Ils portent le nom d’une friandise, pourtant ils ne sont pas aimés de tous, les cookies font l’objet, pour la plupart, d’une demande de consentement, matérialisée par ce qu’on appelle communément le “bandeau cookie”.
Quasi tous les sites web en sont dotés et pourtant toutes les conditions ne sont pas forcément satisfaites pour être aux normes.
Comment avoir un bandeau cookie “RGPD compliant” ? Quels sont les critères à respecter ? Quels sont les cas particuliers ? On fait le point.
Yaka prendre un plugin
En tant qu’agence WordPress, notre démarche a été naturellement de se tourner vers les ressources de la communauté pour sélectionner un plugin à proposer à nos clients pour se mettre en conformité.
Il y a énormément de plugins candidats pour cette fonctionnalité. Nous avons donc décidé de faire un benchmark. Il a été réalisé par le département de Be API qui est chargé des opérations de “RUN” = l’équipe qui réalise toutes les prestations d’accompagnement des sites qui sont en ligne, y compris les prestations de maintenance.
Comment choisir ce plugin : quels critères de sélection ?
Comme l’objectif est d’être conforme aux exigences du RGPD, commençons par lister les critères à respecter. Pour être exhaustif, il y a la page Cookies et traceurs : que dit la loi ? de la CNIL.
En résumé, le plugin et le bandeau cookie qu’il va générer doivent :
1 – Informer les utilisateurs : informations claires et spécifiques sur les cookies qui sont utilisés, sur les données qui sont traitées, par qui et dans quels buts.
2 – Obtenir un consentement préalable avant de configurer les cookies sur le site.
3 – Documenter le consentement, gardez un registre de tous les consentements reçus comme preuve en cas de contrôle.
4 – Donner la possibilité à l’utilisateur de changer d’avis : Possibilité de voir et de modifier son choix sur les cookies.
5 – Durée de validité des cookies : la durée de validité de ce consentement est de 13 mois maximum.
Précision sur le critère N°5 – Ce critère n’est pas nécessairement géré au travers de votre plugin de cookies, mais parfois directement avec l’émetteur de chaque cookie.
Il faut donc trouver un plugin qui permettra de respecter ces règles (c’est le minimum) mais qui présente aussi des qualités ergonomiques et techniques comme :
- La simplicité de mise en oeuvre
- La possibilité de fonctionner avec du cache statique
- La possibilité de fonctionner en multisite / multilingue
- La compatibilité avec les principaux plugins utilisés pour les projets
- La qualité du code source
- Une bonne qualité du support/assistance en cas de besoin.
Comme quoi, choisir un plugin n’est pas nécessairement simple. D’autant plus que l’offre de plugins pour cette fonctionnalité était vraiment très inégale. Il est vrai que ce benchmark date du début de l’année 2020 donc les positions ont peut-être évoluées depuis.
Il faut bien faire un choix.
Be API & GDPR Cookies Consent
Nous avons choisi GDPR Cookies Consent qui est un plugin proposé par WebToffee qui propose pas mal de plugins WordPress et d’extensions pour WooCommerce.
- GDPR Cookies Consent permet de scanner le site pour faire la liste des cookies qui y sont présents
- On peut gérer l’organisation de ces cookies en catégorie
- Le bandeau cookie peut être personnalisé graphiquement pour être adapté au design du site
- Les contenus texte du bandeau cookie sont administrables
- Bouton de réédition du bandeau cookie, pour “changer d’avis”
- Il y a des shortcodes pour afficher la liste des cookies par catégorie dans votre page “Politique de protection des données personnelles”
Il y a quelques limites tout de même, le scan des cookies n’est pas très profond dans le site. Certains cookies qui sont présents sur des pages profondes du site n’apparaissent pas dans la liste. Une vérification est donc nécessaire. Le service de support de GDPR Cookies Consent est informé de cette limitation.
Actuellement, nous devons avoir une trentaine de sites qui utilisent cette extension avec différentes configurations (mono site / multi site, multilingue, et différentes combinaisons de plugins). Pas de blocage ou d’incompatibilité à ce stade.
Documentations pour cette solution
Le département RUN/Maintenance de Be API a fait une documentation à destination des développeurs pour qu’ils réalisent un paramétrage de base cohérent du plugin sur les plateformes web de nos clients.
Le département RUN a aussi fait une documentation pour les clients afin de les aider à compléter le paramétrage du plugin en fonction de leur politique de protection des données personnelles.
L’objectif de cette documentation est aussi de « redonner la main » au client car il doit s’impliquer et participer, après tout il s’agit de respecter une réglementation et l’éditeur du site est en première ligne en termes de responsabilité.
De votre côté, quelle que soit la solution que vous utilisez, prenez le temps de bien configurer votre bandeau cookie. Mobilisez votre DPO, votre service juridique (si vous avez ces ressources en interne) pour faire valider le contenu du bandeau cookies. Il y a des aides et des conseils pratiques sur le site de la CNIL : Cookies et traceurs : comment mettre mon site web en conformité ?
Évidemment, votre agence web peut vous accompagner et vous conseiller dans cette tâche.
Autres solutions utilisées par Be API
Nous avons aussi eu l’occasion de mettre en place d’autres solutions pour d’autres clients de l’agence :
- “Tarte au citron” évidemment.
- Onetrust ou Didomi : solutions en SAAS qui permettent au client de générer de manière autonome des bandeaux cookie. Chaque bandeau cookie est ensuite implanté sur un site au travers d’un script.
Une fois que le bandeau cookie est en place sur le site
Vérifier régulièrement
Il faut rester vigilant, faites un point périodique sur la liste des cookies de votre site. Si vous ajoutez des fonctionnalités à votre site, la liste des cookies peut changer.
Conserver les consentements
Conserver les consentements donnés par les internautes. Si vous pensez qu’il y a un risque avec votre site, il faut prévoir une procédure de sauvegarde périodique des consentements qui sont enregistrés sur votre site.
Et là, mon site est conforme au RGPD ?
Pour la question du bandeau cookie, oui. Mais la conformité au RGPD est une question qui est plus large que cela.
Si vous utilisez Google Analytics pour mesurer l’audience et le trafic de votre site, sachez que vous devez effectuer des réglages et paramétrages de votre compte Google Analytics pour être conforme au RGPD. Voir notre article dédié à ce sujet.
Et de manière plus large, à chaque fois qu’un fichier de données personnelles est présent sur le site, il y a des questions RGPD à traiter : abonnés à la newsletter, répondants à un formulaire, internaute ayant créé un compte, client d’un site e-commerce, etc.
Pour nous, d’autres articles en perspective à écrire et à partager avec vous sur ces sujets.