La loi impose désormais aux responsables de sites et aux fournisseurs de solutions d’informer les internautes et de recueillir leur consentement avant l’insertion de cookies ou autres traceurs.

Cookies & traceurs : que dit la loi ?

À qui s’impose cette obligation ?

Lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d’entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l’article 32-II

• L’obligation de recueil du consentement s’impose notamment :
  aux éditeurs de sites, de système d’exploitation, et d’applications,
  aux régies publicitaires,
  aux réseaux sociaux,
  aux éditeurs de solutions de mesure d’audience.

Quels cookies nécessitent le consentement préalable des utilisateurs ?

Parmi les cookies nécessitant une information préalable et une demande de consentement, on peut notamment citer :

• les cookies liés aux opérations relatives à la publicité ciblée ;
• certains cookies de mesure d’audience (voir les exemptions ci-dessous) ;
• les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu’ils collectent des données personnelles sans consentement des personnes concernées.

Qu’entend-on par les termes “cookies” ou "traceurs" ?

Le terme de cookies est à prendre au sens large et couvre l’ensemble des traceurs déposés et / ou lus, par exemple, lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile.

La loi s’applique quel que soit le type de terminal utilisé et concerne par exemple, les traceurs déposés sur les ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéos connectés à Internet.

Par commodité, nous utilisons le terme de “cookie” qui recouvre l’ensemble de ces technologies.

RGPD

Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

• Désigner un pilote
  Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.

• Cartographier vos traitements de données personnelles
  Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

• Prioriser les actions à mener
  Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

• Gérer les risques
  Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

• Organiser les processus internes
  Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

• Documenter la conformité
  Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

SpipFactory est dans les clous ?

Notre plateforme utilise le CMS “SPIP” et le squelette “Escal” ; Par défaut, SPIP est respectueux de la vie privée de ses visiteurs et ne pose pas de cookies de traçage ou publicitaires.

Donc je devrais faire quelque chose si mon site utilise des scripts de statistiques intrusifs ou des widgets sociaux.
Ce que SpipFactory a mis en place :

• une barre d’avertissement sur l’usage des cookies.
• une page expliquant les informations que nous sommes amenés à recueillir.