- Un article technique mais très instructif sur le fonctionnement des cookies et les dérives potentielles qui motivent la réglementation de leur utilisation : https://www.nextinpact.com/article/27850/105886-cookies-tiers-traceurs-fingerprint-et-compagnie-comment-ca-marche
- Les documents importants sur le site de la CNIL : https://www.cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformite - https://www.cnil.fr/fr/questions-reponses-sur-les-lignes-directrices-modificatives-et-la-recommandation-cookies-et-autres
- Les documents importants sur le site de l'APD : pour les citoyens : https://www.autoriteprotectiondonnees.be/ citoyen/themes/internet/cookies - pour les propriétaires de sites : https://www.autoriteprotectiondonnees.be/ professionnel/themes/cookies
- La protection des données dans le monde : une carte qui permet de visualiser les différents niveaux de protection des données des pays dans le monde et d'afficher les autorités de protection des données : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
- Un comparatif des différentes mesures concernant la conformité des cookies dans 9 pays européens : https://www.iubenda.com/en/help/23672-gdpr-cookie-consent-cheatsheet
- Les dépôts GitHub des projets open source Tarteaucitron : https://github.com/AmauriC/tarteaucitron.js et Orejime : https://github.com/empreinte-digitale/orejime
- Une présentation, accompagnée d'exemples et de conseils de mise en place, de la solution Tarteaucitron réalisée par Marc Dechèvre (alias Woluweb sur le forum Joomla! en France) : https://slides.woluweb.be/cookies/cookies.html
- Des extensions de navigateurs pour visualiser les cookies installés :
- Cookie Quick Manager (Firefox)
- EditThisCookie (Chrome)
- Cookie Editor (Edge)
- Un service externe pour scanner les cookies installés sur un site : Cookiebot. L'outil est gratuit mais vous devrez fournir une adresse email pour obtenir le rapport (très complet) d'analyse.
La gestion des cookies en conformité avec les directives officielles n'est pas une nouveauté puisqu'il s'agit d'une loi de 2011, la fameuse "cookie law" ! Ce qui a relancé l'intérêt sur ce sujet c'est, d'une part, l'entrée en vigueur du RGPD en 2018 et, d'autre part, la multiplication des plateformes et services utilisant des traceurs pour cibler toujours plus finement les utilisateurs. Les différents régulateurs nationaux en charge du respect de la vie privée des Internautes ont durci le ton et publié de nouvelles règles, plus contraignantes. Dans ce dossier, nous nous sommes efforcés de faire le tour de la question afin de vous aider à mettre vos sites en règle.
Avertissement
En tant qu'agence Web, nous revendiquons une compétence en matière de technologie mais nous ne sommes pas juristes. Les recommandations qui vont suivre résultent de notre expérience et de notre compréhension des informations disponibles sur les sites des autorités de protection des données. Elles sont soumises à votre jugement et à votre bon sens et il n'y a aucune règle qui s'applique "telle quelle" à tous les sites . En cas de doute, pour une situation ou un service particulier, nous vous invitons à prendre conseil, soit auprès de l'autorité de contrôle dont vous dépendez (en fonction de votre pays), soit à un service juridique spécialisé.
Contrairement au RGPD, qui est une loi européenne appliquée de façon uniforme dans toute l'UE, celle sur les cookies a été traduite dans la législation de chaque pays, avec des directives qui lui sont propres. Dans cet article, nous allons nous référer à celles en vigueur en France et en Belgique, parce qu'elles concernent la majorité de nos clients. Comme elles sont parmi les plus strictes, les suivre devrait vous assurer la conformité, même si vous vous trouvez dans un autre pays de l'UE. Néanmoins, si tel était le cas, nous vous invitons à lire les informations fournies par l'autorité de votre pays. Nous avons indiqué en fin d'article une intéressante ressource reprenant les différentes réglementations dans plusieurs pays européen : le Royaume-Uni, l'Italie, l'Allemagne, la France, l'Espagne, la Grèce, la Belgique et l'Irlande. Vous y trouverez aussi un lien vers une carte répertoriant les coordonnées de toutes les autorités de protection des données dans le monde.
Quelques définitions
Tout bon article sur le sujet commençant par un rappel sur la nature des cookies, ne dérogeons pas à la règle. Nous aimons bien la définition donnée par le régulateur belge :
Les cookies sont de « mini fichiers » qui peuvent être placés sur un appareil connecté à Internet, comme un ordinateur, un téléphone, une tablette ou encore une télévision intelligente. Les cookies peuvent être utilisés pour recueillir ou stocker des informations sur la manière dont vous vous comportez sur (un site) Internet et/ou sur votre appareil. La « lecture » de ces cookies permet ensuite aux sites web qui les ont placés de récupérer les informations qui y sont stockées.
