou au refus de toute ou partie des cookies doit être conservé par l’éditeur pendant une durée limitée appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience.
Point RGPD
« Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».
Point jurisprudence
Le Comité européen de la protection des données a estimé que la Cour de Justice de L’union européenne avait violé le Règlement 2018/1725 en n’ayant « pas fourni aux utilisateurs de son site web un moyen de retirer leur consentement à l’utilisation de cookies aussi facilement que s’ils le donnaient – tel qu’un bouton de « refus » affiché au même endroit et de la même manière que le bouton « accepter ». Au lieu de cela, pour refuser les cookies, les utilisateurs devaient cliquer sur le bouton plus d’informations » et aller presque jusqu’au bas de la page pour retirer leur consentement. »
Comité européen de la protection des données, 3 mai 2021, N° 2019-0878
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.