Privacy policy

1. About Us

1.1 The Controller

The following information is being provided to make you aware of the commitments on personal data protection made by Vincent Pontier, VALRHONA SAS with headquarters located at 12 Avenue PRESIDENT ROOSEVELT - 26600 TAIN L'HERMITAGE - France, which serves as the controller for processing the personal data cited herein, hereafter “the Controller” or “us.”

1.2 Our Data Protection Policy Manager

The Controller has appointed someone to oversee the data protection policy. You may contact this person by email at this address:

or by mail at the following address: Vincent Pontier, Valrhona, 315 allée des Bergerons, 26600 – Mercurol Veaunes Cedex – France.

The Data Protection Officer can be reached at

2. The personal data that we process1

1 Within the scope of processing personal data, the Controller collects and processes the following data:

- surname, first name, personal details of the candidates, country of establishment, name of establishment, nationality and age.

3. Purposes and legal grounds for processing data

3.1 Purposes for processing2

2 We process data for the following reasons:

  • - ensure the smooth running of the competition and its selections,

  • - the participation of candidates in the various tests,

  • - to ensure or have ensured the execution of the contractual commitments of the parties,

  • - implement the operations defined in this Regulation,

- ensure its respect, and/or respect any legal or regulatory obligations.

3.2 Legal grounds for processing3

3 We only perform data processing procedures when one of these conditions is met:

  • We have received your consent to process transactions,

  • There is a legitimate interest for us or a third party that warrants us processing the personal data in question,

  • The execution of a binding contract between us requires that we process the personal data in question,

  • We are bound by legal and regulatory obligations that require us to process the personal data in question.

3.3. Legitimate interests pursued4

4 Specifically, the legitimate interests that the Controller pursues may entail enabling the continuity of its business, improving the consumer experience, building consumer loyalty, and ascertaining consumer expectations.

4. Recipients of your data5

5 The personal data that we collect, as well as any that we collect at a later time, are intended for us in our capacity as the Controller.

6 We ensure that only authorized people can access these data. Our subcontractors and service providers may receive these data to execute the services they are entrusted by us.

7 Your personal data may be subject to a data merger, pooling or sharing between all the Controller’s parent/sister companies and affiliates.

8 They may be provided to these entities for the purposes cited in this policy notice. These transactions are conducted using tools that comply with applicable regulations and are designed to protect and uphold your rights.

5. Transfers of your data6

9 Within the scope of the services provided, we transfer your personal data to recipients who are located in the following countries:

  • France

  • United States

  • Italy

  • Spain

  • Germany

  • Switzerland

  • United Kingdom

  • Sweden

  • United Arab Emirates

  • Hong Kong

  • Singapore

  • China

  • Taiwan

  • South Korea

  • Australia

  • Japan

  • Morocco

10 These transfers are always under the supervision of legal tools that comply with the applicable legal framework.

6. Length of time we retain your data7

11 The lengths of time we retain your personal data are proportionate to the purposes for which they were collected. Consequently, our data retention policy is as follows:


Retention period

Organisation and conduct of the C3 competition.

Candidates' personal data are kept for a period which may not exceed the 5th anniversary of the date of termination of the contractual relationship, unless (1) the candidate exercises his right to delete data concerning him under the conditions described below or (2) a longer storage period is authorised or imposed by virtue of a legal or regulatory obligation.


13 months* from when they are installed on your device

For accounting purposes relating to a contract exceeding €120

10 years** (legal non-negotiable term) from when the contract is signed

When exercising a right to access, rectify, delete or restrict data relating to pieces of identification and information that invoke these rights

One year** from when the request is received

When exercising a right to contest data relating to pieces of identification and information that invoke this right to contest.

Six years* from when the request is received

7. Your rights8

7.1 Procedures for exercising your rights

12 You may exercise your rights

by sending an email to: or mailing a letter to: Service Client Valrhona, 315 allée des Bergerons - CS20040- 26600 MERCUROL-VEAUNES, France.

