Il est désormais commun de voir apparaître des bandeaux cookies lors d’une visite sur un site internet. Mais ces bandeaux ne sont pas toujours bien pensés et vont jusqu’à tromper volontairement le visiteur. Nous verrons quelles sont les mauvaises pratiques et comment réaliser une bannière correcte et surtout légale.
Un cookie est un fichier texte envoyé sur votre terminal (ordinateur, téléphone, …) lorsque vous consultez un site.
Ce fichier peut renvoyer ensuite des informations sur vos préférences système (langue, données de connexion, …), votre parcours sur le site, les pages consultées et bien d’autres.
Ces cookies servent notament à proposer une expérience UX plus performante en se servant des données de l’utilisateur pour rendre sa navigation et l’utilisation des fonctionnalités sur le site ou l’application plus rapide. Ils serviront par exemple à éviter que l’utilisateur ait besoin de retaper en permanence ses informations d’authentification ou son panier d’achat sur un site e-commerce.
En revanche, les cookies marketing sont eux beaucoup plus décriés car ils vont analyser l’ensemble des informations consulté par l’utilisateur, en dehors du site, pour vous proposer ensuite des publicités ciblées par exemple.
Il existe 2 méthodes pour obtenir le consentement des cookies :
Les méthodes opt-in et l’opt-out.
La première consiste à demander l’accord de l’utilisateur par l’intermédiaire d’une bannière en cliquant sur un bouton accepter. Tant que cette autorisation n’est pas donnée, les cookies non-essentiels ne seront pas installés.
La bannière doit être constituée d’un texte explicatif sur ce qu’est un cookie et quels types de cookies seront installés. Des boutons pour accepter ou refuser doivent obligatoirement y figurer. Ils doivent être de la même taille et être bien visible. Enfin, il est également possible de choisir les cookies que l’on souhaite ou non installer.
L’opt-out est implicite car les cookies sont déjà installés. Un message d’information sur l’utilisation des cookies est affiché mais c’est à l’utilisateur de désactiver les cookies s’il le souhaite.
La méthode opt-out n’est plus utilisée en France et en Europe car moins respectueuse de la vie privée des visiteurs étant donné qu’elle force la main à l’utilisateur et qu’elle ne respecte pas le principe de consentement préalable.
En France et dans de nombreux pays, il est maintenant obligatoire d’informer le visiteur sur l’utilisation de ses données personnelles et d’obtenir son consentement pour installer des cookies dit non-essentiels.
Une entreprise utilisant les données récupérées par ses cookies sans consentement de l’utilisateur, ou sans l’avoir averti, s’expose à des sanctions pour violation des lois sur la protection des données et s’expose à des amendes. Dans l’Union Européenne, c’est le Règlement Général sur la Protection des Données (RGPD) qui encadre le traitement des données personnel.
- Cookies non-essentiels
-
Tous les cookies qui ne sont pas essentiels au bon fonctionnement du site ou de l’application. Sont compris dans les cookies non-essentiels, les cookies de performance et d’analyse, de marketing, de fonctionnalité et de réseaux sociaux.
Certaines entreprises, pour récupérer davantage de données sur ses utilisateurs, vont modifier le design de la bannière de manière à tromper le visiteur.
Des boutons pour refuser les cookies se retrouvent ainsi grisés comme si le bouton était désactivé et qu’il n’était pas possible de cliquer dessus. Ce genre de pratique met davantage en avant le bouton accepter.
D’autres boutons couramment utiliser pour continuer la navigation sans accepter les cookies sont cachés dans la pop-up de différentes manières :
- Écrit plus petit que le reste du contenu.
- D’une couleur particulière empêchant un contraste suffisant pour le voir du premier coup d’œil.
- Positionné en haut de la bannière alors que le reste des boutons se trouve en bas de celle-ci de manière logique.
Nous retrouvons d’autres cas où le bouton pour refuser les cookies n’est pas au même niveau que celui pour accepter. Il est alors nécessaire de cliquer sur le lien pour gérer les préférences et se retrouver dans un autre écran où le bouton pour refuser les cookies se trouve.
Ce cheminement vient compliquer la navigation alors que nous sommes à peine sur le site. C’est une technique connue pour inciter le visiteur à cliquer sur accepter dès le premier écran : le décourager d’aller jusqu’au deuxième écran si le bouton pour refuser ne se trouve pas au même endroit.
Une autre technique trompeuse est de faire appel à l’intérêt légitime de l’exploitant du site en laissant cette case cochée.
Il est compréhensible de l’utiliser pour ajouter les cookies nécessaire afin que le site s’affiche correctement, mais il est difficilement justifiable quand il s’agit de cookies de tracking.
De plus, l’intérêt légitime ne peut pas constituer une base légale pour le dépôt de cookies. L’autorité de protection des données rappelle que « si le dépôt ou la lecture des cookies ne sont pas conformes à la directive ePrivacy, les traitements ultérieurs qui en découlent ne peuvent pas être conformes au RGPD. »
- Intérêt légitime
-
C’est la justification légale pour collecter et utiliser des données personnelles du visiteur sans le consentement explicite de l’utilisateur, dans la mesure où cela est justifié par des intérêts légitimes spécifiques de l’organisation ou d’un tiers.
Enfin, les cases pré-cochées ne constituent pas un consentement clair et recevable. C’est à l’utilisateur de cocher lui-même les cases.
Pour qu’une bannière cookies ne soit pas frustrante pour l’utilisateur il faut :
- Que le contenu de la bannière soit explicite et compréhensible par tous
- Que les boutons pour soient facilement identifiables tant par le label que par le style du bouton.
- Qu’un bouton pour refuser tous les cookies se trouve au même endroit que celui pour accepter.
- Qu’un bouton pour personnaliser vos préférences soit présent
Dans l’écran de gestion des préférences de consentement, les différents types de cookies doivent tous être cités, expliqués de manière claire et ne doivent pas être pré-cochés.
Chez Imagile, nous utilisons les solutions CookieYes et Tarteaucitron pour générer les bandeaux de cookies.
En plus d’être largement configurables de notre côté, le visiteur bénéficie d’une interface utilisateur intuitive et détaillée dans la personnalisation des consentements.
Les boutons sont logiques et placés de manière cohérente.
En mettant toutes ces pratiques en place, nous facilitons l’accès du visiteur au site et évitons ainsi de le frustrer au risque de le voir quitter le site aussi vite qu’il est arrivé.
Depuis quelques années, il est de plus en plus courant de voir apparaitre des Cookie Wall (mur de cookies) qui bloquent la navigation sur le site en vous forçant à choisir entre accepter les cookies publicitaires ou payer un abonnement d’un mois pour accéder aux contenus du site sans risque d’être épié.
Si de prime à bord, cela peut paraître abusif, il faut néanmoins savoir que certains sites, notamment informationnels, existent grâce aux revenus générés par la publicité.
Ce qui nous amène à repenser notre vision du web, se dire que tout n’est pas gratuit et qu’il est normal que les personnes travaillant sur des sites dont l’accès est gratuit (sites journalistiques en autres) soient payées d’une manière ou d’une autre.
La mise en place de système de consentement des cookies est obligatoire. Les bannières de cookies doivent être réalisées correctement et ne pas servir seulement les propres intérêts du site en trompant le visiteur.
Les politiques en matière de sécurisation des données personnelles continueront d’évoluer: se tenir informé de l’évolution des lois et adapter nos bannières aux nouvelles réglementations est donc primordial.