Les technologies ont cependant beaucoup évolué ces dernières années et les moyens de "suivre" les Internautes ont changé, aussi les réglementations en vigueur parlent désormais de "cookies et autres traceurs (ou, parfois, traqueurs)". Si vous utilisez un "pixel Facebook" (qui n'est pas, techniquement, un cookie) pour faire du remarketing sur cette plateforme, ou un système de mesure d'audience comme Ferank (qui n'utilise pas de cookie), ne croyez pas que vous n'êtes pas concernés : "L’obligation de vous informer et de recueillir votre consentement s’impose pour tous les cookies et autres technologies similaires qui permettent le stockage d’informations ou l’obtention de l’accès à des informations déjà stockées dans un de vos appareils, indépendamment du fait que les informations stockées constituent des données à caractère personnel." (source : Autorité de Protection des Données - APD). La dernière partie de la phrase indique bien que la problématique des cookies se situe en dehors du cadre strict du RGPD et suit par conséquent ses propres règles.
Les cookies et traceurs peuvent être distingués selon différents critères :
Distinction selon la finalité poursuivie
C'est la classification la plus courante et que l'on retrouve dans les panneaux de configuration des choix en matière de suivi. On peut ainsi classer les cookies en 5 catégories :
- Les cookies fonctionnels : cookies de session déposés par les CMS (Joomla!, Wordpress, ...), par les serveur (LiteSpeed), par les CDN (Cloudflare, ...), par les paniers d'achat des boutiques en ligne, par les protections contre le spam (Captcha), ... Ces cookies sont strictement nécessaires au fonctionnement du site et ne peuvent être refusés par les visiteurs. Ceux-ci peuvent néanmoins les supprimer via les réglages de leur navigateur mais le site fonctionnera probablement de façon erratique.
A noter que beaucoup de propriétaires de sites brandissent cette menace de mauvais fonctionnement comme moyen de pression pour inciter le visiteur à accepter tous les traceurs. Cette pratique est évidemment interdite. - Les cookies d’interaction de base : les cookies d'authentification, ceux déposés par les services de chat en ligne ou de visioconférence, ...
- Les cookies d'UX (user experience) : ceux déposés par les boutons de partage sur les réseaux sociaux, les systèmes de commentaires, les flux RSS, ...
- Les cookies analytiques : déposés par les outils de mesure d'audience, comme Google Analytics ou ses concurrents, et tous ceux servant à l'analyse comportementale des visiteurs sur les sites, comme les cartes de fréquentation (heat mapping), les enregistrements de sessions, ...
- Les cookies de marketing : ceux servant à faire du remarketing, du profilage, de la publicité, ...
Distinction selon le domaine qui place les cookies
C'est un peu le cœur du problème. Ici, il y a d'une part les "cookies de première partie" (first-party cookie), qui sont déposés par le domaine du site que vous visitez. Il s'agit - presque - toujours de "cookies fonctionnels" (voir plus haut) et leur refus ou effacement provoque en général un fonctionnement erratique du site.
Ceux qui suscitent surtout l'attention des régulateurs sont les "cookies de troisième partie" (third-party cookies), qui sont déposés par d'autres domaines (par Google, Facebook, Hotjar, ...). Le problème avec ces traceurs est que, même si les données qu'ils collectent sont utilisées par le propriétaire du site (en général à des fins de marketing), elles sont aussi partagées avec le fournisseur du service auquel ils appartiennent avec des finalités qui échappent au contrôle du visiteur.
Distinction selon la durée de validité des cookies
On peut avoir des "cookies de session", qui s'effacent automatiquement quand vous fermez votre navigateur ou des "cookies permanents" qui sont conservés pendant des périodes plus ou moins longues. Aucun cookie ne peut avoir une durée de vie illimitée et la durée de conservation doit être en accord avec la finalité poursuivie. Les régulateurs ont publié des directives concernant la durée de validité des traceurs, en fonction de leur finalité.
Changements importants dans la gestion des cookies
Comme nous l'avons dit en introduction, l'obligation de gestion des cookies n'est pas neuve. Nous avons l'habitude, depuis bientôt 10 ans, de voir des bandeaux chaque fois que nous visitons un nouveau site et les propriétaires de site ont - presque - toujours au moins une page dédiée aux cookies qu'ils utilisent.
Mais les temps ont changé et les règles sont plus strictes : ce qui était permis hier ne l'est plus aujourd'hui et il faudra parfois changer nos (mauvaises) pratiques. Les principaux changements sont les suivants :
- Consentement par la poursuite de la navigation
Nous avons tous vu (et parfois utilisé) des bandeaux comme celui-ci :
Aujourd'hui, vous ne pouvez plus utiliser ce dispositif : le consentement de l’utilisateur doit se matérialiser par un acte positif clair comme, par exemple, un clic sur un bouton « tout accepter ». L’absence de manifestation claire de volonté d’accepter le dépôt de cookie doit s’entendre comme un refus. (source : CNIL).
Autrement dit, contrairement à la mention portée sur le bandeau et en l'absence d'un moyen simple de refuser le dépôt de traceurs, la poursuite de la navigation équivaut à un refus de l'utilisation des cookies et ils ne peuvent donc pas être déposés par le site. - Gestion des cookies par la configuration du navigateur
Voici un autre type de bandeau, proche du précédent mais avec une petite nuance :
Ici aussi, il n'y a pas de possibilité de refuser les cookies et la poursuite de la navigation équivaut au consentement, mais on ajoute "sans modifier vos paramètres de cookies", avec un lien "Cliquez ici" suggérant qu'il sera possible d'effectuer ce réglage. En réalité, ce lien dirige vers une page qui explique la politique en matière de cookies du site et renvoie aux différents navigateurs afin de gérer l'acceptation ou non des cookies.
