Comprendre les cookies: guide pour la confidentialité en ligne

A quoi servent les cookies ?

Les cookies sont des fichiers texte stockés sur votre appareil lors de l’utilisation d’internet. Ce ne sont pas des programmes informatiques et ne peuvent pas endommager votre ordinateur ou votre appareil mobile.

Les cookies ont des avantages et des inconvénients. Ils peuvent rendre votre expérience de navigation plus fluide et plus personnalisée, en stockant vos préférences et vos informations de connexion pour que vous n’ayez pas à les saisir à chaque fois que vous visitez un site Web, comme le choix d’une langue ou la mémorisation d’un panier d’achat.

Mais ils peuvent aussi être utilisés pour suivre vos activités en ligne à des fins publicitaires ou de suivi comportemental, ce qui peut poser des problèmes de confidentialité et de respect de la vie privée.

C’est pourquoi l’utilisation de ces cookies par un site internet est encadré par l’article 82 de la loi Informatique et Libertés qui transpose les dispositions de la directive européenne e-privacy en droit français.

Qu’est ce qu’un traceur dans le cadre du RGPD ?

Dans ce contexte législatif, la CNIL (Commission Nationale de l’Informatique et des Libertés), qui est le régulateur français des données personnelles, ne considère pas uniquement les cookies mais parle aussi de traceur, soit l’ensemble des dispositifs permettant de suivre un utilisateur et son comportement sur le web (dont font parti les cookies).

La CNIL désigne comme traceur les éléments suivants :

les cookies HTTP,
les cookies « flash »,
le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d’un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage),
les pixels invisibles ou « web bugs »,
tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).

De plus, la CNIL rappelle que ces traceurs ne s’appliquent pas uniquement à l’utilisation d’un site web, ils peuvent être déposés et lus lors de l’utilisation d’une application mobile ou d’un logiciel sur tout type de terminal (ordinateur, smartphone, console de jeux vidéo connectée à internet, smart TV, …).

Les différentes catégories de traceurs

Toujours selon la CNIL, il existe deux types de traceurs :

1/ Les traceurs ayant pour finalité exclusive de faciliter une communication par voie électronique ou étant strictement nécessaire à la fourniture d’un service à la demande expresse de l’utilisateur.

Ces traceurs là ne sont pas soumis au consentement ni à l’information préalable des utilisateurs. il peut s’agir des traceurs permettant d’exprimer le consentement sur le dépôt des traceurs, les traceurs destinés à l’authentification et la sécurisation d’un service ou encore les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu

2/ Les traceurs liés aux opérations relatives à la publicité personnalisée et les traceurs des réseaux sociaux, notamment générés par leurs boutons de partage

Ces traceurs requièrent le consentement explicite de l’utilisateur avent leur dépôt ou leur utilisation.

Par exemple, il faut d’abord obtenir le consentement de l’utilisateur avant d’afficher une vidéo YouTube sur son site internet.

Enfin on peut aussi classer les cookies en deux types : les cookies de session, qui sont temporaires et supprimés à la fin de la session de navigation, et les cookies persistants, qui restent sur l’appareil jusqu’à leur expiration ou leur suppression par l’utilisateur.

Il existe aussi une distinction entre les cookies internes, créés directement par le site que vous visitez, et les cookies tiers, qui sont utilisés par des sites tiers, la plupart du temps, pour le suivi et la publicité.

Implications pour les propriétaires de sites

Les propriétaires de sites doivent être transparents sur l’utilisation des cookies, en informant clairement les utilisateurs et en leur offrant des choix faciles et accessibles pour gérer leur consentement.

Comment bien classer les cookies sur son site internet ?

Identifier tous les cookies déposés par votre site internet

Commencez par effectuer un audit complet de votre site pour identifier tous les cookies qui y sont utilisés. Cela inclut les cookies que vous définissez vous-même ainsi que ceux définis par des tiers, comme les réseaux sociaux, les plateformes d’analyse, certains plugins, ou encore les vidéos embarquée YouTube.

Il existe plusieurs moyens d’identifier les cookies présents sur son site. Tout d’abord, la plupart des navigateurs permettent de consulter les cookies déposés par les sites internet.

Sur Google Chrome, vous pouvez utiliser les outils de développement en appuyant sur F12, puis en vous rendant dans l’onglet application, puis dans la section « storage » dans le menu de gauche et enfin vous devez cliquer sur « cookies ». La liste des cookie apparaitra avec les valeurs stockées et les dates d’expiration.

Attention, si vous avez installé des bloqueurs de publicité ou utilisez certains navigateurs bloquant automatiquement les scripts de tracking, il se peut que tous les cookies ne soient pas déposés, rendant la liste non exhaustive.

Pour un listing exhaustif, il est donc conseillé de désactiver tout bloqueur de pub, et d’accepter le dépôt des cookies si le site présente une bannière de cookie.

Certains Consent Manager Platform (CMP) permettent, de manière beaucoup plus simple, de lister less cookies déposés pr un site internet.

Enfin, la CNIL met également à disposition un module complémentaire pour Firefox assez technique pour les utilisateurs non initiés, mais très efficace.

Détailler les utilisations de chaque cookie

Pour chaque cookie, vous devez indiquer sa finalité de manière claire et détaillée, c’est à dire le but de son utilisation.

Vous devez aussi indiquer :

La provenance, si c’est un cookie dit « first party », c’est à dire déposé par votre site, ou un cookie tiers, déposé par d’autres outil, il convient donc d’indiquer le domaine qui les dépose.
La durée de conservation, qui ne doit pas dépasser 13 mois selon le RGPD, sauf si une autre règlementation l’exige.
La base légale de traitement, en cas de traitement de données à caractère personnelle, parmi les 6 au sens du RGPD.

Rechercher un traceur dans notre base de donnée de cookie

Certains sites internet listent les cookies par catégories (fonctionnelles, nécessaire, marketing, …). Au sens du RGPD, le plus important est d’abord de faire la distinction entre les cookies servant à collecter ou stocker des données personnelles (un identifiant unique par exemple, ou fingerprint). et les cookies assurant le fonctionnement du site web (en étant optionnel ou nécessaire).

Les cookies à des fins marketing ou de ciblage publicitaire requièrent toujours le consentement de l’utilisateur.

La gestion des cookies et des traceurs est essentielle pour la conformité réglementaire. Pour les propriétaires de sites web, il est essentiel de comprendre et d'appliquer correctement les réglementations du RGPD afin de protéger les informations personnelles des utilisateurs et de se prémunir contre les risques légaux. Un audit de conformité RGPD peut vous aider à identifier et à corriger les éventuelles failles de votre site web. N'attendez pas pour garantir la sécurité et la conformité de votre site : consultez nos services d'audit pour un diagnostic complet et des recommandations personnalisées.