Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Cookies : règlementation et modalités pratiques

Consentement préalable - information - modalités pratiques

Vous êtes ici : Accueil > Actualités

vendredi 24 janvier 2014

La condamnation de Google, le 3 janvier 2014, à l’amende maximale que peut prononcer la CNIL (150 000 €) concerne sa politique de confidentialité des données jugée non conforme à la loi Informatique et Libertés [1].

Concrètement, Google n’informe pas suffisamment les utilisateurs de ses services sur la finalités des cookies qu’elle installe dans leurs terminaux et les dépose sans leur accord préalable.

En décembre dernier, la CNIL a publié ses recommandations en la matière [2]. Le temps est donc venu pour les éditeurs de site et les émetteurs de cookies (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d’audience…) de se mettre en conformité.

Les cookies soumis à l’accord préalable des utilisateurs

Selon la CNIL, compte tenu des risques qu’ils entraînent sur la vie privée, les cookies nécessitant une information et un consentement préalables des utilisateurs sont notamment :

  • les cookies liés aux opérations relatives à la publicité ciblée ;
  • les cookies de mesure d’audience (à l’exclusion de ceux définis ci-après) ;
  • les cookies traceurs des réseaux sociaux générés par les « boutons de partage de réseaux sociaux ».

La Commission précise que ces règles s’appliquent :

  • aux cookies déposés et lus, notamment lors de la consultation d’un site internet, la lecture d’un courrier électronique, l’installation ou l’utilisation d’un logiciel ou d’une application mobile ;
  • quel que soit le système d’exploitation, le navigateur ou le terminal utilisés (ordinateur, tablette, « Smartphone », télévision connectée, console de jeux vidéos connectée au réseau Internet).

Les modalités pratiques pour recueillir l’accord préalable des utilisateurs

A titre préliminaire, au regard de la définition du consentement (« toute manifestation de volonté, libre, spécifique et informée »), la CNIL considère que l’acceptation de conditions générales d’utilisation n’est pas une modalité valable de recueil du consentement.

La Commission, après concertation avec les professionnels concernés, recommande donc une procédure de recueil du consentement en deux étapes.


Dans un premier temps, l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire) doit être informé, par l’apparition d’un bandeau :

  • des finalités précises des cookies utilisés ;
  • de la possibilité de s’y opposer et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Modèle proposé par la CNIL et à utiliser pour des cookies publicitaires et de mesure d’audience [3] :

NB : ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation sur le site.

Par conséquent, le dépôt et la lecture de cookies ne doivent pas être effectués :

  • si l’internaute se rend sur le site (page d’accueil ou directement sur une autre page du site à partir d’un moteur de recherche) et ne poursuit pas sa navigation ;
  • s’il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, en refuser le dépôt.

Dans la seconde étape (clic sur « Pour en savoir plus et paramétrer les traceurs »), les personnes doivent être informées de manière simple des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement :

  • pour l’ensemble des technologies visées par l’article 32-II de la loi Informatique et Libertés modifiée [4]. ;
  • par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience.

Exemple de la CNIL [5] :

Les modalités permettant à l’usager d’exercer ses choix peuvent également consister :

  • à un renvoi vers les outils d’opposition au traçage proposés par les solutions de mesure d’audience, de publicité ou de réseaux sociaux ; à condition que ces solutions soient conviviales et opérationnelles sur tous les terminaux et navigateurs.
  • dans certaines conditions, des paramètres du navigateur.

Enfin, d’autres modalités de recueil de l’accord préalable peuvent être mise en œuvre, comme :

  • l’affichage d’une bannière décrivant les finalités des cookies utilisés et demandant explicitement à la personne si elle accepte le dépôt par familles de cookies , tout en lui précisant les moyens dont elle dispose pour retirer ultérieurement son consentement ;
  • une zone de demande de consentement en surimpression ;
  • des cases à cocher lors de l’inscription à un service en ligne permettant d’accepter le dépôt de cookies par catégories de finalités ;
  • des boutons permettant d’activer les fonctionnalités d’un service déposant des cookies (par exemple, les plugins des réseaux sociaux). 



Les cookies soumis à la seule information préalable

Certains cookies peuvent être déposés ou lus sans recueillir le consentement des personnes :

  • les cookies ayant pour finalité exclusive de permettre, ou faciliter la communication par voie électronique ;
  • les cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur ;
  • les cookies de mesure d’audience limités à la mesure d’audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l’ergonomie du site ou de l’application.

Pour bénéficier de cette exception, les cookies de mesure d’audience doivent notamment être limité au seul éditeur, établir des statistiques anonymes, supprimer l’adresse IP une fois la géolocalisation effectuée au niveau de la ville, et avoir une durée de vie de 13 mois maximum.

A ce jour, seul le service d’analytics de l’outil Piwik peut être conforme à ces conditions après un léger paramétrage.

Ainsi, si vous utilisez Google Analytics ou Universal Analytics, vous devrez mettre à jour les pages de votre site afin de bloquer les cookies tant que vous n’avez pas obtenu le consentement utilisateur [6].

Nos partenaires

Réalisation : Clic Story ®

Plan du site