Cette pratique n'est plus autorisée : "Le paramétrage des navigateurs ne permet pas, actuellement, de recueillir valablement votre consentement." (source : APD). La CNIL dit par ailleurs exactement la même chose. En pratique, une certaine gestion est possible via les préférences des navigateurs mais, outre qu'elle est très inégale d'un logiciel à un autre, elle agit en général de façon globale : même traitement pour tous les sites. Un réglage site par site est possible, mais assez fastidieux et, dans tous les cas, contraire avec la directive générale stipulant qu'il doit être aussi facile de refuser que d'accepter les cookies. - Influencer le visiteur dans son choix
Il est tentant de pousser l'utilisateur du site à accepter les cookies en mettant en place une procédure plus facile pour l'acceptation que pour le refus.
Ici, on donne le choix au visiteur soit d'accepter tous les cookies, soit ... de choisir. Ceci n'est pas conforme puisque ce sera plus long (et plus compliqué) de refuser les cookies que de les accepter.
De fait, en cliquant sur paramétrer, on ouvre le pop up suivant :
Le texte qui s'affiche se veut informatif mais en pratique n'apporte pas grand chose. Il ne fait que retarder encore le choix du visiteur. De plus, les options proposées restent ambigües : "Tout autoriser" est équivalent, on le suppose, à "Accepter" tandis que la signification de "Enregistrer les paramètres" est obscure. De quels paramètres s'agit-il ? Pour le savoir, il faut cliquer sur les onglets dans la colonne de gauche, par exemple celui de "Cookies de performance", une formulation qui semble innocente. Voici pourtant ce qu'on obtient :
En lisant le texte, il appert qu'il s'agit en fait de "cookies analytiques", donc de mesure d'audience. Elles ont toutefois pour but de suivre les visites sur le site dans le but d'en améliorer le contenu ou la navigation, ainsi que de mesurer l'impact des campagnes de marketing effectuées sur les sources de trafic, et ces données sont anonymisées. Cette situation est conforme avec les directives françaises (le site est français).
Ce que l'on peut reprocher à ce site, c'est d'entretenir un flou général sur les cookies déposés en utilisant des formulations vagues et un processus compliqué dans le cas du refus. Ceci n'est pas une critique de la solution logicielle utilisée (One Trust), que nous n'avons pas testée, car elle résulte probablement d'une volonté délibérée de la part du propriétaire du site (une agence de communication spécialisée dans le marketing digital !) de la configurer de cette manière. Ceci rappelle qu'il ne suffit pas de choisir un logiciel ou une extension de gestion des cookies mais qu'il faut en comprendre le fonctionnement pour le paramétrer correctement. - Ne pas permettre au visiteur de changer d'avis
Une autre habitude à perdre : permettre au visiteur de choisir puis le laisser se débrouiller s'il veut revenir sur sa décision. Conformément au RGPD, une fois le consentement donné par l'utilisateur, celui-ci doit pouvoir le reprendre à tout moment et sans que cela soit le parcours du combattant. Dans beaucoup de cas, le seul moyen pour le visiteur de modifier son choix est d'effacer les cookies associés au site. En supposant que l'utilisateur sache comment faire, ce n'est pas la procédure la plus conviviale et elle peut conduire à des erreurs, comme effacer tous les cookies de tous les sites, même ceux qu'on aurait aimé conserver. Il existe bien des extensions pour les navigateurs permettant de faire cette opération plus facilement mais tout le monde ne souhaite pas installer des extensions qui, si elles deviennent trop nombreuses, ralentissent la navigation.
Bref, il faut mettre en place un dispositif clair pour le retrait du consentement. Voici ce que dit la CNIL à ce sujet : "Le principe général est qu’il doit être aussi simple de retirer son consentement que de le donner. De manière générale, pour assurer que le retrait du consentement puisse se faire simplement et à tout moment, il est recommandé que le mécanisme permettant de gérer et de retirer son consentement soit placé dans une zone qui attire l'attention de l’utilisateur ou dans des zones où il s'attend à le trouver, et que les visuels utilisés soient les plus explicites possibles". Sur ce point, l'APD fait figure de mauvais élève car une fois le consentement matérialisé aucun moyen visible n'existe pour le modifier. Il semble que ce soit lié à la solution open source choisie par l'APD et qui ne propose pas cette fonction (au moment de la rédaction de cet article).
La question du consentement
Conformément aux directives du RGPD, la règle générale est que le consentement du visiteur doit être recueilli avant de placer de placer les cookies. C'est la fonction du bandeau, plus ou moins intrusif (mais c'est le but), présent lors de la première visite sur un site. Évitez donc aux dispositifs (extensions de CMS ou services externes) qui autoriseraient d'abord le dépôt de cookies puis les enlèveraient (en principe) en cas de refus de l'utilisateur.
Traceurs exemptés de consentement
Les traceurs ci-dessous ne nécessitent pas de consentement préalable des internautes mais il est cependant recommandé d'informer ceux-ci de leur utilisation (dans une page du site par exemple) et de leur rappeler que des réglages du navigateur peuvent leur permettre de les bloquer, avec des effets potentiellement négatifs pour le fonctionnement du site (source : CNIL) :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs : eh oui, même si vous refusez le dépôt de cookies, il en faut bien un qui enregistre ce choix pour éviter de vous re-solliciter à chaque page.
