Cookies et autres traceurs

Les cookies sont de « mini fichiers » qui peuvent être placés sur un appareil connecté à Internet, comme un ordinateur, un téléphone, une tablette ou encore une télévision intelligente. Les cookies peuvent être utilisés pour recueillir ou stocker des informations sur la manière dont vous vous comportez sur (un site) Internet et/ou sur votre appareil. La « lecture » de ces cookies permet ensuite aux sites web qui les ont placés de récupérer les informations qui y sont stockées.


Les responsables de sites Internet ou d’applications mobiles qui souhaitent installer et/ou lire des cookies sur un de vos appareils connectés à Internet doivent vous expliquer clairement et simplement ce que font ces cookies et pourquoi ils veulent avoir recours au placement et/ou à la lecture de ces cookies. Votre consentement ne peut résulter que d’un acte positif clair. Il existe toutefois deux types de situations dans lesquelles le placement et/ou la lecture de cookies n’est pas soumise à l’obtention de votre consentement :

  • Lorsque les cookies sont absolument nécessaires pour fournir un service que vous avez expressément demandé (comme, par exemple, les cookies qui permettent de conserver votre panier d’achat ou qui visent à assurer la sécurité d’une application bancaire)
  • Lorsque les cookies sont absolument nécessaires pour réaliser l'envoi d'une communication via un réseau de communications électroniques (comme, par exemple, les cookies qui permettent un équilibrage de charges).

Lorsque vous vous connectez à Internet, vous échangez des messages électroniques avec un serveur connecté sur la « toile ». Ces messages comportent des entêtes nécessaires au bon déroulement du dialogue. Ces entêtes comportent notamment des « mini-fichiers » - les fameux « cookies » - qui peuvent être stockés et traités tant sur votre poste de travail que sur le serveur du site que vous visitez. À l'origine, un cookie est donc un « mini-fichier » utilisé pour faciliter la communication entre votre machine (ordinateur, smartphone, tablette…) et le serveur du site. Le cookie au sens strict fait l’objet d’une description normalisée (RFC 6262 de l’Internet Engineering Task Force) et remplit un rôle de simple témoin de la transaction en stockant certaines informations. On parle alors parfois de « témoins de connexion ». 

Suite aux évolutions technologiques, les cookies ont été utilisés à de nouvelles fins : pour améliorer la performance du site, pour mesurer l’audience du site et rassembler des statistiques, pour mémoriser les préférences des utilisateurs (notamment en termes de langue), pour stocker un panier d’achat, pour permettre l’envoi de publicités ciblées… En parallèle à cette évolution, d’autres moyens techniques – comme les pixels invisibles ou « web bugs » – ont été mis au point pour réaliser les fonctionnalités propres aux cookies. C’est pourquoi nous parlerons ici de cookies et d’autres traceurs.

Ces cookies et autres traceurs peuvent être distingués selon différents critères, comme la finalité qu’ils poursuivent, le domaine qui les place sur votre appareil ou encore leur durée de vie.

  • Distinction selon la finalité du cookie

Les cookies peuvent être utilisés pour de nombreuses finalités différentes. Ils peuvent être utilisés, entre autres, pour supporter la communication sur le réseau (« cookie de connexion »), pour mesurer l’audience d’un site internet (« cookies de mesure d’audience », encore appelés « cookies analytiques » ou « cookies statistiques »), à des fins de marketing et/ou de publicités comportementales, à des fins d’authentification, à des fins de sécurisation du site internet, à des fins d’équilibrage de charges, à des fins de personnalisation de l’interface utilisateur ou encore afin de permettre l’utilisation d’un lecteur multimédia (« cookies flash »).

  • Distinction selon le domaine qui place le cookie sur votre appareil : cookies « de première partie » et cookies « tiers » (ou « tierce partie »)

Les cookies « de première partie » sont placés directement par le domaine inscrit dans la barre d’adresse de votre navigateur. Il s’agit, en d’autres termes, de cookies placés directement par le propriétaire du site web que vous visitez. Les « cookies tiers » sont, pour leur part, mis en place par un domaine différent de celui que vous visitez. Cela arrive typiquement lorsque le site Internet incorpore des éléments d’autres sites Internet comme des images, des plugins de médias sociaux (comme le bouton « J’aime » de Facebook) ou des publicités. Lorsque ces éléments sont extraits par le navigateur ou par un autre logiciel au départ d’autres sites Internet, ceux-ci peuvent également placer des cookies qui pourront, ensuite, être lus par les sites Internet qui les ont placés. Ces « cookies tiers » permettent, à ces tiers, de suivre le comportement des internautes dans le temps et au travers de nombreux sites Internet et de créer, à partir de ces données, des profils de personnes (profilage), notamment dans le but de pouvoir mettre en place un marketing plus précis et plus ciblé lors de la navigation future de ces internautes ainsi tracés.