13 You may do this by clearly stating your first and last names, and the address where you wish to receive a reply.

14 In principle, you may exercise all of your rights at no cost to you. However, with respect to the right to access, you may be asked to pay reasonable processing fees for making copies of the data that you are requesting.

15 In terms of the right to information, the Controller is not obligated to satisfy your request if you are already in possession of the information you wish us to communicate9.

16 The Controller will inform you if it is unable to satisfy your request.

17 These rights are not unlimited and are subject to various terms by virtue of:

  • Local law applicable to personal data and privacy protection, and

  • The laws and regulations that apply to you.

18 The Controller wishes to inform you that the failure to provide or the modification of your data is likely to affect the processing of some requests made for the execution of contractual relations and that your request to exercise your rights will be retained for monitoring purposes for a period of six years in cases of the right to oppose and for one year in cases of exercising other rights.

19 See below for explanations of all the rights to which you are entitled.

7.2 Your right to information

20 You acknowledge that the information notice herein informs you of all the purposes, legal framework, interests, recipients or categories of recipients with whom your personal data are shared, and the possibility of the data being transferred to another country or international organization.

21 In addition to this information and for the purpose of ensuring the equitable and transparent processing of your data, you declare having received supplemental information pertaining to:

  • The length of time your personal data are retained,

  • The rights to which you are entitled and the procedures for exercising them.

22 If we choose to process data for purposes other than those listed here, you will receive all of the information relating to these new purposes10.

7.3 Your right to access and rectify your data

23 By exercising this right, it is confirmed to you that your personal data are or are not processed and, if they are, you have access to your data and information pertaining to:

  • The purposes for processing your data,

  • The categories of personal data in question,

  • The recipients or categories of recipients, in particular recipients operating in another country,

  • When possible, the planned time period for retaining personal data or, if not possible, the criteria used for determining this period,

  • The existence of a right to request that the Controller rectify or delete your personal data, a right to request a restriction on the processing of your personal data, a right to oppose this processing,

  • The right to file a claim with an oversight authority,

  • Information about the source of data if they are not directly collected from the people in question,

  • The existence of an automated decision-making process, including profiling and, in some cases, useful information about the underlying rationale, as well as the anticipated significance and consequences of this processing for the people in question.

24 Depending on the circumstances, you can request for your personal data to be rectified or supplemented if they are inaccurate, incomplete, unclear or outdated.

7.4 Your right to delete your data

25 You can ask us to delete your personal data if one of the following reasons applies:

  • The personal data are no longer required with regard to the purposes for which they were collected or were processed in a different manner,

  • You withdraw the consent you previously provided,

  • You oppose the processing of your personal data if there are no legal grounds for said processing,

  • The personal data are not processed in compliance with the law and applicable regulations,

  • Your personal data were collected when you were a minor.

26 Nevertheless, this right cannot be exercised if your personal data must be retained for legal or regulatory reasons, notably in cases to establish, exercise or defend rights in a court of law.

7.5 Your right to restrict the processing of data

27 You may request a restriction on the processing of your personal data as stipulated by the laws and regulations.

7.6 Your right to oppose data processing (opt out)

28 You have the right to oppose the processing of your personal data if the reason for processing is the Controller’s legitimate interest.

29 If you receive direct communications, this right may be exercised by any means, which specifically includes clicking on the opt out links on the bottom of the message received.

7.7 Your right to transfer your data

30 You have the right to transfer your personal data.

31 You may exercise this right for the following data:

  • Solely for your own personal data, which does not include anonymized personal data or data that does not pertain to you,

  • Declarative personal data and operating personal data,

  • Personal data that does not infringe upon the right and freedoms of others, such as data that are protected by professional secrecy.

32 This right is limited to consent-based or contract-related processing and to personal data that you personally generated.

33 This right does not include either derivative or inferred data, which are personal data created by the Controller.

7.8 Your right to withdraw consent11

34 When the data that we process is based on your consent, you may withdraw that consent at any time. We cease processing your personal data at that time, but any prior transactions to which you had consented are not treated retroactively.

