Les 3 critères indispensables pour choisir son gestionnaire de cookies

21

Comment choisir son gestionnaire de cookies ? Nous avons testé !


Par Agathe Girard, DPO de Data Legal Drive

Qu’est-ce qu’un Cookie ?Un cookie est un fichier texte informatique qui est déposé sur le navigateur d’un utilisateur dès lors que ce dernier se rend sur une page web.

Collectant toute sortes de données à caractère personnel selon leur type et leur fonction, les cookies sont réglementés depuis la loi « Informatique et Libertés » de 1978.

Mais dans les faits, il a été constaté que les entreprises utilisant leur site web comme vitrine de leur prestation ou service ont usé de ruses pour contourner les règles au détriment de l’utilisateur, qui a été réduit à devoir accepter quasiment systématiquement le dépôt des cookies sur leur terminal électronique.

Or, les cookies sont, étant donné leur objectif, intrusifs pour la vie privée des utilisateurs d’Internet.
S’agissant dès lors de traitements de données à caractère personnel (des données personnelles étant collectées et traitées), ils sont soumis aux règles imposées par le RGPD et doivent être surveillés avec attention.

Des cookies pour protéger les données

C’est pourquoi le Règlement général pour la protection des données (RGPD) a défini la notion de consentement de l’utilisateur et apporté une force nouvelle à la protection des données.

Aussi, la CNIL a décidé d’établir un plan d’action centré sur le ciblage publicitaire. Dès l’adoption de ses Lignes directrices du 4 juillet 2019 – qui ont vocation à expliquer le sens des règles qu’elle entend faire appliquer – l’objectif en émanant explicitement a été de renforcer le consentement d’un visiteur de site web conformément au RGPD lorsqu’il est question du traitement des données, et ce même s’il ne s’agit pas de données sensibles.

L’article 6 du RGPD définit précisément les conditions pour qu’un consentement soit valable à travers sa licéité, sa spécificité, et ses caractères éclairé et univoque. Il est impératif qu’au-delà de ceci, les utilisateurs aient un droit de regard sur leurs données.

Les deux changements majeurs à retenir de ce texte sont que d’une part, la poursuite de navigation ne vaut plus un consentement valable. Cela répond directement à une pratique très répandue des éditeurs de sites, qui veulent être certains de recueillir un minimum de données personnelles des visiteurs de leur site web. D’autre part, tout éditeur de site, en sa qualité de responsable de traitement des données à caractère personnel, doit être en mesure de prouver qu’il a recueilli un consentement valable, et cela peut passer par le biais de cookies ayant cette finalité exclusive.

Un projet de recommandation sera adopté au mois de septembre 2020. A la suite de son adoption, les entreprises concernées auront une période de six mois pour adopter ces changements.
C’est pourquoi un gestionnaire de cookie appliquant ou prévoyant d’ores et déjà toutes ces règles peut grandement apaiser vos inquiétudes liées à la conformité de votre site web et faciliter la vie de votre entreprise.

En effet, l’utilisation d’un gestionnaire adéquat et respectueux de la vie privée permettra à toute entreprise y ayant recours d’être sereine, notamment en cas de contrôle de la CNIL.

Il est à noter qu’en réalité, la conformité et la praticité d’un tel outil se confondent : l’autorité de protection des données a, à plusieurs reprises, réitéré la nécessité d’une utilisation à la fois intelligible pour l’utilisateur et facilitée du moyen retenu par l’entreprise lié à l’utilisation des cookies qu’elle fait.

3 critères indispensables pour choisir son gestionnaire de cookies

  1. Un module visible et facile d’accès
Le gestionnaire de cookies doit être visible sur la page consultée, et facile d’accès en toutes circonstances.
Il est à noter qu’un visiteur peut ne pas vouloir donner une réponse immédiate quant à son consentement au dépôt des cookies, ou encore vouloir changer d’avis à n’importe quel moment.Dans ces deux cas, il ne doit pas se trouver lésé et un moyen facile pour lui de pouvoir exercer son choix ou changer d’avis doit lui être octroyé. Il est donc préférable de laisser l’image de l’outil en permanence sur le site web visité.A défaut d’une croix de fermeture de gestionnaire, il suffit de cliquer à nouveau sur cette image pour exercer son choix plus tard.
  1. Des informations précises et détaillées
L’utilisateur doit être informé de différentes mentions avant de pouvoir donner son consentement.
Une autre mention particulièrement importante est celle de la durée de conservation du cookie, et fait l’objet d’un champ à compléter.Enfin, un lien cliquable renvoyant à la politique de confidentialité et la politique de cookie de l’entreprise utilisant l’outil est possible, permettant de remplir toutes les obligations d’informations pesant sur les entreprises.Il est apprécié de pouvoir créer autant de pages de catégories de cookies et de pouvoir les classer comme on le souhaite, ainsi que de pouvoir changer d’avis de manière à adapter la lisibilité et la compréhension de la présentation de l’utilisation faite des cookies.
  1. Des boutons disponibles pour accepter, refuser ou sélectionner
L’exercice du consentement ou de refus de l’utilisateur.
Trois mentions devraient être laissées à l’utilisateur du site : « J’accepte », « Je refuse », et « Je choisis ». Le design doit être le même de manière à ne pas inciter l’utilisateur à choisir l’une d’elles plus qu’une autre.
Enfin, un bouton pour tout accepter et tout refuser est possible et est entièrement conforme aux volontés de la CNIL tant que l’action opérée par l’utilisateur provoque l’effet conforme à sa volonté.Data Legal Drive a testé 4 gestionnaires de cookiesEt dans les faits, comment fonctionnent les gestionnaires de cookies ? Répondent-ils aux critères de mise en conformité ? Sont-ils faciles à mettre en place sur un site internet ? Permettent-ils une expérience utilisateur fluide et agréable ?  Data Legal Drive a testé et comparé !
  • Didomi : pour des connaisseurs aguerris et experts juridiques

A la première visite du site Didomi, le gestionnaire de cookies apparaît pleinement pour que l’utilisateur exerce son choix. Ce n’est pas le cas à l’occasion de la seconde visite, où le gestionnaire n’apparaît plus et n’est donc plus aisément accessible : absence de lien en bas de page, et la politique de confidentialité n’est pas accessible d’une quelconque manière.