  • Distinction selon la durée de validité du cookie : cookies « de session » et cookies « persistants » (ou « permanents)

Les « cookies de session » sont effacés automatiquement lorsque vous fermez votre navigateur alors que les « cookies persistants » restent stockés dans votre appareil (ordinateur, smartphone, tablette…) jusqu’à une date d’expiration prédéfinie (qui peut être exprimée en minutes, en jours ou en années).

Dans la plupart des cas, un cookie ou autre traceur ne pourra être installé ou lu sur un de vos appareils que si vous avez été préalablement informée clairement et simplement, notamment, de ce que font ces cookies et de la raison pour laquelle il y est fait recours et que vous avez, ensuite, consenti à leur utilisation.

L’obligation de vous informer et de recueillir votre consentement s’impose pour tous les cookies et autres technologies similaires qui permettent le stockage d’informations ou l’obtention de l’accès à des informations déjà stockées dans un de vos appareils, indépendamment du fait que les informations stockées constituent des données à caractère personnel.

Il existe néanmoins deux situations dans lesquelles le placement et la lecture de cookies ne doit pas être précédé de votre consentement :

  • Lorsque les cookies sont absolument nécessaires pour fournir un service que vous avez expressément demandé (comme, par exemple, les cookies qui permettent de se souvenir de votre panier d’achat ou les cookies qui visent à assurer la sécurité d’une application bancaire)
  • Lorsque les cookies sont absolument nécessaires pour réaliser l'envoi d'une communication via un réseau de communications électroniques (comme, par exemple, les cookies qui permettent d’afficher les indications nécessaires dans les échanges chiffrés et les identifiants d’une transaction ou les cookies de performance ou d’équilibrage de charges, à condition de ne les analyser que de manière anonyme).

Le consentement que vous devez fournir en vue de l’insertion ou de la lecture de cookies « non fonctionnels » et d’autres technologies similaires doit, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD.

Le consentement doit se manifester par une action positive de votre part, comme un click ou l’activation d’un bouton par glissement, après que vous ayez été préalablement informée des conséquences de votre choix. Votre consentement n’est donc pas valable s’il est récolté au moyen d’une case cochée par défaut que vous devez décocher pour refuser de donner votre consentement. Votre consentement ne peut pas, non plus, être déduit du simple fait que vous poursuivez votre navigation sur le site ou du fait que vous ayez accepté les conditions générales d’utilisation d’un site ou d’une application mobile. Le responsable du site web ou de l’application mobile ne peut pas, non plus, déduire votre consentement du paramétrage de votre navigateur parce qu’actuellement il n’est pas (encore) possible, dans le paramétrage des navigateurs, d’exprimer un choix par finalité de cookie.

  • Votre consentement doit être préalable à l’insertion ou à la lecture de cookies

Aucun cookie « non fonctionnel » ne peut être inséré ou lu sur votre ordinateur, votre smartphone ou votre tablette tant que vous n’avez pas donné son consentement.

  • Votre consentement doit être informé

Avant que l’on vous demande de donner votre consentement, vous devez avoir reçu des informations précises sur le responsable du traitement, les finalités poursuivies par les cookies et autres traceurs qui vont être déposés et/ou lus, les données qu’ils collectent et leur durée de vie. L’information doit également porter sur les droits que le RGPD vous reconnait, y compris le droit de retirer votre consentement.

L’information doit être visible, complète et être mise en évidence. Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur. Cela implique, notamment, que l’information soit rédigée dans une langue qui est aisément compréhensible pour le « public cible » auquel elle s’adresse. En pratique, si le site Internet que vous visitez s’adresse à un public adolescent, il doit utiliser un langage qui soit suffisamment simple pour pouvoir être compris par ce public cible. Dans la même logique, si le site Internet s’adresse à un public francophone et/ou néerlandophone, l’information doit être rédigée en français et/ou en néerlandais.

