Dernièrement, je réalise plusieurs mandats qui, à mon grand bonheur, incluent la gestion des renseignements personnels, surtout depuis l’adoption de la loi 25.
La nouvelle loi sur les renseignements personnels motive les entreprises à se prendre en main. Un des enjeux qui revient est la gestion des sites web, des cookies, des journaux d’événements, et de l’accès à ceux-ci.
La gestion des cookies est un enjeu “désagréable”pour les responsables de sites web.
L’objectif de la loi souhaite garantir une gestion transparente et sécuritaire des renseignements personnels des utilisateurs, ce qui inclut bien sur les informations recueillies par les cookies.
Entrée en vigueur en septembre 2022, cette loi vise à protéger les renseignements personnels des citoyens québécois. Elle s’applique à toute organisation qui collecte, utilise ou communique des renseignements personnels, y compris les cookies.
La loi québécoise sur la protection des renseignements personnels dans le secteur privé régule la collecte, l’utilisation et la divulgation des données personnelles par les entreprises opérant au Québec. Concernant la gestion des cookies, cette loi exige que les utilisateurs soient informés et consentent à la collecte de leurs données, ce qui inclut l’utilisation des cookies non essentiels.
Les types de cookies et leur rôle
Les cookies sont de petits fichiers texte que les sites web placent sur votre ordinateur ou appareil mobile lorsque vous les visitez. Ils permettent de stocker des informations sur votre navigation, vos préférences et vos interactions avec le site. Ils peuvent avoir différentes fonctions, et il est crucial de bien comprendre leurs différents types pour s’assurer d’être conforme aux lois en vigueur. Voici les principaux types de cookies :
- Cookies fonctionnels : Servent à améliorer la fonctionnalité d’un site web en mémorisant des choix que vous avez faits. Exemple : se souvenir de vos paramètres de personnalisation sur un site.
- Cookies de session: Stockés temporairement sur votre appareil et supprimés lorsque vous fermez votre navigateur. Utilisés pour maintenir l’état de la session d’un utilisateur pendant sa navigation sur un site web. Exemple : garder un panier d’achat actif pendant que vous naviguez sur un site de commerce en ligne.
- Cookies persistants : Stockés plus longtemps sur votre appareil, parfois pendant des mois ou des années. Utilisés pour enregistrer des informations telles que les préférences des utilisateurs et permettre un suivi à long terme. Exemple : se souvenir de vos préférences de langue sur le site.
- Cookies de performance : Collectent des informations sur la manière dont les utilisateurs interagissent avec un site web. Utilisés pour analyser les performances du site et améliorer l’expérience utilisateur. Exemple : suivre le nombre de visiteurs sur un site.
- Cookies de ciblage : Utilisés pour suivre le comportement des utilisateurs et afficher des publicités ciblées. Souvent associés à des tiers pour afficher des annonces personnalisées en fonction des intérêts des utilisateurs.
La loi québécoise et le RGPD
La loi québécoise, tout comme le RGPD d’Europe (Règlement général sur la protection des données), met l’accent sur l’importance d’informer clairement les utilisateurs sur les cookies utilisés et de recueillir leur consentement explicite.
Procédure idéale pour gérer les cookies sur votre site web
1. Obtenir le consentement des utilisateurs
Affichez une bannière informative dès que l’utilisateur arrive sur votre site web. Cette bannière doit :
- Indiquer clairement que le site utilise des cookies.
- Expliquer le but des cookies utilisés.
- Demander le consentement de l’utilisateur avant de déposer des cookies non essentiels.
La bannière peut proposer plusieurs options à l’utilisateur :
- Accepter tous les cookies
- Refuser tous les cookies non essentiels.
- Personnaliser ses choix en fonction des types de cookies.
N’oubliez pas que la bannière doit être suffisamment claire pour que le visiteur puise faire un consentement soit libre, éclairé et spécifique.
2. Fournir des informations claires et transparentes
Rédigez une politique de vie privé qui explique l’utilisation des cookies. Elle doit être accessible et compréhensible. Cette politique doit :
- Détailler les types de cookies utilisés sur votre site web.
- Expliquer les finalités de chaque type de cookie.
- Indiquer la durée de conservation des cookies.
- Fournir des informations sur les tiers qui ont accès aux cookies.
- Expliquer comment les utilisateurs peuvent gérer leurs préférences en matière de cookies.
- Mettre à jour régulièrement votre politique de cookies en cas de changements.
3. Offrir aux utilisateurs la possibilité de gérer leurs préférences
Proposez un outil de gestion des cookies qui permet aux utilisateurs de :
- Afficher la liste des cookies déposés sur leur appareil.
- Activer ou désactiver les cookies par type ou par catégorie.
- Supprimer les cookies qu’ils ne souhaitent pas conserver.
Faites en sorte que l’outil de gestion des cookies soit facile à utiliser et accessible.
4. Sécuriser les cookies
- Stockez les cookies de manière sécurisée (Avec option — Chiffré avec balise HttpOnly, Secure, SameSite, et expiration approprié)
- Limitez l’accès aux cookies aux personnes qui en ont besoin pour des raisons professionnelles.
5. Respecter les principes de protection des données personnelles
- Collectez les données de manière loyale et licite.
- Traitez les données de manière transparente et sécurisée.
- Respectez les droits des utilisateurs (accès, rectification, suppression, limitation du traitement, opposition, portabilité).
Tâches du responsable de site web
En tant que responsable de site web, vous devez :
- Informer et recueillir le consentement : Ayez une bannière de consentement claire pour les cookies non essentiels et une politique de confidentialité bien détaillée qui explique leur finalité.
- Minimiser la collecte : Appliquez le principe de minimisation des données en ne collectant que les informations nécessaires pour atteindre un objectif précis.
- Documenter et évaluer les risques : Mettez en place des mesures de contrôle pour protéger les renseignements personnels, telles que l’évaluation des risques liés aux cookies et aux journaux.
- Tenir un registre des activités de traitement : Tenez à jour une documentation précisant les types de cookies utilisés, les journaux créés, les entités qui ont accès aux données, ainsi que les mesures de sécurité en place.
- Politique de vie privé: s’assurer que celle-ci explique clairement les besoins et utilisations des cookies!
Être responsable de site web implique de garantir que la vie privée des utilisateurs soit respectée et que les pratiques soient conformes aux différentes lois en vigueur.
Résumé des solutions populaires de gestion des cookies :
Byscuit — https://www.byscuit.com/en/
- Géré par entreprise du Quebec.
- Gestion de bannière simplifié
Cookiebot CMP — https://www.cookiebot.com/
- Scanner automatique pour détecter cookies et traceurs.
- Blocage des cookies avant consentement.
- Bandeaux personnalisables et documentation des consentements.
TrustArc — https://trustarc.com/
- Conformité RGPD/CCPA.
- Analyse des cookies tiers et gestion avancée des consentements.
OneTrust — https://www.onetrust.com/
- Plateforme complète pour la personnalisation des bandeaux, gestion des consentements et conformité.
Cookie Script — https://cookie-script.com/
- Solution simple et intuitive.
- Mise à jour automatique des cookies et conformité internationale.
Axeptio — https://www.axept.io/
- Focalisé sur l’expérience utilisateur et conformité RGPD.
- Facile à intégrer.
CookieHub — https://www.cookiehub.com/
- Scanner automatique, déclaration des cookies, et options avancées de personnalisation via Google Tag Manager.
Solutions intégrées (ex. GoDaddy, Cloudflare, WordPress)
- Gestion intégrée avec personnalisation des bandeaux et outils de suivi tiers.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
