Les cookies, petit rappel
Les cookies, appelés également ‘témoins de connexion’, sont des données que stockent les navigateurs web sur le terminal (ordinateur, tablette, téléphone mobile) d’un utilisateur lors de la consultation d’une page ou d’un contenu en ligne.
Les cookies ne permettent pas d’identifier un utilisateur de manière directe car ils ne contiennent ni son nom, ni son prénom ; ils identifient le navigateur du terminal utilisé et permettent de suivre les actions (et donc d’analyser la navigation) d’un même utilisateur grâce à l’identifiant unique contenu dans le cookie.
Certains cookies sont nécessaires pour l’utilisation d’un site ou d’une application. D’autres permettent l’exploitation des données stockées pour personnaliser ou optimiser les contenus présentés. Ainsi, par exemple, ils peuvent servir à reconnaitre un utilisateur sans que celui-ci ait besoin de se reconnecter. Mais ils peuvent également être utilisés dans un objectif publicitaire ou de pistage… et c’est pour cela que l’utilisateur doit être prévenu et avoir donné son consentement. Le recueil de ce consentement est au coeur de toute la réflexion et du projet de recommandation lancé par la CNIL.
Les cookies nécessaires et les autres
Les cookies peuvent être classés en plusieurs catégories : ceux qui sont nécessaires, utiles et indispensables, dans le fonctionnement et l’affichage d’un contenu en ligne, et les autres. De cette distinction nait naturellement l’obligation ou non de recueillir le consentement de l’utilisateur au nom de la protection des données.
1. Les cookies techniques
Ils rendent possible la navigation sur un site ou une application et permettent une visite sur toutes les pages, tout en assurant la sécurité du site ou de l’application.
Ces cookies comprennent ceux qui sont nécessaires et indispensables à l’utilisation des fonctionnalités d’un site ou d’une application : les identifiants de session de l’utilisateur, la version de de son système d’exploitation ou de l’application utilisée.
Ils comprennent aussi ceux qui permettent d’améliorer le confort de navigation de l’utilisateur, parce qu’ils reconnaissent ce dernier et adaptent la présentation des pages à ses préférences d’affichage (langue utilisée, résolution, par exemple).
Ces cookies sont également utiles dans la mise en action de certaines mesure de sécurité ; cela peut être le cas par exemple lorsqu’il est demandé à l’utilisateur de se re-connecter à son compte après un temps donné.
Il est possible de s’opposer à l’utilisation de ces cookies et de les supprimer dans les paramètres du navigateur, cependant on peut se demander pourquoi, puisque ceux-ci sont utiles et facilitent l’utilisation et la navigation.
2. Les cookies de mesure d’audience (Analytics)
Ils sont mis en place et émis par l’éditeur du site ou de l’application (ou par ses prestataires techniques ou commerciaux) afin de mesurer et suivre la fréquentation du site ou de l’application. Ils permettent ainsi à l’éditeur de mieux organiser ses contenus.
On pense ici aux statistiques les plus connues, celles de Google Analytics, mais il en existe d’autres.
L’utilisateur peut refuser les cookies de ses données de navigation, mais ceux-ci ne représentent pas un grand danger quant à la protection de ses données personnelles.
3. Les cookies publicitaires
Ils existent à des fins publicitaires uniquement, ils permettent d’adapter les supports publicitaires du site ou de l’application aux centres d'intérêt de l’utilisateur et d’en mesurer l’efficacité.
L’utilisation de ces cookies donnent ainsi la possibilité à l’utilisateur de se voir présenter une publicité ou des liens sponsorisés en fonction de son profil, de ses centres d’intérêt, de sa navigation, de son terminal, et même de sa position géographique.
Le refus des cookies n'a pas d'impact sur l'utilisation du site ou de l’application et n’a pas pour effet de supprimer ou d’arrêter les publicités. Le seul effet induit est l’affichage de publicités qui ne tiennent pas compte des centres d'intérêt de l’utilisateur et cela sans tenir compte du nombre de fois où il l’a déjà vue.
Son consentement est requis car il doit avoir la possibilité de refuser en toute connaissance de cause la présentation de publicités ciblées sur lui personnellement… mais il n’est pas pour autant exempt de publicité puisqu’il peut voir sa navigation ponctuée d’un message publicitaire non ciblé. En résumé, « je refuse d’être interpelé par une publicité qui m’est destiné mais je reçois quand même de la publicité ! »
4. Les cookies de partage (pour les réseaux sociaux)
Directement déposés par les réseaux sociaux, ils sont destinés à améliorer l’interactivité du site ou de l’application avec ces derniers.
Un site ou une application peut contenir des cookies relatifs aux liens de partage vers Facebook, Twitter et autre réseau social similaire, ceci afin de permettre à l’utilisateur de partager des informations ou d’interagir sur ces réseaux sociaux. Par exemple, si un utilisateur est connecté au réseau social lors de sa navigation sur un site ou une application, les boutons de partage permettent de relier les contenus consultés à son compte utilisateur.
Pour ne pas être soumis à ces cookies, l’utilisateur n’a d’autre choix que de consulter les politiques de protection de la vie privée des réseaux sociaux et de prendre connaissance des finalités d’utilisation des cookies.