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues (via un Captcha par exemple).
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s).
- les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service. La dernière partie de la phrase indique que le choix de la langue doit être réglable par l'utilisateur, via un dispositif dans l'en-tête du site par exemple, et non que sa préférence linguistique (ou autre) soit enregistrée, à son insu, à des fins de profilage.
- les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication, à condition de ne les analyser que de manière anonyme (précision apportée par l'APD) : il s'agit de dispositifs au niveau des serveurs, pour des sites avec un trafic très important.
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée).
- certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.
Le cas particulier des traceurs analytiques
Ce dernier point fait débat et suscite des positions différentes suivant les pays. La France semble l'accepter tandis que la Belgique, non. Pour preuve, les sites de ces deux autorités (CNIL et APD) utilisent le même logiciel d'analyse d'audience (Matomo, connu anciennement sous le nom de Piwik), probablement configuré de manière similaire, mais la CNIL ne demande pas de consentement préalable (et active ce service par défaut), tandis que l'APD le fait (et le désactive par défaut). Voici d'ailleurs ce que dit le régulateur belge : "En l’état actuel de la législation, il n’y a pas d’exemption à l’obligation d’obtenir le consentement des personnes concernées pour les cookies de mesure d’audience, même quand il s’agit de cookies de « première partie ». " (Matomo étant un service qui peut-être auto-hébergé, il n'y a effectivement pas de transfert de données vers une tierce partie - ndlr).
Pour la France, voyons plus en détail les conditions qu'il faut remplir pour l'exemption de consentement (Source : CNIL) :
Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, ces traceurs doivent
- avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur. Concrètement, cela consiste à ne pas partager, même anonymement, les données recueillies avec le fournisseur de service. On préférera donc pour cela une solution analytique auto-hébergée, comme Matomo, avec laquelle vous êtes le seul propriétaire des données, plutôt qu'un service comme Google Analytics.
- ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Dans Google Analytics, cela revient à désactiver la fonctionnalité User-ID.
- servir uniquement à produire des données statistiques anonymes. Il faut modifier le code de suivi afin d'anonymiser les adresses IP recueillies, quel que soit l'outil de mesure d'audience employé.
- la validité du cookie de mesure ne peut pas excéder 13 mois après la première visite (donc pas en mode "glissant" qui refait partir la période de 13 mois à chaque visite, ce qui est le comportement par défaut de ce cookie). Pour cela, il faut modifier le code de suivi pour modifier la durée par défaut (24 mois) et le mode de calcul après la première visite.
- ne pas conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers. Une des forces de Google Analytics est son intégration avec les autres services de la firme (AdWords, AdSense, ...), ainsi qu'avec de nombreux outils de suivi SEO ou de marketing. Il n'y a donc qu'une utilisation "autonome" de Google Analytics qui réponde à ce dernier critère. Elle peut être suffisante si votre seul objectif est l'amélioration de votre site et la compréhension des sources de trafic mais pas si vous vous avez des besoins en termes de marketing, qui nécessiteront de faire des recoupements avec d'autres sources, ou de SEO, qui vous conduiront à partager les données avec des outils tiers, dont certains peuvent se trouver en dehors de l'Union Européenne (comme SEMRush par exemple).
Traceurs nécessitant le consentement
Il s'agit de tous les traqueurs qui n'entrent pas dans les exceptions ci-dessus. Ils ne peuvent être déposés par le site, ou par un tiers, sans le consentement explicite du visiteur.
Aucun cookie « non fonctionnel » ne peut être inséré ou lu sur votre ordinateur, votre smartphone ou votre tablette tant que vous n’avez pas donné votre consentement.
Validité du consentement
Comme pour le RGPD, la validité du consentement au dépôt de cookie est encadrée par une série de règles pour qu'il soit considéré comme valable (source : APD):
- Le consentement doit être préalable à l’insertion ou à la lecture de cookies (avec les exceptions dont nous avons parlé plus haut).
- Le consentement doit être informé. Le visiteur doit comprendre à quoi il consent ! Vous devez donc détailler les différents services, par exemple dans une page spécifique de votre site. "L’information doit être visible, complète et être mise en évidence. Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur. Cela implique, notamment, que l’information soit rédigée dans une langue qui est aisément compréhensible pour le « public cible » auquel elle s’adresse.".
- Le consentement n’est valide que si vous pouvez exercer un choix réel. Le choix doit pouvoir s'exercer librement, sans contraintes extérieures. "Cette exigence implique, notamment, que vous ne pouvez pas vous voir refuser certains services ou avantages au motif que vous n’auriez pas consenti à l’utilisation de cookies « non fonctionnels ». La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service, tel l’accès à un site Internet."
- Le consentement doit être spécifique : vous ne pouvez pas faire un "package" avec tous ceux que vous demandez sur votre site. Accepter les conditions générales de vente lors d'un achat en ligne, participer à jeu concours ou s'inscrire à une lettre d'informations ne signifie pas que le visiteur consent au dépôt de cookies.