  • Votre consentement n’est valide que si vous pouvez exercer un choix réel

Vous devez pouvoir accepter ou refuser, pour chaque application et chaque site internet, le dépôt de cookies sans contrainte, pression ni influence extérieure. Cette exigence implique, notamment, que vous ne pouvez pas vous voir refuser certains services ou avantages au motif que vous n’auriez pas consenti à l’utilisation de cookies « non fonctionnels ». La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service, tel l’accès à un site Internet.

  • Votre consentement doit être spécifique

Le RGPD requiert que le consentement au placement et à la lecture de cookies soit spécifique, c’est-à-dire qu’il doit être donné pour des traitements de données bien définis (spécifiques). Le fait d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit donc pas pour considérer que vous avez valablement donné votre consentement au placement ou à la lecture de cookies. Un consentement ne peut pas, non plus, être donné pour la seule "utilisation" de cookies, sans autre précision quant aux  données récoltées via ces cookies ni quant aux finalités pour lesquelles ces données sont collectées. Le RGPD requiert, en effet, un choix plus détaillé qu’un simple « tout ou rien », mais il n’exige toutefois pas un consentement pour chaque cookie individuellement. Si le responsable d’un site Internet ou d’une application mobile sollicite votre consentement pour plusieurs types de cookies, vous devez avoir le choix de donner (ou de refuser) votre consentement pour chaque type de cookies, voire, dans une deuxième strate d’information, pour chaque cookie individuellement.

  • Vous devez pouvoir retirer votre consentement

Vous devez pourvoir retirer, à tout moment, votre consentement aussi facilement que vous avez pu le donner. Il est, en outre, nécessaire que vous soyez informé de cette possibilité au moment de donner votre consentement.

Les informations stockées sur votre appareil (ordinateur, smartphone, tablette…) et les cookies ne peuvent être conservés au-delà du temps nécessaire à l'accomplissement de la finalité poursuivie. Cette durée de conservation ne peut donc être indéfinie. Les informations collectées et stockées dans un cookie et les informations collectées suite à la lecture d’un cookie doivent être supprimées lorsqu’elles ne sont plus nécessaires à la finalité poursuivie.

Toutefois, il n'est pas toujours possible d'effacer les cookies et métafichiers en temps utile, par exemple lors d'une interruption impromptue de la communication. Il faut alors que la politique des cookies vous explique clairement comment vous pouvez effacer ces cookies et métafichiers (exemple : fonction d'effacement des cookies prévue dans chaque navigateur).

Un cookie exempté de l’obligation de consentement doit avoir une durée de vie en relation directe avec la finalité pour laquelle il est utilisé et être paramétré de manière à expirer dès qu’il n’est plus nécessaire, compte tenu des attentes raisonnables de l’utilisateur moyen. Les cookies exemptés de consentement seront donc probablement réglés de manière à expirer lorsque la session de navigation prend fin, voire avant. Mais ce n’est pas toujours le cas. Par exemple, dans le scénario du panier d’achat, un commerçant pourrait régler le cookie de manière à ce qu’il subsiste après la fin de la session de navigation ou pendant quelques heures pour tenir compte du fait que l’utilisateur pourrait fermer accidentellement son navigateur et s’attendre raisonnablement à retrouver le contenu de son panier d’achats en revenant sur le site web du commerçant quelques minutes plus tard. Dans d’autres cas, l’utilisateur peut demander expressément au service de mémoriser certaines informations d’une session à l’autre, ce qui nécessite l’utilisation de cookies persistants.

Questions

Oui, sauf s’ils n’utilisent que des « cookies fonctionnels ».

Un cookie est qualifié de « fonctionnel » dès lors qu’il est indispensable pour réaliser l'envoi d'une communication via un réseau de communications électroniques ou pour fournir un service que vous avez expressément demandé.