Les cookies et la CNIL (Commission Nationale de l'Informatique et des Libertés)
Rappel rapide des dates clés : été 2019 - hiver 2020
Depuis le 1er juin 2019, une nouvelle rédaction de la loi du 6 janvier 1978, dite « Informatique et Libertés », est en vigueur. Le 4 juillet 2019, la CNIL a publié les lignes directrices sur l’application de l'article 82 de la loi du 6 janvier 1978, dont l’objectif est l’encadrement des actions de dépôt ou de lecture de cookies ou autres traceurs sur un terminal quand son utilisateur se rend sur Internet.
Au cours de l’automne 2019, la CNIL travaille sur un projet de recommandation visant à proposer les modalités de recueil du consentement. Du 14 janvier au 25 février 2020, la CNIL lance une consultation publique afin de recueillir tous les éléments nécessaire à l’élaboration de la recommandation.
Ce que dit la CNIL
« Lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site visité, les cookies ne peuvent être déposés qu’avec le consentement de l’utilisateur. »
« Recueillir le consentement de l’utilisateur préalablement au dépôt de certains cookies (de publicité ciblée, de réseaux sociaux ou de mesure d’audience sous conditions) et lui fournir la possibilité de s’y opposer est une obligation imposée au éditeurs de sites Internet. »
En dehors des cookies « strictement nécessaires au fonctionnement du site visité » (voir les exemptés ci-dessous), le recueil du consentement de l’utilisateur est obligatoire ; celui-ci doit donc au préalable être informé de la finalité des cookies, il doit ensuite pouvoir donner son consentement et se voir proposer le moyen de les refuser.
source : CNIL
Les cookies exemptés de consentement
- les cookies " panier d'achat " pour un site marchand ;
- les cookies " identifiants de session ", pour la durée d'une session ;
- les cookies d'authentification ;
- les cookies de session créés par un lecteur multimédia ;
- les cookies de session d'équilibrage de charge ;
- certaines solutions d'analyse de mesure d'audience (analytics) ;
- les cookies persistants de personnalisation de l'interface utilisateur (choix de langue ou de présentation).
Les cookies nécessitant le recueil du consentement préalable
- les cookies liés aux opérations relatives à la publicité ;
- les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux.
Les pistes de la consultation de janvier-février 2020
Face à un cadre juridique qui a évolué avec notamment, le Règlement Général sur la Protection des Données (RGPD) qui a durci les règles concernant la validité du consentement ; pour répondre à certaines plaintes (individuelles et collectives) relatives au pistage publicitaire et à l’utilisation des données personnelles reçues par la CNIL ; et enfin pour éclairer l’ensemble des professionnels, afin que soient respectées les règles et que les sites soient en conformité avec la règlementation et les obligations de consentement des données ; la CNIL a souhaité mettre en oeuvre des recommandations pratiques.
Pour cela, et avant leur validation et leur diffusion, elle engage une consultation publique qui a lieu du 14 janvier au 25 février 2020. Voici ainsi quelques pistes de réflexion soumises dans la consultation, des exemples concrets de mise en place de solutions conformes sont également proposés.
Opter de ne pas choisir entre consentement et refus
Pour la CNIL, l’utilisateur doit pouvoir consulter un site sans avoir à donner son refus ou son consentement au préalable. Par exemple, il doit pouvoir fermer la fenêtre du message lui demandant son refus ou son consentement, sans action, ou pouvoir cliquer dans la page sans se préoccuper du message ; dans ce cas, il est considéré comme un utilisateur ayant refusé de donner son consentement.
Pouvoir refuser ou consentir sans influence
Le message du choix entre refus et consentement doit être présenté de manière loyale, la représentation graphique des deux choix possibles doit être identique afin que l’utilisateur ne puisse pas être influencé dans un sens comme dans l’autre.
Confirmer son choix de façon régulière
Un utilisateur peut oublier les choix qu’il a opérés ou il peut changer d’avis. La CNIL considère donc que la durée de validité du choix de l’utilisateur devrait être de six mois et qu’il convient de vérifier régulièrement que le refus ou le consentement correspond toujours à la volonté de l’utilisateur.
Pouvoir refuser ou accepter même en étant authentifié
Le fait qu’un utilisateur soit authentifié sur un site ou une application ne veut pas dire qu’il a donné son consentement à la collecte de données et au dépôt de cookies. Il faut récupérer son acceptation ou son refus comme n’importe quel utilisateur non authentifié.
La consultation comporte d’autres éléments, elle se termine notamment par la possibilité de confier le recueil du consentement aux navigateurs web (Safari, Chrome, Firefox, …). Le choix de l’utilisateur serait ainsi inscrit dans le navigateur, qui en avertirait lui-même les sites visités.
La CNIL invite ainsi à cette réflexion, chaque site aurait ainsi une interface moins lourde à gérer. A ce jour, il semble que la technique permettant l’expression d’un refus ou d’un consentement de la part de l’utilisateur ne soit pas totalement opérationnelle. Mais les choses peuvent changer !