- Le consentement doit pouvoir être retiré aussi facilement qu'il a été donné.
Preuve du consentement
Ça, c'est le sujet qui fâche ! Dans le cadre du RGPD, le stockage de la preuve du consentement, pour pouvoir la produire en cas de contrôle, a un sens et est (assez) facile à mettre en place parce qu'il intervient en général lors d'une inscription (à une lettre d'information, à un service particulier) ou d'une transaction (achat sur une boutique en ligne, participation à un événement, réservation d'une consultation), opérations qui nécessitent l'enregistrement du visiteur. Il est dès lors facile d'identifier un utilisateur avec les données de son consentement : formule de consentement utilisée, date et heure de l'accord, ID unique de l'utilisateur, adresse IP utilisée lors de la transaction. Le CMS Joomla! inclut nativement un composant (com_privacy) permettant cette gestion pour les utilisateurs qui s'enregistrent sur le site et d'autres composants (GDPR) proposent même une gestion complète et très sophistiquée Une procédure similaire peut être mise en place pour une newsletter, comme nous l'expliquons dans cet article. Pour les cookies par contre, ce dispositif est absurde parce que d'un point de vue technique, aucune information fiable n'est disponible pour identifier un visiteur non enregistré sur un site.
Voyons d'abord la position officielle :
Vous devez pouvoir démontrer que vous avez recueilli un consentement valide de la personne concernée avant d’installer ou de lire des cookies ou d’autres traceurs sur, ou à partir de, son appareil. Cette preuve peut être apportée, notamment, par des logs ou d’autres fichiers gardant des traces des transactions.
La CNIL est plus vague sur le sujet. Nous vous laissons le soin de prendre connaissance de leur position en page 12 de ce document mais les solutions techniques proposées apparaissent disproportionnées par rapport aux enjeux de la situation. Certains plugins de CMS proposent le stockage de l'adresse IP, couplée à la date et heure de l'accord. D'autres services en ligne, comme Axeptio, enregistrent plus de données.
On peut voir sur cette capture d'écran que sont enregistrés, entre autres
- le "user-agent", c'est-à-dire le logiciel utilisé lors de la connexion au site - mais cette information peut être très facilement modifiée par l'utilisateur via une extension dans son navigateur
- le "referer", c'est-à-dire la page qui vous a envoyée sur celle où vous avez donné votre consentement. Étrange de tracer ainsi la navigation des gens dont on prétend vouloir préserver la vie privée ...
- le "x-forwarder-for", c'est-à-dire (nous le supposons) l'adresse IP de la connexion du visiteur au moment de son accord. Sachant que cette adresse peut facilement être masquée par un VPN, appartenir à un réseau WiFi public et change de toutes façons tout le temps si vous avez un abonnement mobile, on peut se demander à quoi sert pratiquement cette donnée.
Pour conclure sur ce sujet, et à défaut d'informations claires et fiables, on ne peut que constater que les deux régulateurs, belges et français, utilisent des solutions de gestion open source qui ne permettent pas, sauf s'ils les ont modifiées, d'enregistrer les données de consentement autrement que dans un cookie qui sera très probablement effacé très vite par l'utilisateur. Faut-il y voir une indication de l'importance toute relative de ce recueil de preuve ?
Les solutions à mettre en place pour la conformité des cookies
Il existe un très grand nombre d'extensions, plugins, scripts et services qui permettent, selon leurs auteurs, de gérer les cookies en conformité avec les règles en vigueur. Difficile de toutes les tester, aussi nous nous contenterons d'en nommer quelques unes en vous laissant le choix de les examiner au regard des directives énoncées plus haut. Comme en général (si ce n'est pas le cas, méfiance) elles sont en fonctionnement sur le site de leurs créateurs, vous pouvez déjà les tester aisément sans que cela ne vous coûte rien. Notez cependant qu'il est possible que les propriétaires de ces sites n'activent pas toutes les fonctions, donc il convient d'aller un peu plus loin en lisant la documentation associée. Ne vous laissez pas non plus rebuter par le design utilisé, il est toujours possible de modifier (plus ou moins facilement, il est vrai) les couleurs, les intitulés, l'emplacement, ...
On peut classer les solutions de gestion en trois catégories.
- Les extensions ou composants de site
Tous les CMS (Joomla!, Wordpress, Jimdo, ...) ont recours à des plugins ou des extensions pour ajouter des fonctionnalités. Il en existe de nombreux pour la gestion des cookies.
Les avantages sont la facilité d'installation ou de configuration et le faible coût (certains sont même gratuites).
Les inconvénients sont les problèmes d’incompatibilité en cas d'évolution du CMS ou du serveur, ou avec d'autres composants du site. De plus, à notre connaissance, aucune de ces extensions ne permet la gestion des cookies sur les pages AMP des sites.
Parmi les extensions Joomla! disponibles sur le JED (Joomla! Extensions Directory), nous avons examiné (mais pas testé en détail) :- Cookies CK, de Cédric Keiflin
Les + : existe en version gratuite (version "Pro" à 24 €/an si vous voulez configurer plus facilement les textes et les couleurs ou si vous voulez soutenir le développeur) - bloque les cookies avant le recueil du consentement - lien permanent pour modifier le choix initial - plusieurs thèmes pré-configurés pour le bandeau (dans la version payante)
Les - : pas de possibilité d'accepter/refuser les cookies par finalité (on accepte ou on refuse tout), ce qui est autorisé mais pas idéal pour des sites utilisant beaucoup de services.
