Mon site a‑t‑il vraiment besoin d’une bannière de consentement?
C’est une question qui revient souvent.
La réponse courte est oui, dans la majorité des cas.
Cookie — Photo by A S on Unsplash
Quand avoir une bannière?
Dès qu’un site web collecte des renseignements personnels de visiteurs québécois, la Loi 25 s’applique. Peu importe la taille du site ou l’endroit où l’entreprise est située. Dès qu’il y a collecte, il y a des obligations.
À quoi sert réellement une bannière de consentement
La bannière de consentement sert à obtenir le consentement avant de collecter des renseignements personnels!
Dès qu’un site utilise des cookies non essentiels, des outils d’analyse, du marketing ou certains formulaires, le consentement doit être clair et donné avant la collecte. Il ne peut pas être implicite ni présumé.
La règle de base à retenir
Sans réponse explicite de l’utilisateur, c’est non. Le silence équivaut à un refus.
Concrètement, les outils ne doivent pas s’activer tant que la personne n’a pas consenti. Pas après quelques secondes ou pendant que la bannière est affichée.
Dans bien des cas le problème est là. Une bannière est visible, mais les cookies sont quand même déposés dès la première visite ou après un refus!
Et les cookies essentiels?
Les cookies essentiels font exception lorsqu’ils sont strictement nécessaires au fonctionnement du site.
Ils peuvent être utilisés sans consentement, mais ils doivent être expliqués clairement dans la politique de confidentialité.
Par exemple, un cookie de session permettant de maintenir l’utilisateur connecté, un cookie de sécurité servant à prévenir les attaques CSRF, un cookie lié à l’équilibrage de charge ou un cookie pour la langue choisie.
Ces cookies ne servent pas à analyser le comportement ni à faire du marketing, mais uniquement à assurer le bon fonctionnement technique du site.
À quoi ressemble une bannière conforme
Une bannière conforme ne se limite pas à un bouton « Accepter tous ». Elle doit offrir un choix réel dès le premier niveau d’interaction.
Une bannière qui propose uniquement « Accepter tous » avec une option « Personnaliser » obligeant l’utilisateur à cliquer plusieurs fois pour refuser n’est généralement pas considérée comme équivalente à un vrai refus.
Le refus doit être aussi simple et accessible que l’acceptation.
L’utilisateur ne devrait pas avoir à parcourir plusieurs écrans ou à décocher manuellement chaque catégorie pour exercer son droit de refus.
Le choix devrait aussi pouvoir être modifié en tout temps via un lien, habituellement en pied de page.
J’aime bien la page de design.quebec.ca à ce propos.
Cas concrets pour bien comprendre
Exemple 1 : formulaire « contactez‑moi » sans suivi
Le site est informationnel. Aucun cookie non essentiel. Aucun outil de statistiques. Aucun pixel marketing.
Le formulaire demande un nom, une adresse courriel et un message. Lorsque l’utilisateur le remplis, son consentement à la collecte est impliqué dans le fait de fournir lui-même ses renseignements.
Dans ce cas, la bannière n’est pas obligatoire. mais le formulaire collecte des renseignements personnels malgré tout.
Il est recommandé d’avoir un consentement directement dans le formulaire, avec une mention “Votre adresse courriel est utilisée uniquement pour répondre à votre demande. Voir notre Politique de confidentialité.”
Exemple 2 : formulaire avec Google Analytics actif
Le formulaire est identique. Par contre, un outil de statistiques est activé sur le site.
Ici, la collecte commence avant toute action de l’utilisateur. Le consentement ne peut plus être donné uniquement dans le formulaire.
Dans ce scénario, une bannière de consentement devient obligatoire pour permettre à l’utilisateur d’accepter ou de refuser la collecte avant que les outils ne s’activent.
Exemple 3 : formulaire réellement anonyme
Le site permet de soumettre un commentaire sans nom, sans courriel, sans compte et sans conservation d’adresse IP. Aucun outil de suivi n’est présent.
Dans ce cas précis, il n’y a pas de renseignement personnel collecté. Aucun consentement n’est requis et aucune bannière n’est nécessaire.
Exemple 4 : journaux d’évènements et adresses IP
Le site ne fait pas de marketing. Aucun cookie non essentiel. Aucun outil de statistiques externe.
Par contre, le site conserve des journaux d’évènements techniques contenant les adresses IP des visiteurs, par exemple pour la sécurité, la détection d’erreurs ou la prévention d’abus.
L’adresse IP est un renseignement personnel. Il y a donc bien collecte.
Dans ce cas, une bannière de consentement n’est généralement pas requise si la collecte est strictement nécessaire au fonctionnement, à la sécurité ou à l’intégrité du site.
Par contre, cette collecte doit être clairement expliquée dans la politique de confidentialité : finalité des journaux, durée de conservation et mesures de protection. Même sans bannière, vous devez :
- expliquer clairement dans la politique que des IP sont journalisées
- préciser pourquoi
- indiquer combien de temps elles sont conservées
- limiter leur usage strictement à cet objectif
Si ces journaux sont utilisés à des fins d’analyse, de profilage ou de corrélation avec d’autres données, le site sort de ce cadre. La bannière devient alors nécessaire.
Quand la bannière devient inévitable
Dès qu’un outil de statistiques, un pixel marketing ou des cookies non essentiels sont ajoutés, le site sort de ce scénario. La bannière devient alors nécessaire.
Ce qu’il faut retenir
En pratique, la conformité ne repose pas sur une phrase dans une politique. Elle repose sur des mécanismes concrets qui fonctionnent réellement pour les formulaires, la bannière, la politique de confidentialité et la configuration des outils techniques.
Si vous n’êtes pas certain de ce que votre site collecte, quand ça collecte et comment le consentement est obtenu, il y a de fortes chances que le problème ne soit pas juridique, mais opérationnel.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur les sujets liés à la sécurité de l’information et à la vie privée et à vérifier votre site web gratuitement sur loi25.certi360.com