7.9 Your right to submit an appeal12

35 You have the right to submit an appeal to the competent oversight authority, and this without prejudice to any other administrative or legal remedies.

7.10 Your right to set an advance directive

36 You have the option of setting advance directives to retain, delete and divulge your personal data after your death, and this to a trusted certified third party assigned to carry out the wishes of the deceased in compliance with the requirements of the applicable legal framework.


The personal data being requested of you are necessary for replying to any questions, providing additional information or having an advisor contact you.

These data are intended for the Controller Valrhona SAS and are based on Vincent Pontier's legitimate interest in order to provide customer relations.

For the same purposes, they may be shared with our sales, marketing, customer service departments and Ecole Valrhona as well as, where applicable, our subcontractors or partners.

They are retained for the time period prescribed by law.

You have a right to access, rectify, erase, oppose and transfer data that concerns you as well as a right to restrict processing of your data, which you may exercise by emailing or sending a letter to Service Client Valrhona, 315 allée des Bergerons - CS20040 - 26600 MERCUROL-VEAUNES, France that includes your contact details (name and proof of identity).

You also have a right to determine general and specific directives on how you would like these rights to be exercised after your death.

As necessary and if you require more information or want to contest your rights, please contact the DPO at

You have a right to submit a claim with the Commission Nationale de l'Informatique et des Libertés (CNIL), the French oversight authority for compliance with personal data protection.

This should be added if an individual's telephone number is collected:

You are hereby informed that if you do not wish to receive promotional calls at this number, you have the right to opt out of telephone marketing by registering your landline and/or cell phone number on the free Do Not Call list on the following website:

Please be aware that it takes 30 days for your request to go into effect once your registration is confirmed. The registration is valid for three years.


9.1. Definitions13

Cookies are information that the server of a visited website installs on a User's device. Websites use them to send information to the User's browser to enable that browser to send information back to the source website. For example, a session username or the language selected.

Only the issuer of a cookie can read or edit the information it contains.

There are different types of cookies:

    • Session cookies that are deleted when you leave the website,

    • Permanent cookies that remain on your computer until they expire or you delete them through the settings on your browser.

You are hereby informed that when you visit this website, cookies may be installed on your device.

2. Purposes of the cookies we use14

The Publisher uses some cookies for the sole purpose of enabling or facilitating digital communications, i.e. to detect login errors or identify login points.

Others are required strictly to provide online communications services that you expressly request, i.e. shopping cart and display settings.

Still others are used for:

    • Analyzing how and how often the website is used so adjustments can be made to improve the browsing experience,

    • Posting ads on the website that are more relevant,

    • Making the website more user-friendly and interactive.

3. The cookies we use15

The cookies used on the website are:

  • The Publisher’s cookies,

  • A restricted number of third-party cookies chosen by the Publisher to achieve specific objectives.

3.1 The Publisher’s Cookies

The table below contains the cookies installed by the Website’s tools:

3.2 Third-party cookies

The Publisher also uses third-party services.

3.2.1 Technical cookies

The primary purpose of these cookies is to facilitate the user's browsing and make it possible to provide you the Website's functionalities.

3.2.2 Visitor tracking16 (delete if necessary)

The Publisher uses the services of third parties to track visitors on the Website.

For information, one of the services the Publisher uses is Google Analytics, which counts visitors and determines how they are using the Website. This is a statistical tool that allows the Publisher to take account of what visitors need and thereby improve the Website.

The data generated by these cookies pertain to:

  • How you use the Website, such as which pages you visited,

  • Your IP address to know the login city. Once the location is found, this information is immediately anonymized and not sent to Google.

The table below contains the cookies used:

3.2.3 Making the Website more user-friendly and interactive

In order to enable your access to some of the Website’s functionalities, the Publisher uses third-party services that include:

  • Share buttons (Facebook, Twitter, Pinterest, LinkedIn, Google+),

  • Videos posted on its YouTube channels,

  • Google Maps geolocation modules.

