Le consentement de l’utilisateur, sous tous ses aspects, est le pivot central de la checklist. Pour que le consentement de l’utilisateur soit valable, il doit répondre à plusieurs conditions cumulatives, à savoir être:
- Préalable
Avant de déposer des cookies sur le terminal de l’utilisateur, il faut avoir obtenu le consentement de celui-ci et qu’il ait été informé clairement et simplement de l’utilisation des cookies, des différentes catégories de cookies et de leur fonction (par exemple, les cookies visant à obtenir les informations sur les pages visitées par l’utilisateur).
Ce n’est que lorsque les cookies sont strictement nécessaires pour fournir un service que l’utilisateur a expressément sollicité (par exemple, les cookies utilisés pour maintenir les articles qu’un utilisateur a ajouté dans son panier électronique) ou pour réaliser l’envoi d’une communication via un réseau de communications électroniques (par exemple, les cookies utilisés pour répartir équitablement les charges entre les différents serveurs) que le dépôt des cookies peut être effectué sans le consentement préalable de l’utilisateur. En dehors de ces deux exceptions, le consentement avant le dépôt des cookies est la règle absolue. - Donné librement
L’utilisateur doit être libre d’accepter ou de refuser le dépôt des cookies (à l’exception de ceux qui sont strictement nécessaires) sans être soumis à aucune pression ou contrainte en raison de son choix.
Les pratiques telles que la mise en place d’un "cookie wall" subordonnant l’accès au site à l’acceptation des cookies par l’utilisateur, l’utilisation d’une bannière de consentement qui contient uniquement un bouton "accepter tous les cookies" à défaut d’un bouton "refuser tous les cookies", ainsi que le recours à des couleurs contrastées pour encourager l’acceptation des cookies, sont des pratiques qui doivent être proscrites. - Spécifique
Pour que le consentement de l’utilisateur soit spécifique, il faut lui permettre de ventiler son consentement en fonction des finalités poursuivies par les différentes catégories de cookies (analytiques, fonctionnels, publicitaires, etc.) mais il faut également lui permettre d’accepter ou de refuser les cookies déposés par des partenaires spécifiques, tels que les entreprises publicitaires ou les réseaux sociaux.
Ces informations ne doivent pas nécessairement être fournies dès la première bannière de consentement relative aux cookies mais doivent en tout cas figurer dans la seconde bannière de consentement.
En outre, il faut être attentif à bien délimiter les différentes catégories de cookies, notamment en distinguant les cookies utilisés à des fins de publicité/profilage pour les propres besoins du responsable du site, de ceux utilisés pour les besoins de tiers.
À titre d’exemple, les cookies utilisés par le responsable du site web pour connaître l’historique d’achats de l’utilisateur afin de lui recommander des produits similaires sur son propre site doivent être distingués des cookies utilisés par les partenaires publicitaires visant à récolter les préférences de l’utilisateur pour lui proposer des annonces personnalisées sur d’autres sites web. Dans ce cas de figure, l’utilisateur doit avoir la possibilité soit d’accepter le profilage du site et du partenaire, soit d’accepter le profilage du site mais pas du partenaire et inversement, soit de refuser le profilage du site et du partenaire. - Éclairé
Le consentement est éclairé lorsque l’utilisateur est pleinement informé, dès la première bannière de consentement, des différentes finalités poursuivies par les différentes catégories de cookies, de l’identité du responsable, de la façon d’accepter ou de refuser les cookies, des conséquences qu’entraînent l’acceptation ou le refus ainsi que de la possibilité de retirer le consentement et du procédé à utiliser à cette fin. Sur ce dernier point, l’APD rappelle que le consentement doit pouvoir être retiré aussi facilement qu’il a été donné.
À la seconde bannière de consentement, l’utilisateur doit pouvoir consulter la liste complète des cookies utilisés, classés par catégories, et connaître, pour chaque cookie individuellement, la finalité, la durée de conservation ainsi que les destinataires. - Univoque et actif
Le consentement de l’utilisateur doit résulter d’un acte positif de sa part (par exemple, l’utilisateur appuie sur un bouton ou coche une case).
Les pratiques consistant à déduire le consentement de l’utilisateur en raison de la poursuite de la navigation sur le site, ou l’utilisation de cases précochées pour obtenir le consentement ne sont pas conformes en raison de l’inactivité de l’utilisateur.
Enfin, et bien que le consentement soit l’élément central de la checklist publiée par l’APD, un aspect "responsabilité" est également souligné. L’APD insiste ainsi sur l’importance de conserver les informations démontrant l’évolution de la bannière consentement au fil du temps, ainsi que les versions antérieures, datées et numérotées, de la politique relative aux cookies.
Secteur
Avocat(s)