Cookies : mise en conformité de votre site web

Vous ne l'avez sans doute pas raté : le bandeau vous demandant d'accepter ou de refuser les cookies lorsque vous visitez un site Internet. Cela commence à fleurir sur tous les gros sites français et pour cause, c'est une directive de la CNIL qu'il est conseillée de mettre en place.
Alerter les visiteurs sur les cookies
Afin de protéger la vie privée des internautes, la CNIL demande aux wembasters d'alerter les visiteurs sur l'utilisation des cookies. Je ne vais pas tout vous expliquer en détail, la CNIL le fait déjà très bien : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/bandeau-cookie/.
Cela concerne bien évidemment les sites web mais également les applications mobiles qui suivent les statistiques de visite. Les cookies liés à la connexion à un espace-membre ou à un panier sur un site e-commerce ne sont pas concernés.
Comment savoir si mon site est concerné ?
C'est très simple. Dès lors que vous utilisez un outil de statistisques (Google, Xiti, Piwik, etc.), l'affichage de publicité (Adwords, etc.) ou les boutons des réseaux sociaux, vous êtes concernés. Tous ces outils déposent un cookie sur l'ordinateur du visiteur.
A ce propos, la CNIL fournit un tutoriel pour régler correctement les cookies et notamment leur durée de vie qui doit être de 13 mois maximum. Charge à chacun d'effectuer les modifications nécessaires en suivant les explications sur la page suivante : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/.
Comment mettre en place le message ?
Une fois n'est pas coutume, Google propose un script très simple à mettre en place. Pour le télécharger, il vous suffit de vous rendre sur cette page : http://www.cookiechoices.org/. Dans mon cas, j'ai préféré développer une solution maison pour me passer d'utiliser un javascript sur les sites des clients utilisant Google Analytics.
Une fois installé et paramétré (position, couleur du bandeau et du texte, texte d'avertissement), vous devez créer une page explicative quand au fonctionnement des cookies et aider les internautes à effectuer les réglages s'ils souhaitent activer ou bloquer les cookies. Cette page sera bien évidemment cliquable depuis le bandeau.
La CNIL a annoncé qu'elle commencera à effectuer des contrôles à partir d'octobre 2014. Comme d'habitude, elle commencera par envoyer un simple courrier avant de vous mettre à l'amende si vous n’obtempérez pas. D'ailleurs, pensez à vous assurer que vous disposez d'une page Mentions légales et que celle-ci affiche toutes les informations obligatoires.
Il existe tellement de sites web professionnels qui n'ont pas de mentions légales que la CNIL a encore beaucoup de boulot. Normalement, du temps devrait s'écouler avant que votre site ne soit contrôlé. Toutefois, autant se mettre en conformité avant la date requise pour éviter d'avoir à le faire en urgence.
Quid des boutons des réseaux sociaux ?
Si vous souhaitez donner la possibilité à vos visiteurs de partager vos contenus, les boutons des réseaux sociaux sont prévus à cet effet. Toutefois, ils sont accompagnés de cookies et dans ce cas précis, il faut l'accord express des visiteurs pour les afficher. La CNIL propose une solution basée sur l'utilisation de Social Share Privacy. Si vous êtes réfractaire à ce genre d'outil, préférez une solution home made.
Édit du 14/09/2014 : Visiblement avec Piwik, l'affichage d'un bandeau n'est pas obligatoire. Pour cela, il suffit de respecter les points suivants :
- Insérer une fonction dans le tag de suivi pour créer un cookie dont la durée de vie maximale est de 13 mois
- Dans l'administration de Piwik, aller dans Paramètres > Vie privée. Il faut Rendre les IP anonymes sur 2 bytes et activer la prise en charge de "Ne pas suivre"
- Donner la possibilité aux visiteurs de déposer un cookie d'exclusion pour ne pas être suivis
L'image des cookies est une photo sous licence CC BY NC SA d'Anne
6 réflexions sur ce billet

Ça me fait penser aux CGU aussi. Beaucoup de sites ont modifié leurs conditions d'utilisation, par exemple en demandant l'autorisation AVANT de faire un lien. Ça c'est depuis Google Penguin et les risques de NSEO. C'est le genre de pages que personne ne lit mais qu'il faudrait rendre visible à l'arrivée sur le site pour être un minimum sûr que les internautes en ont pris connaissance.