Voici quelques exemples de « cookies fonctionnels » pour lesquels le vous ne devez pas donner votre consentement :

  • Les cookies que vous alimentez pour la durée d’une session, ou les cookies persistant limités à quelques heures dans certains cas, qui sont utilisés pour conserver la trace des informations que vous saisissez lorsque vous complétez des formulaires en ligne sur plusieurs pages ou en tant que panier d’achat pour mémoriser les articles que vous avez sélectionnés en cliquant sur un bouton.
  • Les cookies d’authentification utilisés pour des services authentifiés (par exemple un site offrant des services bancaires en ligne), pour la durée d’une session
  • Les cookies de sécurité qui visent à renforcer la sécurité d’un service que vous avez expressément demandé et qui sont utilisés, notamment, pour détecter les authentifications abusives, pour une durée limitée répétée
  • Les cookies de session crées par un lecteur multimédia, tels que les cookies de lecteur flash, pour la durée d’une session
  • Les cookies de session d’équilibrage de charges, pour la durée d’une session
  • Les cookies persistants de personnalisation de l’interface utilisateur (comme les cookies relatifs à la préférence linguistique ou à la préférence d’affichage des résultats), pour la durée d’une session (ou une durée légèrement supérieure)

Pour le placement et/ou la lecture de ces cookies fonctionnels, votre consentement n’est pas requis. Mais vous devez néanmoins recevoir des informations claires et précises sur ce que font ces cookies et pourquoi le responsable du site web ou de l’application mobile y a recours. Pour le dépôt et/ou la lecture de tous les autres cookies, c’est-à-dire des cookies « non fonctionnels », l’obtention de votre consentement est nécessaire et vous devez préalablement avoir été informé des finalités poursuivies par ces cookies et des droits que le RGPD vous reconnait.

Non.

Le paramétrage des navigateurs ne permet pas, actuellement, de recueillir valablement votre consentement. En effet, vous ne pouvez pas (encore) donner votre consentement en fonction des finalités poursuivies par les différents types de cookies. Le consentement recueilli par le biais du paramétrage de votre navigateur n’est dès lors pas suffisamment spécifique au regard de l’exigence du RGPD.

Non.

La poursuite de la navigation ne peut pas être considérée comme donnant lieu à un consentement valide pour l’installation et la lecture de cookies « non fonctionnels ». Le consentement que vous devez fournir en vue du placement (et de la consultation) de ce type de cookies doit en effet, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD. Il s’en suit que ce consentement n’est valide que s’il résulte d’une démarche active de votre part, comme un click ou l’activation d’un bouton par glissement. Le consentement n’est donc pas valable s’il est récolté au moyen d’une case cochée par défaut que vous devez décocher pour refuser de donner votre consentement. Ce consentement doit également être informé, ce qui implique que la démarche active qui vous est demandée doit être précédée de la fourniture d’une information claire et complète quant aux types de cookies placés et aux conséquences du placement de ces cookies en termes d’utilisation future de vos données à caractère personnel. Le RGPD requiert aussi que le consentement au placement de cookies soit spécifique, de telle sorte que le fait d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit pas pour considérer que vous avez valablement donné votre consentement au placement de cookies. Enfin, le consentement doit être libre et exempt de toute contrainte. Cette exigence implique notamment que vous ne pouvez pas vous voir refuser certains services ou avantages au motif que vous n’auriez pas consenti à l’utilisation de cookies « non fonctionnels ».

  • Vous avez le droit de donner ou de refuser votre consentement préalablement à l’installation et à la lecture des cookies « non fonctionnels » sur, ou à partir de, votre appareil, sans que puissiez vous voir refuser certains services ou avantages au motif que vous n’auriez pas consenti à l’utilisation de cookies « non fonctionnels ». Votre consentement doit, en outre, être spécifique, c’est-à-dire qu’on doit vous demandez votre consentement pour chaque type de finalité poursuivie par les cookies et vous pouvez ne donner votre consentement que pour certaines finalités et non pour d’autres.
  • Vous avez le droit de retirer votre consentement à tout moment et d’une manière qui soit aussi facile que celle par laquelle vous aviez été invité à consentir.  
  • Vous avez le droit de recevoir une information claire et précise, notamment, sur le responsable du traitement, sur les finalités poursuivies par les cookies et autres traceurs qui sont ou vont être déposés et/ou lus sur ou à partir de votre appareil, sur les données qu’ils collectent et sur leur durée de vie. Ce droit à l’information existe quel que soit le type de cookies (« fonctionnels » ou « non fonctionnels ») qui est déposé ou lu sur votre appareil.
  • Si les cookies permettent le traitement de données à caractère personnel, comme c’est presque systématiquement le cas, vous bénéficier de tous les droits consacrés par le RGPD (droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données, d’opposition, …). Vous avez alors également le droit de recevoir une information claire et précise sur ces droits.
  • Si vous estimez qu’un de vos droits n’a pas été respecté, vous avez le droit de saisir l’APD d’une plainte

