Que vous le réalisiez vous-même ou que vous confiiez cette tâche à une agence, votre site web doit répondre à certaines règles. Tout comme les CGU et les mentions légales sont obligatoires depuis 2004 (Loi pour la confiance dans l’espace numérique), le bandeau de cookies et la politique de protection des données personnelles doivent être présents sur votre site et facilement accessibles.

Petit tour d’horizon des bonnes pratiques à adopter pour un site qui inspire confiance aux visiteurs et pourraient vous éviter des complications.

L’incontournable qui saute aux yeux :
le bandeau de cookies

Le bandeau de cookies, c’est ce pop-up qui accueille le visiteur sur votre site. Il informe l’utilisateur des cookies utilisés sur votre site et surtout lui permet de refuser, d’accepter ou de choisir les cookies, à sa convenance.

Ce bandeau n’est optionnel que dans un seul et unique cas : lorsque que votre site n’utilise que des cookies techniques, c’est-à-dire qui ne collectent que des données essentielles au bon fonctionnement du site. Les visiteurs n’ont alors pas à consentir.

Dans tous les autres cas, le bandeau de cookies doit décrire les types de cookies utilisés, qui peuvent être regroupés par catégorie. Le bandeau de cookies doit proposer au visiteur, de manière claire, de refuser ou de choisir les cookies qu’il autorise. L’option « tout accepter » peut compléter ces propositions.

Le visiteur doit pouvoir choisir l’option qui lui convient de manière libre et éclairée.

Libre, cela veut dire que son choix n’est pas contraint ou influencé. Exit donc les boutons « Accepter » en vert et « refuser » en rouge, les liens « continuer sans accepter » en tout petit dans un coin alors que l’oeil est attiré, délibérément, vers le bouton vert.

Le choix éclairé, quant à lui, n’est possible que si le visiteur peut accéder facilement aux détails (nom, finalité) des cookies que vous lui proposez d’accepter. Autrement dit, qu’il a été suffisamment informé.

De même, le visiteur doit pouvoir retirer son consentement aussi facilement qu’il l’a donné. Pour cela, la politique de cookies peut expliquer comment gérer les cookies dans les paramètres du navigateur. Mieux encore, il est possible de laisser le bandeau de cookies accessible tout au long de la navigation.

Les boutons de votre bandeau de cookies devraient donc être neutres de ce type :

Ici, chaque option est présentée de manière identique. Le visiteur n’est pas influencé par une couleur comme le vert, qui incite à cliquer avant même d’avoir lu le texte. « Refuser » et « Choisir » peuvent être inversés, mais placer « Accepter » en tête des propositions peut être perçu comme une manière d’influencer le visiteur.

Cachez ces documents règlementaires
que je ne saurais voir

Il est question ici de la politique de cookies et de la politique de protection des données personnelles (très souvent appelée, à tort, « politique de confidentialité »).

Ces documents doivent obligatoirement être accessibles sur votre site internet depuis l’entrée en vigueur de la directive e-Privacy de 2002. Le RGPD a intégré ce principe et précisé les modalités d’un consentement recevable.

Vous pensez que personne ne consultera ces documents ? Au moins une personne pourrait les chercher : un agent de la CNIL effectuant des contrôles de sites internet. En cas de non-conformité, votre site pourrait être fermé le temps de la mise en conformité, surtout s’il s’agit d’un site de e-commerce.

Alors, que doit-on trouver dans ces politiques ?

La politique de cookies

Ce document doit informer en détails l’utilisateur sur les cookies utilisés et comment il peut s’y opposer. C’est en somme la forme développée du bandeau de cookies.

On doit y trouver les coordonnées du responsable du site, la liste des cookies utilisés, quelles sont leurs finalités (techniques, mesure d’audience, publicitaires…) et sur quelle base sont collectées les données (intérêt légitime, consentement…).

Cette politique doit également expliquer comment retirer son consentement, lorsque cela est applicable.

La politique de protection des données personnelles

Pour ce qui est de la politique de la protection des données personnelles, le fonds est normé, la forme est à votre appréciation.

Votre politique doit préciser :

• qui est le responsable de traitement du site (votre entreprise en l’occurence),
• quelles données sont collectées,
• pour quelle finalité et
• sur quelle base légale,
• les accès à ces données (n’oubliez pas les serveurs d’hébergement, l’application de prise de rendez-vous, les commentaires, les modules de paiement en ligne…),
• les durées de conservation de ces données,
• les éventuels transferts de données hors UE,
• les droits des personnes et les moyens d’exercer ceux-ci,
• la possibilité d’introduire une réclamation à la CNIL.

Il s’agit en fait d’une information RGPD appliquée à votre site.

Cette politique est parfois intégrée dans une politique de confidentialité plus large, ou dans les mentions légales. Attention à ce que l’information ne soit pas noyée dans un texte incompréhensible, ce qui est contraire à l’obligation de délivrer une information accessible et compréhensible

En conclusion

Rédiger ces documents semble pénible au premier abord, d’autant plus lorsque l’on n’en comprend ni l’utilité ni la portée.

Souvenez-vous que mettre en ligne des documents règlementaires juste pour « cocher la case » ne vous protègera pas en cas de contrôle ou de plainte.

A contrario, le soin que vous mettrez à proposer un document accessible et cohérent témoignera de votre sérieux auprès de vos visiteurs et contribuera ainsi à les encourager à poursuivre sur votre site.

Maîtriser cette documentation est encore plus important si vous fournissez des prestations de sites web. Vendre un site conforme à un client représente une plus-value pour celui-ci et constitue un élément différenciant pour votre offre.

Si vous éprouvez des difficultés, n’hésitez pas à vous faire accompagner par un professionnel. A chacun son métier

Les conseils d’ALLIER PRIVACY

Identifiez les cookies présents sur votre site. Pour cela, vous pouvez utiliser CookieViz, l’outil gratuit de la CNIL, ou un scanner de cookies. Conservez le rapport d’analyse pour configurer le bandeau de cookies et compléter vos documents règlementaires.

Si votre site est créé et/ou géré par une agence, demandez la liste de vos cookies. N’oubliez pas que vous êtes responsable de sa conformité.

Soyez vigileants sur les données personnelles vous concernant qui sont demandées pour accéder aux services des scanners de cookies. Privilégiez les solutions françaises ou européennes.

Analysez les fonctionnalités des cookies présents sur votre site. Quel intérêt pour un site vitrine de disposer de cookies publicitaires ou de mesures d’audience poussées ? Réduisez le nombre et les fonctions de vos cookies au strict nécessaire. Cela présente aussi l’avantage de simplifier la gestion de votre site et de contribuer à la sobriété énergétique.

Si vous avez besoin d’analyses d’audience fines, il existe des solutions conformes RGPD préconisées par la CNIL. Google Analytics est fortement déconseillé.

Vous avez maintenant toutes les cartes en main pour mettre votre site en conformité. Commencez par la configuration du bandeau de cookies, en vous appuyant sur le rapport d’analyse. Certaines solutions permettent de personnaliser le bandeau aux couleurs de votre entreprise, d’y ajouter votre logo et de le rendre plus convivial.

Pour vérifier que votre bandeau fonctionne correctement, vous pouvez consulter votre site en navigation privée.

Il ne vous reste plus qu’à compléter vos politiques de cookies et de protection des données personnelles avec les informations que vous avez réunies et à les mettre en ligne. Positionnez les liens correspondants en tête ou en pied de page. Ils seront ainsi accessibles sur chacune des pages du site.