Spoiler : Ceci n'est pas l'édition la plus fun du Barboteur… 😅
Lire cet e-mail dans le navigateur

Le barboteur #12 / Avril 2021

(Cet e-mail contient des images, si ce n’est pas déjà fait, je t’invite à les activer avant de continuer la lecture.)

Hello PRENOM,

J’ai une mauvaise nouvelle à t’annoncer : tu fais probablement partie des 83% d’abonnés au Barboteur dont le site est dans l’illégalité.

Oui, j’attaque fort ! 😆

Je m’explique. Tu as probablement déjà entendu parler du RGPD ? Cette directive européenne qui vise à mieux encadrer la collecte et l’exploitation des données personnelles.

Depuis le 1ᵉʳ avril 2021, l’acte II bat son plein.

Celui-ci met en avant un personnage négligé jusqu’ici : le cookie.
Tu sais, ce fichier dans lequel un site web va stocker plein d’informations sur toi : le nom de ton navigateur, ta localisation, ta résolution d’écran, si tu es connecté·e ou non à ton compte, tes préférences en termes de langue…

C’est aussi lui qui permet de te suivre pendant toute ta navigation et de faire ce qu’on appelle du ciblage publicitaire. Mais si, tu sais, quand tu regardes un produit sur un site e-commerce et qu’après tu vois sans cesse des pubs pour ce produit sur Facebook 

Bref, on peut faire beaucoup de chose avec des cookies. Du bon, comme du moins bon.

Mais, c’est sans compter sur notre personnage central : l’internaute.
Et plus particulièrement son consentement.

Dans l’acte I, on avait défini que l’internaute devait donner son accord pour que ses données personnelles soient collectées. Mais, de nombreux sites avaient tendance à oublier (volontairement ou non) que les cookies contiennent aussi des données personnelles…

En outre, les directives n’étaient pas forcément très claires.

Bref, c’était un joyeux bordel. Entre le parcours du combattant chez Google et les nombreux bandeaux qui stipulaient que « si vous continuez votre visite sur le site, c’est que vous êtes d’accord avec notre politique de confidentialité », il était temps de remettre un peu d’ordre pour éviter les dérives.

Depuis le 1er avril 2021, de nouvelles directives sont donc entrées en vigueur et la CNIL va commencer à effectuer des contrôles et sanctionner les plus réfractaires.

Pas de panique, je vais t’expliquer en détail comment mettre ton site en conformité.

Est-ce que tu es concerné ?

Pour faire court : tu as un site web ?
Il y a 99% de chances que tu le sois.

Que ce soit un simple site vitrine avec 10 visites par mois ou un site marchand qui génère des centaines de visites par jour, tous les sites web sont susceptibles de déposer des cookies.

Que dois-tu faire, concrètement ?

Tu as 3 grandes obligations :

  1. informer les internautes des différents cookies qui sont installés par ton site, leur finalité et la durée de stockage,
  2. obtenir leur consentement positif et explicite et surtout ne déposer aucun cookie avant de l’avoir,
  3. leur proposer un moyen simple de modifier leur choix.

Concernant le recueil du consentement :

  • ce n’est pas parce que l’internaute poursuit sa visite qu’il ou elle consent à l’installation de cookies,
  • c’est un acte positif clair, comme le fait de cliquer sur un bouton « Je suis d’accord » ou « J’accepte » et pas sur un bouton « OK » ou « Je continue » par exemple,
  • les internautes doivent être en mesure de révoquer leur consentement simplement,
  • refuser doit être aussi aisé que d’accepter (le bouton Refuser doit donc être aussi visible que le bouton Accepter).

Enfin, tu dois être en mesure de prouver à la CNIL que tu as bien recueilli le consentement de l’internaute. Plusieurs méthodes pour cela :

  • soit en faisant une capture d’écran horodatée de ton site web faisant apparaître le bandeau de collecte du consentement,
  • soit en mettant sous séquestre auprès d’un tiers le code source de la solution que tu utilises pour le consentement.

J’ai une petite idée de la solution que tu vas privilégier… 😅

À noter que certains types de cookies comme les cookies dits de fonctionnement ou certains cookies statistiques sont exemptés du recueil du consentement.

Bref, c’est pas simple tout ça 

On ne va pas se mentir, c’est probablement l’étape la plus compliquée.

Il y a deux types de cookies : ceux qui sont installés par ton site, et ceux qui le sont par des services tiers (YouTube, Google Analytics, Google Font, Instagram… par exemple).

Si tu utilises un CMS comme WordPress ou Drupal, il existe des extensions qui vont scanner ton site et lister automatiquement les cookies installés (je donne quelques exemples en fin de mail).

Si ce n’est pas le cas, des sites comme CookieServe proposent un scanner, mais sont soit limité à quelques pages, soit ne permettent pas d’identifier facilement les finalités.

Le plus simple est de faire appel à une personne techniquement compétente, qui va analyser les différentes pages de ton site et dresser la liste des cookies installés, ainsi que leur finalité.

Qu’est-ce que tu risques ?

Il est important de rappeler que la gestion des cookies n’est qu’une partie du RGPD, qui ne se limite d’ailleurs pas qu’à ton site web. Ce n’est donc pas parce que tu gères correctement les cookies que tu seras 100% conforme au RGPD.

Sur son site web, la CNIL explique les différentes sanctions possibles, qui vont du simple rappel à l’ordre à une amende de 4% du chiffre d'affaires, selon la gravité de l’infraction et le nombre de récidives.

Après, dans les faits, à moins que quelqu’un ne te dénonce ou que tu traites des données très sensibles, il y a peu de risques que la CNIL te contrôle. Ils ont déjà suffisamment de travail avec les géants du web.

Mais étant donné que le risque 0 n’existe pas, autant faire les choses bien. Ne serait-ce que par respect pour la vie privée des internautes…

Comment mettre ton site en conformité ?

Comme tu as pu t’en rendre compte, il y a beaucoup de choses à prendre en compte et on peut vite se sentir dépassé·e.

Rassure-toi, il existe des solutions qui vont t’aider. Voici quelques recommandations, non exhaustives :

À noter que pour être 100% sûr que tu es en conformité, un avis de personnes techniquement et juridiquement compétentes peut être utile.

Bon courage pour cette mise en conformité !
Tu verras, si tu utilises un outil comme WordPress, c'est plus simple à faire que ce mail peut le laisser supposer, car il existe des outils qui gèrent cela pour toi.

Laurent,


Si tu ne désires plus recevoir cet e-mail (adressée à : unknown@noemail.com), tu peux te désabonner ici.

Laurent Naudier
8 rue Nicolas Leblanc
59000 Lille
France

06.50.02.66.85
contact@laurent-naudier.fr
https://www.laurent-naudier.fr