These functionalities rely on third-party cookies that are installed by the service providers.

4. Consent17

On your first visit to the Website, you are asked to accept or refuse the use of certain cookies.

If you do not want cookies to be installed or read on your terminal device, a denial cookies is installed on your device so the Publisher can record the information based on which you refuse to use cookies. If you delete this denial cookie, it will no longer be possible to identify you as having refused the use of cookies.

Similarly, a consent cookie is installed if you accept the use of cookies.

Consent and denial cookies must remain on your device. You may edit your preferences at any time as explained in the next section “Managing Cookies.”

5. Managing Cookies18

You have several options for deleting and managing cookies and other trackers.

5.1 Browser settings19

Most browsers are configured by default to accept the installation of cookies, but you can opt to accept all cookies, always deny them or just choose the ones you want to accept based on the issuer. You can also regularly delete the cookies on your computer through your browser.

But remember to configure all the browsers on your devices (tablets, smartphones, desktops, etc.).

Each browser has different settings for managing cookies and your preferences. You browser’s help menu contains instructions on how to change the settings for cookies. For example:

However, please be aware that if you configure your browser to block cookies, some functionalities, pages, and parts of the website will not be accessible, for which we assume no responsibility.

5.2 Opt-out platforms

There are also several platforms for advertising professionals that give you an option to deny or accept cookies used by their member companies. These centralized tools do not block ads, they only stop the installation of cookies to tailor advertisements to your centers of interest.

For example, you can go to the website to deny the installation of these cookies on your device. This website is provided by digital advertising professionals that are members of the European Digital Advertising Alliance (EDAA), which in France is managed by the Interactive Advertising Bureau France.

You can find out which agencies are registered on this platform that give you the option to deny or accept the cookies they use to tailor ads that may be displayed on your device to your browsing data:

Hundreds of online advertising professionals share this European platform, which is a centralized interface that allows you to decide whether you deny or accept cookies that may be used to tailor ads that could be displayed on your device based on browsing habits.

5.3 Cookie management module20

Lastly, there is a module that lets you choose which cookies you want to accept or deny on this Website.

You can click at any time on this link [insert a link redirecting to the cookie management module] to go to this module and change your preferences.

6. Personal data protection21

Within the scope of using cookies as explained in this document, as the Controller, the Publisher is likely to process your personal data.

The data collected are required to achieve each cookie's purpose. The data are solely intended for authorized departments at the Publisher and/or the company issuing third-party cookies.

Your personal data may be transferred to a reputable subcontractor in the United States for the purposes of cookies for social media or Google Analytics. Google Analytics will receive information about the following categories: pages visited, IP addresses, and device-related data.

These subcontractors have joined the EU-US Privacy Shield and provide an appropriate level of data protection (Decision (EU) 2016/1250 of July 12, 2016).

Personal data collected through cookies are never retained longer than necessary to achieve the purpose of the cookie, and under no circumstances longer than 13 months.

In application of the provisions in the General Data Protection Regulation, individuals have a right to inquire about, access, rectify, erase, reasonably oppose and transfer the data that concerns them.

If consent is the legal basis for processing your data, you have the right to withdraw that consent at any time.

Upon an individual’s death, the data collected are retained long enough for the Publisher to comply with its legal and regulatory obligations. At the end of this period, the data are erased unless the individual wishes for them to be sent to a third party of their choice pursuant to the provisions in Article 40-1, II of Law No. 78-17 of January 6, 1978, as modified in 2018, pertaining to data protection.

These rights may initially be exercised with the person managing the data protection policy, whom you can contact by email at this address: or by mail at this address: SERVICE CLIENT VALRHONA, 315 allée des Bergerons - CS20040 - 26600 MERCUROL-VEAUNES, FRANCE

In order to protect your rights in the best manner possible, the Publisher has appointed a Data Protection Officer whom you can contact when necessary at this address:

You also have a right to submit a claim with the Commission Nationale de l'Informatique et des Libertés (CNIL) (French Data Protection Commission), which is the competent oversight authority.