Notre avis : peut convenir pour des sites perso ou associatifs, n'ayant pas de visées marketing. - Cookies Policy Notification Bar, de web357
Les + : inclut toutes les recommandations pour une conformité avec le RGPD (blocage avant acceptation, acceptation par finalité de cookie, lien permanent pour modifier le choix initial, stockage de la preuve du consentement (adresse IP + date/heure)) - configuration facile et complète - compatible Joomla! 4 - prix raisonnable (29 €/an)
Les - : certains cookies (de HotJar) n'étaient pas bloqués lors de notre première visite. Bug ou mauvais paramétrage ?
Notre avis : c'est une extension populaire qui semble bien faire son travail. Néanmoins certains services ne sont peut-être pas pris en charge, ce qui expliquerait la présence de cookies non bloqués, ce qui n'est évidemment pas conforme. - GDPR, de J!Extensions Store
Les + : extension complète de gestion du RGPD, dont les cookies - compatibilité Joomla! 4 - possibilité de tester une version demo, complète, limitée dans le temps
Les - : trop chère (49 €/an) si vous ne l'utilisez que pour la gestion des cookies.
Notre avis : ces développeurs fournissent des extensions de qualité, comme JSitemap Pro (la référence en matière de sitemap) ou JSpeed (plugin d'optimisation des performances), avec des documentations très complètes (en anglais). Cette extension est beaucoup plus complète que la "privacy-suite" native de Joomla! et est à recommander si vous devez gérer une grande communauté d'utilisateurs. Elle est toutefois "surdimensionnée" pour la seule gestion des cookies.
- Cookies CK, de Cédric Keiflin
- Les services externes
De nombreuses sociétés proposent un service en ligne très complet de gestion des cookies . Même si elles proposent souvent des formules gratuites (et limitées) pour de petits sites, elles s'adressent en général à de plus gros éditeurs, ayant de nombreux services tiers à gérer, et là, la facture peut très vite grimper. Les tarifs varient en fonction du nombre de pages du site (Cookiebot) ou du trafic mensuel (Iubenda, Axeptio).
Les avantages de ces formules sont l'automatisation de la rédaction, par des juristes, des conditions générales des nombreux services tiers qu'elles incluent et la mise à jour automatique de ceux-ci sur votre site - la disponibilité de plugins pour les principaux CMS pour une intégration facile - l'intégration d'une très grande quantité de services - une veille légale pour inclure toutes les nouvelles législations (pas seulement européennes).
Les inconvénients sont les coûts parfois élevés de ces solutions pour de petits acteurs et l'impact sur les performances du site (requêtes vers un autre domaine, pas d'optimisation possible des fichiers Javascript ou CSS). Il faut aussi veiller à faire appel à une société européenne pour éviter les soucis de transfert de données hors de l'Union Européenne.
Voici quelques prestataires connus dans ce domaine :
- Iubenda : il s'agit d'une société italienne, basée à Milan (site en anglais et en italien), dont nous avons utilisé les services, pour nous et nos clients, pendant plusieurs années. Elle propose 5 types de prestations liées au RGPD : un générateur de politique de confidentialité et de cookies - un mécanisme de gestion des cookies - un générateur de conditions générales - un mécanisme de recueil de consentement - un outil de gestion des procédures internes de traitement des données personnelles. Ces services peuvent être souscrits de manière indépendante et nous ne parlerons ici que de la gestion des cookies.
Les + : documents conçus par des juristes spécialisés, disponibles dans 8 langues (français, italien, anglais, allemand, néerlandais, russe, espagnol et portugais brésilien) - + de 1500 services tiers disponibles - conformité au RGPD mais aussi au CCPA (un équivalent du RGPD en Californie) et d'autres mécanismes similaires au Brésil et en Australie - plugins disponibles pour les principaux CMS - documentation et didacticiels très complets (mais seulement en anglais, en allemand ou en italien) - version gratuite jusqu'à 25.000 pages vues/mois et seulement 4 services différents - tarif raisonnable pour un nombre illimité de services, 1 langue et 25.000 pages vues/mois à 29 $/an - permet la gestion des cookies sur les pages AMP (sur tous les CMS et via un plugin pour Wordpress)
Les - : facture élevée pour les sites multilingues puisqu'il faut une licence par langue - le plugin Joomla! provoque des conflits avec d'autres extensions si on utilise le blocage des cookies avant consentement (ce qui est requis) - documentation absente en français
Notre avis : solution très professionnelle et tout-à-fait complète pour une gestion globale du RGPD, un peu chère pour les sites multilingues et un peu difficile à configurer pour le blocage avant consentement si on utilise pas le plugin existant pour le CMS (Joomla!), qui est censé de faire le boulot automatiquement. Suivant les extensions présentes sur le site, des conflits peuvent surgir et les possibilités de réglages sont très limitées. - Cookiebot : cette société danoise propose une technologie unique qui repose sur un scan régulier de votre site, suivi d'une génération automatique de la déclaration de cookies. Un bandeau de demande de consentement, configurable, est alors présenté aux visiteurs avec une demande d'accord pour les traceurs présents sur le site. Les consentements des utilisateurs sont automatiquement enregistrés de manière anonyme et à l’aide d’une clé chiffrée.