Le 08/09/2014 à 11h12
Perso je trouve ça juste insupportable en tant que visiteur d'avoir tous ces bandeaux, ça nuit tellement à la navigation !

Le 08/09/2014 à 12h21
J'en ai vraiment marre de leurs règles à la bip, ils ont que ça a faire.
Quand je rentre dans un magasin, on ne me dit pas :
- Les détecteurs à l'entrée compte le nombre de visites,
- Les caméra dans le magasin enregistrent vos déplacements afin afin d’étudier votre comportement,
- Les produits mis en valeurs sont ceux sur lesquels nous faisons le plus de marge,
- Les bons de réduction offerts servent de statistiques sur l'utilisation de produits de nos fournisseurs,
- Attention manger sucrer, bla bla,
- Attention les jeux d'argent blabla,
- Attention les produits de nettoyage domestiques détruisent la planète,
- Attention les produits surgelés contiennent des traces de ... et de l'huile de palme qui contribue à la déforestation.
Pourtant tout cela doit être bien affiché, voir préalablement accepté pour un site internet. Mais qu'ils arrêtent un peu. En plus TOUS les sites utilisent des cookies, alors à quoi bon le dire ?
C'est comme dire attention en buvant de l'eau vous irez uriner.
Bon j'arrête, je suis en train de feeder les trolls qui font des lois pour le plaisir de faire des lois. En tout cas, pas de ces javascripts sur mes sites.

Le 13/09/2014 à 10h24
En fait en utilisant Piwik, il est possible de se passer de ce bandeau (que je trouve moche et intrusif également). En lisant la doc de la CNIL, toutes les infos sont disponibles pour effectuer les paramètres nécessaires et c'est tout bon.

Le 14/09/2014 à 17h26
En pratique, ça va être rigolo. Quand je vois le nombre de sites (22k réponses Google) qui ont dans leurs "mentions légales" la phrase "Le responsable publication est une personne physique ou une personne morale" (au hasard).
Ce qui ne veut rien dire, puisque c'est un cas ou l'autre; il y a du boulot avant que tout le monde ai juste l'air à peu près conforme.

Le 14/09/2014 à 18h45
@Sylvain : si la CNIL avait les moyens en personnel de faire appliquer ses recommandations, elle serait plus riche que la Banque de France. :-)
A mon avis, il ne doit pas y avoir beaucoup de contrôles. Comme il y a un peu d'agences, soi-disant spécialistes du web, qui appliquent la réglementation.
La création de site Internet sur mesure est le coeur de métier de l'agence web Infini'click.
D'autres prestations sont également proposées, découvrez-les !
- Tutoriel : installer un serveur Debian (wheezy)
- Tutoriel : Installer un certificat SSL
- Piwik : monitorez tous vos sites discrètement
- Tutoriel Paypal : Intégration et configuration du paiement en ligne
- Tutoriel PayPlug : intégration au panier d'achat
- Référencement des images : l'état de l'art
- Des onglets en CSS avec JQuery
- Gildas le 04/03/2022 à 18:00
Nop j'ai que le require('fpdf.php) ; Mais pas... - Hervé le 04/03/2022 à 17:58
Gildas Tu n'appelles pas de fichier externe via un... - Gildas le 04/03/2022 à 17:50
merci de ton retour rapide, effectivement dans ma... - Hervé le 04/03/2022 à 17:45
Bonjour Gildas Effectivement, 8 ans ça fait un bail.... - Gildas le 04/03/2022 à 17:37
Bonjour Hervé, Bon j'arrive 8 ans après la... - Olivier le 16/01/2022 à 23:09
C'est clair que les actions réalisées ne correspondent...