To obtain more information, please see the Privacy Policy [link to the Privacy Policy].

1 Cette information n’est pas portée par l’article 13 du Règlement mais constitue une manière de s’acquitter de l’obligation de transparence qui incombe aux responsables du traitement.

2 L’article 13 (1) (c) du Règlement dispose que les finalités du traitement auquel sont destinées les données à caractère personnel doivent être communiquées.

3 L’article 13 (1) (c) du Règlement dispose qu’en plus des finalités, les bases juridiques des traitements doivent être communiquées aux personnes concernées.

4 L’article 13 (1) (d) dispose que lorsque le traitement est fondé sur l’intérêt légitime, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers doivent être communiqués aux personnes concernées.

5 L’article 13 (1) (e) du Règlement dispose que les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent, doivent être communiqués aux personnes concernées.

6 L’article 13 (1) (f) du Règlement dispose que lorsque le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ces transferts doivent être communiqués aux personnes concernées.

7 L’article 13 (2) (a) du Règlement dispose que la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée, doivent être communiqués aux personnes concernées

9 L’article 13 (4) dispose que les paragraphes 1 à 3 de l’article 13 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

10 L’article 13 (3) dispose que lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données ont été collectées, le responsable du traitement doit fournir au préalable à la personne concernée des informations au sujet de cette autre finalité.

11 L’article 13 (2) (c) dispose que lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, doit être communiqué aux personnes concernées

12 L’article 13 (2) (d) dispose que le droit d’introduire une réclamation devant une autorité de contrôle doit être communiqué aux personnes concernées

13 La pratique au sein des entreprises tend cependant à isoler les dispositions relatives aux cookies, afin d’assurer une meilleure information des utilisateurs. Cette pratique est conforme à la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi Informatique et libertés) modifiée en 2018.

Au titre de l’article 32 II de la loi Informatique et libertés modifiée en 2018, l’internaute doit en effet être informé « de manière claire et complète » de la finalité de chaque cookie utilisé et des moyens dont il dispose pour s’opposer à l’utilisation de ces cookies.

Il est donc recommandé d’ajouter un lien sur la page d’accueil des sites Internet utilisant des cookies, afin d’y faire figurer la présente politique.

14 L’article 32 II de la loi Informatique et libertés modifiée en 2018 prévoit que l’internaute doit être informé « de manière claire et complète » de la finalité de chaque cookie utilisé. La description des finalités de chaque cookie est particulièrement importante car les règles applicables aux cookies varient en fonction de leur finalité.

En effet, par principe, l’article 32 II de la loi informatique et libertés prévoit que l’internaute doit avoir donné son consentement préalablement à l’installation d’un cookie sur son équipement terminal.

Toutefois, l’obligation de consentement préalable ne s’applique pas à l’utilisation de cookies :

  • ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

  • strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Dans ces situations, la Cnil recommande toutefois de fournir une explication à l’internaute sur l’utilisation qui est faite de ses données.

15 Les précisions sur chaque type de cookie utilisé permettent d’assurer une information « complète » sur leur fonctionnement et leurs finalités.

Le groupe de travail « article 29 » sur la protection des données, qui regroupe les autorités de protection des pays membres de l’Union européenne, a apporté des précisions intéressantes sur ce sujet dans un document de travail n° 02/2013 énonçant des lignes directrices sur le recueil du consentement pour le dépôt de cookies et adopté le 2 octobre 2013 (WP 208). Le G29 considère en effet que :