Les + : gestion automatisée dès que la solution est en place - textes de la boîte de dialogue de consentement disponibles dans 46 langues - site et documentation en français - plugin Wordpress disponible - mise en œuvre facile pour les autres sites - version gratuite (mais très limitée) - essai gratuit d'un mois.
Les - : solution chère pour les gros sites (de 9 €/mois pour un domaine avec moins de 500 pages jusqu'à 37 €/mois pour plus de 5.000 pages) - pas de plugin Joomla! - pas de gestion des autres aspects du RGPD.
Notre avis : le fonctionnement est très intéressant mais la facture est salée pour les sites avec beaucoup de contenu. - Axeptio : c'est une société française, basée à Montpellier, qui mise sur une approche "décontractée" des cookies en proposant "une solution ludique qui valorise votre métier et booste vos taux d’opt-in." Comme Iubenda, leurs services dépassent le simple cadre des cookies en proposant le recueil de consentement pour toutes les actions de marketing (newsletters, SMS, jeux concours, ...). La mise en place est rapide, tout est configurable et la solution s'intègre très bien avec le Google Tag Manager.
Les + : bandeau de consentement non intrusif (il se glisse en bas de la page environ 2 secondes après l'ouverture de la page) - panneau de configuration des choix vraiment très clair et ergonomique, procédant par pagination (les cookies sont classés en fonction de leur finalité), un type de cookie à la fois - enregistrement des preuves de consentement sur leur plateforme - disponible dans 8 langues (français, anglais, allemand, néerlandais, italien, espagnol, portugais et polonais) - formule gratuite, multilingue, pour 2 traceurs, sans stockage de données ni de personnalisation graphique - formules payantes à partir de 15 €/mois (ou 150 €/an) - documentation en français.
Les - : plus cher que Iubenda si vous n'avez besoin que de la gestion des cookies - le blocage de certains cookies ne semble pas toujours conforme (YouTube, par exemple), en tout cas sur leur site.
Notre avis : solution très attractive, même pour des sites avec un trafic important (le tarif de base à 150 €/an est valable pour 300.000 requêtes de consentement/mois), surtout s'il y a beaucoup de services ou d'opérations de marketing. L'ergonomie et l'expérience utilisateur optimale sont vraiment au cœur du projet et tranchent avec l'aspect souvent rébarbatif des autres outils.
- Iubenda : il s'agit d'une société italienne, basée à Milan (site en anglais et en italien), dont nous avons utilisé les services, pour nous et nos clients, pendant plusieurs années. Elle propose 5 types de prestations liées au RGPD : un générateur de politique de confidentialité et de cookies - un mécanisme de gestion des cookies - un générateur de conditions générales - un mécanisme de recueil de consentement - un outil de gestion des procédures internes de traitement des données personnelles. Ces services peuvent être souscrits de manière indépendante et nous ne parlerons ici que de la gestion des cookies.
- Les solutions auto-hébergées
Il existe des solutions open source très intéressantes et qui sont d'ailleurs utilisées par les régulateurs eux-mêmes. Il s'agit, par exemple, de Tarteaucitron (utilisé par la CNIL) et de Orejime (utilisé par l'APD). Toutes les deux sont des solutions françaises.
Les avantages de ces scripts sont les mêmes que pour la plupart des développements open source : la gratuité (qui peut s'assortir d'une version payante) et la possibilité de modifier le code pour l'adapter à ses besoins. Le fait que ces scripts soient auto-hébergés améliorent aussi les performances d'affichage du site par rapport à des services externes. De plus ils sont compatibles avec tous les CMS.
Les inconvénients, eux aussi, sont les mêmes que ceux des projets open source : l'utilisation demande des connaissances (plus ou moins étendues) en développement, la documentation est souvent laconique et il y a le risque que le projet soit abandonné par son/ses développeur(s).
Néanmoins, cela reste une option très attrayante pour qui veut une solution économique et adaptable à ses souhaits. Par exemple, ce qui frappe quand on visite le site de la CNIL pour la première fois, c'est l'absence d'un bandeau (il est recommandé mais pas obligatoire, ni toujours nécessaire). Ce n'est pas le comportement par défaut de Tarteaucitron, mais il est possible de le modifier pour qu'il se comporte de cette façon et nous l'avons appliqué sur notre site.
- Tarteaucitron : c'est un projet initié par un développeur français, Amauri Champeaux, et qui est suivi par un grand nombre de contributeurs qui aident à son développement. Le projet est donc très actif et mis à jour très régulièrement.
Les + : fonctionne avec tous les CMS - solution gratuite - formule payante (15 €/mois) pour un nombre illimité de sites - disponibilité d'un plugin Wordpress (dans la formule payante) - facile à mettre en place.