Le gestionnaire a un joli design et est agréable à utiliser. Toutefois, le contenu mis en démonstration manque d’expertise juridique. Si le sujet de la protection des données semble mal maîtrisé, la fiabilité d’un tel outil peut être remise en question sur le long terme.

Pour illustrer ce propos, les informations apportées sur les finalités précises des cookies ne sont pas très claires. Par ailleurs, l’absence de durée de vie de cookies, tout comme le nombre et les noms des traceurs sont des informations cruciales et manquantes.

Cela étant, des points positifs sont à soulever : l’accès aux partenaires via le gestionnaire est simple et mis en évidence. Cette information est suffisamment détaillée pour que l’utilisateur comprenne la portée de son acceptation ou de son refus, ce qu’il peut exercer directement sur le tableau des partenaires qui lui est présenté.

Par ailleurs, les boutons sont entièrement conformes aux attentes de la CNIL.

Enfin, la présence d’un dashboard des consentements sous forme de graphiques est intéressante et constituerait une plus-value pour analyser le taux d’acceptation et de refus des cookies.
En conclusion, ce gestionnaire de cookie pourrait être très bon si les utilisateurs sont conscients de l’importance des informations et capables de les rendre compréhensibles par tous les visiteurs.

  • Axeptio : crush pour des cookies sains et nutritifs

Des 4 gestionnaires, il s’agit sans aucun doute de l’outil le plus facile à utiliser et le plus « User Friendly ». De par son design et son approche segmentée, ce gestionnaire s’avère particulièrement agréable à utiliser en tant qu’utilisateur.

Il est pensé pour être accessible sur toutes les pages de votre site, offre un bon niveau d’information de manière intelligente et respecte les grandes lignes de la recommandation de la CNIL.

Du point de vue technique, rien à y redire. La documentation présente en ligne remplit parfaitement son rôle et permet effectivement de gérer avec précision le dépôt de cookies, en s’interfaçant notamment avec Google Tag Manager.

De plus, il est à noter qu’il s’agit d’un outil français, pensé avec une approche « française » de la mise en conformité et donc au plus près des préoccupations de la CNIL.

Il ressort également du site d’Axeptio une véritable expertise juridique qui donne confiance et rend simple l’utilisation du gestionnaire.

Petit bémol, pour le moment, la gestion du consentement particulier concernant les mesures d’audience n’est pas prise en compte.

Néanmoins, Axeptio étant toujours en discussion active avec la CNIL afin de s’améliorer en permanence et de respecter au mieux les évolutions apportées, il est fort à parier que ce point se verra corrigé tôt ou tard.
Pour toutes ses qualités, Data Legal Drive a d’ailleurs choisit d’utiliser cet outil sur son site internet.

  • Cookiebot : techniquement irréprochable, graphiquement à améliorer

Une fois la première visite sur le site effectuée, l’accès au gestionnaire n’est pas aisé.

Contrairement à Axeptio qui permet de laisser un bouton d’accès au gestionnaire de cookies en permanence à un endroit précis de la page web, tel n’est pas le cas de Cookiebot qui, sur son site, fait apparaître le gestionnaire une seule fois avant de disparaître dès la seconde visite depuis le même navigateur.

Les informations spécifiques à chaque cookie sont transmises par l’intermédiaire d’un tableau, efficace de par ses fonctionnalités et complet en termes d’informations. Il repose toutefois sur une structure qui manque d’un visuel graphique et ergonomique.

De même, la personnalisation des options semble très sommaire.

La section « A propos des cookies » permet de modifier et personnaliser le texte à sa guise afin d’insérer tous les éléments utiles à la poursuite de sa mise en conformité, passant par l’information claire et précise des utilisateurs du site.

Pour conclure, ce gestionnaire a une force technique importante en se conformant de près aux attentes de la CNIL. Toutefois, il est à noter que Cookiebot ne semble pas encore avoir réfléchi aux difficultés pratiques liées à l’exception du recueil de consentement concernant les mesures d’audience.

  • Tarteaucitron : une recette à améliorer, selon les ingrédients de la CNIL

Ce gestionnaire est développé sous une licence libre, qui permet à tout contributeur de développer l’outil. Si la tâche est très intéressante, il est à noter qu’il n’y a pas assez d’informations transmises liées par exemple aux partenaires ou à la durée de validité des cookies. Les connaissances juridiques et notamment au RGPD ne semblent pas assez précises pour être serein vis-à-vis de son obligation d’information claire.

Le design, qui bien qu’accessoire, constitue une part non négligeable de la vitrine d’un site web et inspire la confiance aux visiteurs, n’est pas extrêmement travaillé.

Tout comme Cookiebot, le site ne démontre pas que l’accès au gestionnaire des cookies est facile, ne répondant ainsi pas à une des premières exigences de la CNIL.

Cela étant, les cases – dans le cas où elles sont effectivement fonctionnelles – sont conformes en permettant d’accepter ou de refuser l’ensemble des cookies ; ou encore de faire le choix de les accepter ou de les refuser un à un.