  • « Lorsqu'ils accèdent au site web, les utilisateurs doivent être en mesure d'avoir accès à toutes les informations nécessaires relatives aux différents types de cookies utilisés par le site web ou aux différentes finalités que ces derniers poursuivent. Le site web pourrait afficher de façon visible un lien vers une zone désignée dans laquelle sont présentés tous les types de cookies qu'il utilise. Les informations nécessaires concerneraient la ou les finalités des cookies et, si cela est pertinent, il serait mentionné que des cookies peuvent provenir de tiers ou résulter de l'accès de tiers aux données recueillies par les cookies utilisés sur le site web. Aux fins de l'information complète des utilisateurs, il conviendrait également de faire figurer des informations telles que la durée de conservation (c'est-à-dire la date d'expiration des cookies), des valeurs types, des éléments détaillés sur les cookies de tiers et d'autres informations techniques. »

16 En ce qui concerne les cookies dits « analytics », ayant pour finalité la réalisation de mesures d’audiences et de statistiques, la Cnil considère que ces cookies sont susceptibles d’être mis en œuvre sans avoir recueilli le consentement préalable des personnes concernées, à condition de respecter certaines conditions strictes définies à l’article 6 de la délibération de la Cnil n° 2013-378 du 5 décembre 2013 portant recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978modifiée en 2018 :

  • information de l'internaute sur les cookies utilisés;

  • faculté de s’opposer à l'utilisation de cookies par l’intermédiaire d’un mécanisme facilement utilisable sur l’ensemble des terminaux, systèmes d’exploitation, applications et navigateurs internet ;

  • finalité limitée à la mesure d’audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l’ergonomie du site. Les données collectées ne doivent ainsi pas être recoupées avec d’autres traitements (par exemple des fichiers clients ou statistiques de fréquentation d'autres sites). De plus, l’utilisation du cookie déposé doit être strictement cantonnée à la production de statistiques anonymes, sa portée doit être limitée à un seul éditeur de site Internet et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites internet ;

  • en cas d'utilisation de l’adresse IP pour géolocaliser l’internaute, celle-ci ne doit pas fournir une information plus précise que la ville et doit être supprimée ou anonymisée une fois la géolocalisation effectuée ;

  • durée de vie des cookies de treize mois maximum, sans possibilité de proroger cette durée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des cookies ne doivent pas non plus être conservées plus de treize mois.

Si ces conditions sont toutes remplies, l’utilisation de cookies aux fins de réalisation de mesures d’audiences et de statistiques ne nécessitera pas le consentement préalable de l’internaute. A défaut (par exemple si les données issues des cookies sont recoupées avec d’autres traitements tels que les fichiers clients), il sera nécessaire de recueillir le consentement préalable de l’internaute, avant d’installer des cookies « analytics ».

A titre d’exemple, la Cnil considère que le service de mesure d'audience de Google (Google Analytics) ne remplit pas l’ensemble de ces conditions et nécessite donc le recueil du consentement de l’internaute.

A titre d’information, les outils AT Internet (Xiti) et Piwik bénéficie de l’exemption selon la Cnil.

17 Au titre de l’article 32 II de la loi informatique et libertés modifiée en 2018, l’internaute doit avoir donné son consentement préalablement à l’installation d’un cookie sur son équipement terminal, sauf pour les cookies :

  • ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

  • strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Par exemple, nécessitent le recueil du consentement de l’internaute : certains cookies de mesure d’audience, les cookies utilisés à des fins de ciblage publicitaire ou encore les boutons de partage sur les réseaux sociaux. Il convient alors de prévoir un mécanisme permettant de recueillir le consentement des internautes préalablement à l’utilisation de ces cookies.

Dans sa délibération n° 2013-378 du 5 décembre 2013, la Cnil recommande plus particulièrement une action en deux étapes.

Dans la première étape, l'internaute qui se rend sur le site (page d'accueil ou page secondaire du site) doit être informé, par l'apparition d'un bandeau :

  • des finalités précises des cookies utilisés ;

  • de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Deux bandeaux de recueil du consentement sont ainsi proposés dans un document séparé.

Dans la seconde étape, l'éditeur du site doit informer les internautes de manière claire et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant le recueil du consentement. C’est notamment l’objet de la politique cookies.