Les - : documentation pas toujours claire - services en nombre encore limité (un peu plus d'une centaine) - avantages de la solution payante limités - pas (encore) de plugin Joomla!, mais quelques extensions intègrent ce script à leur code, comme JoomladCookies par exemple.
Notre avis : étant défenseur de la philosophie open source, notre cœur balance forcément vers ce genre de projets et étant développeur nous-mêmes, leur utilisation ne nous effraie pas. Le concept de cette solution est simple, fonctionne tout à fait correctement et est assez rapide à mettre en place pour les services les plus courants. - Orejime : un autre projet français, porté par Empreinte Digitale, "une entreprise coopérative, créatrice de solutions numériques responsables et sur mesure" qui propose un gestionnaire de cookies qui se focalise sur l'accessibilité.
Les + : projet open source gratuit, compatible avec tous les CMS - a priori compatible avec tous les services parce qu'il suffit de modifier quelque peu le code Javascript de ceux-ci pour en contrôler l'exécution via leur script.
Les - : documentation difficilement compréhensive par les non-développeurs - absence de mécanisme permettant au visiteur de modifier son choix initial.
Notre avis : moins facile à mettre en place que Tarteaucitron, nous regrettons surtout l'absence du mécanisme de révision du choix qui, à notre avis, rend ce script non-conforme. Il est pourtant utilisé, tel quel, par le régulateur belge.
- Tarteaucitron : c'est un projet initié par un développeur français, Amauri Champeaux, et qui est suivi par un grand nombre de contributeurs qui aident à son développement. Le projet est donc très actif et mis à jour très régulièrement.
Conclusion
Avoir un bandeau simple informant les visiteurs de l'utilisation de traceurs sur un site est très simple. Mettre en place une solution conforme au RGPD est plus compliqué, si on la gère soi-même, ou plus cher si on en confie la tâche à des tiers. Il n'y a donc pas de formule miracle qui s'applique à tout le monde. On peut néanmoins avancer des propositions en fonction du type de site.
- Pour des sites "vitrines" qui utilisent peu de services (en général, une solution analytique), une extension pour leur CMS sera un bon choix. Pour Joomla!, nous recommandons celle de web357 et il doit certainement en exister des équivalents pour les autres plateformes. Attention cependant à bien vérifier que tous cookies sont bloqués correctement. Les boutons de partage sur les réseaux sociaux et les vidéos YouTube sont plus difficiles à gérer et cela ne fonctionne pas pour les pages AMP.
- Pour des sites plus orientés vers la monétisation, affichant de la publicité des différentes régies mais ne faisant pas d'actions de marketing nécessitant une gestion rigoureuse du consentement, la solution de Iubenda est très intéressante parce qu'elle fournit toutes les informations légales nécessaires à l'utilisation de centaines de services, dans plusieurs langues, tout cela pour un prix qui reste abordable ($ 99/an pour 50.000 pages vues/mois, par langue). Elle est aussi à recommander si vous devez activer la gestion des cookies sur vos pages AMP.
- Pour les sites plus orientés marketing, avec boutique en ligne, jeux concours, promotions par emails, ..., Axeptio nous semble la solution appropriée, pour un tarif de 150 €/an.
- Enfin, pour ceux qui n'ont pas peur de mettre les mains dans le cambouis (ou qui ont un Webmaster qui peut le faire pour eux !) ou qui défendent les valeurs de l'open source, la solution Tarteaucitron est un très bon choix.
A vous de choisir ...
- Un article technique mais très instructif sur le fonctionnement des cookies et les dérives potentielles qui motivent la réglementation de leur utilisation : https://www.nextinpact.com/article/27850/105886-cookies-tiers-traceurs-fingerprint-et-compagnie-comment-ca-marche
- Les documents importants sur le site de la CNIL : https://www.cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformite - https://www.cnil.fr/fr/questions-reponses-sur-les-lignes-directrices-modificatives-et-la-recommandation-cookies-et-autres
- Les documents importants sur le site de l'APD : pour les citoyens : https://www.autoriteprotectiondonnees.be/ citoyen/themes/internet/cookies - pour les propriétaires de sites : https://www.autoriteprotectiondonnees.be/ professionnel/themes/cookies
- La protection des données dans le monde : une carte qui permet de visualiser les différents niveaux de protection des données des pays dans le monde et d'afficher les autorités de protection des données : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
- Un comparatif des différentes mesures concernant la conformité des cookies dans 9 pays européens : https://www.iubenda.com/en/help/23672-gdpr-cookie-consent-cheatsheet
- Les dépôts GitHub des projets open source Tarteaucitron : https://github.com/AmauriC/tarteaucitron.js et Orejime : https://github.com/empreinte-digitale/orejime
- Une présentation, accompagnée d'exemples et de conseils de mise en place, de la solution Tarteaucitron réalisée par Marc Dechèvre (alias Woluweb sur le forum Joomla! en France) : https://slides.woluweb.be/cookies/cookies.html
- Des extensions de navigateurs pour visualiser les cookies installés :
- Cookie Quick Manager (Firefox)
- EditThisCookie (Chrome)
- Cookie Editor (Edge)
- Un service externe pour scanner les cookies installés sur un site : Cookiebot. L'outil est gratuit mais vous devrez fournir une adresse email pour obtenir le rapport (très complet) d'analyse.