Parmi les possibilités existantes, vous êtes invité à utiliser le mode « navigation privée » disponible sur les principaux navigateurs sur pc ou mobiles (dont Edge, Internet Explorer, Chrome, Firefox, Safari ou Opera). Les informations de navigation (mots de passe, cookies, formulaires, contenu en cache et les différents historiques) seront alors effacées lorsque vous fermerez votre navigateur. Cette possibilité permet dès lors de ne pas laisser de trace liées à la navigation sur son ordinateur (ou autre appareil mobile), une fois celle-ci terminée. Elle n’empêche donc notamment pas le dépôt et la lecture de cookies pendant la navigation ni n’efface les traces laissées lors de vos séances de surf précédentes.

Pour ce faire, vous pouvez utiliser d’autres outils fournis par les navigateurs.

Ainsi, dans les paramètres de configuration de votre navigateur, vous pourrez autoriser ou refuser de manière permanente l’enregistrement et la lecture futurs de cookies sur ou à partir de votre appareil. La granularité des choix offerts (cookies tiers, first-party cookie, durée de conservation, etc.) dépend du navigateur et du système d’exploitation utilisés. Cette action n’affecte pas les informations déjà stockées. Elle peut par contre impacter les données de connexion à certains sites, empêcher l’exécution de certaines fonctionnalités et nécessiter une reconnexion/ré-identification auprès de ces sites.

Enfin, toujours dans les paramètres de configuration, vous pourrez également effacer, à la demande, les données de navigation déjà présentes sur votre appareil (dont les cookies). Selon le navigateur, il sera possible d’effacer les données selon leur ancienneté, leur nature et/ou le site visité. Tous les navigateurs ne permettent pas de visualiser dans le détail les cookies enregistrés ni de les supprimer individuellement.

Pour vous aider à gérer ces cookies et autres traceurs et limiter les atteintes à votre vie privée, vous pourrez, sur votre ordinateur, installer extensions et add-ons disponibles à partir de votre navigateur. À titre d’exemples, citons ‘Cookie Manager’ (by Rob W) sur Firefox, ‘Privacy Badger’ (by EFF) sur Opera, Chrome et Firefox, ‘uBlock Origin’ (by R. Hill) et ‘Ghostery’ sur Firefox, Chrome, Opera, Edge et Safari.

Ghostery fait partie de la catégorie des ad blockers (bloqueurs de publicité). À ce titre, cette extension empêche l’exécution de certains scripts qui, par ailleurs, représentent un danger pour la vie privée de l’utilisateur (cookies, boutons réseaux sociaux, selon les paramètres choisis). Des ad blockers existent aussi pour mobiles sous forme d’apps tels ‘AdBlock’ (by Betafish - à ne pas confondre avec AdBlock Plus) et ‘AdLock’ pour Android ou ‘1Blocker X’ pour iOS.

Sur mobiles (Android et iOS), l’utilisateur pourra envisager l’installation d’un navigateur supplémentaire plus axé sur le respect de la vie privée (privacy browser) tels ‘DuckDuckGo Privacy Browser’, ‘Ghostery Privacy Browser’, ‘Brave’ ou ‘Firefox Focus’.

Bien que sa présence sur le web diminue chaque jour, il est utile de mentionner ‘Flash Player’ utilisé au sein des pages web pour visionner du contenu multimédia. Les cookies issus de son utilisation ne sont pas visibles par le navigateur qui ne peut donc ni les gérer ni les effacer. De par la technologie employée (local shared objects), ils ont cependant un plus grand potentiel d’atteinte à la vie privée. Le paramétrage de confidentialité s’effectue via une application spécifique disponible sur le site web d'Adobe.

Des réseaux publicitaires se sont regroupés pour créer la plateforme "your online choices" qui permet de définir de manière centralisée certaines préférences en matière de publicité comportementale.

La mise en place d’un « cookie wall » - qui est une pratique qui consiste à bloquer l’accès à un site web ou à une application  mobile pour qui ne consent pas à l’installation de cookies « non fonctionnels » - n’est pas conforme au RGPD. Cette pratique empêche, en effet, de recueillir votre consentement libre puisque vous êtes obligé de consentir à l’installation et/ou à la lecture de cookies pour pouvoir accéder au site web ou à l’application mobile.

Liens intéressants