18 Au titre de l’article 32 II de la loi IETL, l’internaute doit être informé « de manière claire et complète » de la finalité de chaque cookie utilisé mais également des moyens dont il dispose pour s’opposer à l’utilisation de ces cookies.

Sur son site Internet, la Cnil précise que les solutions offertes aux utilisateurs pour s’opposer à l’utilisation de cookies doivent être possibles pour l'ensemble des technologies de traçage utilisées (cookies, cookies flash, fingerprinting, plugins, certaines images stockées dans le navigateur, les espaces mémoires spécifiques aux différents navigateurs, etc.) et permettre à l'usager d'accepter ou de refuser les cookies par finalités (tel que la publicité, les réseaux sociaux, la mesure d'audience). Chaque catégorie de finalité doit ainsi être distinguée.

La Cnil considère aussi que les modalités permettant à l'usager d'exercer ses choix peuvent varier et cite :

  • un mécanisme de paramétrage des cookies directement disponible sur le site (ou dans l'application mobile) ;

  • le renvoi vers les outils d'opposition au traçage proposés par les solutions de mesure d'audience, de publicité ou de réseaux sociaux ; à condition que ces solutions soient conviviales et opérationnelles sur tous les terminaux et navigateurs. Aucune information relative aux internautes n'ayant pas consenti ou ayant décidé d'exercer leur droit d'opposition ne doit être collectée ;

  • dans certaines conditions, les paramètres du navigateur (voir note suivante).

19L’article 32 II de la loi Informatique et libertés modifiée en 2018 prévoit que l’accord de l’internaute à l’utilisation de cookies « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

La Cnil indique toutefois que le recours à ce mécanisme n'est pas suffisant lorsque l'éditeur n'utilise pas uniquement:

  • des cookies http (seuls à pouvoir être paramétrés via le navigateur);

  • des cookies tiers.

Dès lors que d'autres types de cookies sont utilisés, un autre mécanisme d'opposition doit être prévu. La Cnil évoque par exemple le service de mesure d'audience de Google, en indiquant clairement que le paramétrage du navigateur de l'internaute n'est pas satisfaisant pour lui permettre de s'opposer aux cookies du service Google Analytics. 

En tout état de cause, les paramètres du navigateur ne peuvent être utilisés pour permettre aux internautes de s’opposer aux cookies tiers que si les conditions suivantes sont remplies :

  • l’utilisateur a pu être en mesure de modifier les paramètres de son navigateur pour accepter ou refuser les cookies ;

  • l’internaute est informé, avant le dépôt des cookies, de leur finalité et des moyens de s’y opposer.

Il en ressort à la fois que :

  • une information claire et didactique sur la manière de paramétrer son navigateur doit être fournie ;

  • l’existence de ce moyen de gestion peut être insuffisante pour permettre aux internautes de s’opposer à l’utilisation de cookies.

20 Il est recommandé de déployer un module de gestion des cookies au sein même du site, permettant à l’internaute d’opter pour un ou plusieurs types de cookies. Un exemple de module est proposé dans un document séparé.

Une telle fonctionnalité semble devoir être prévue dans la mesure où les recommandations de la Cnil font référence à une possibilité de refuser les cookies par catégorie de finalités (publicité, boutons des réseaux sociaux, mesure d'audience). Elle permet en outre de s’assurer qu’un moyen simple de refuser les cookies soit proposé aux internautes quel que soit le navigateur utilisé, et ce d’autant plus que l’utilisation de certains cookies, tels que les cookies non HTTP, ne peuvent pas être gérés via les paramètres du navigateur.

21 En cas de collecte de données à caractère personnel via des cookies (ex : adresse IP à des fins de localisation de l’internaute ou login d’un client ayant créé un compte, afin de lui permettre de rester connecté d’une session de navigation à une autre), les informations exigées aux articles 13 et 14 du RGDP devront également être fournies aux internautes.