Les cookies et autres traceurs peuvent être distingués selon différents critères, comme la finalité qu’ils poursuivent, le domaine qui les place sur un appareil ou encore leur durée de vie.
- Distinction selon la finalité du cookie
Les cookies peuvent être utilisés pour de nombreuses finalités différentes. Ils peuvent être utilisés, entre autres, pour supporter la communication sur le réseau (« cookie de connexion »), pour mesurer l’audience d’un site internet (« cookies de mesure d’audience », encore appelés « cookies analytiques » ou « cookies statistiques »), à des fins de marketing et/ou de publicités comportementales, à des fins d’authentification, à des fins de sécurisation du site internet, à des fins d’équilibrage de charges, à des fins de personnalisation de l’interface utilisateur ou encore afin de permettre l’utilisation d’un lecteur multimédia (« cookies flash »).
- Distinction selon le domaine qui place le cookie sur l’appareil : cookies « de première partie » et cookies « tiers » (ou « tierce partie »)
Les cookies « de première partie » sont placés directement par le domaine inscrit dans la barre d’adresse du navigateur. Il s’agit, en d’autres termes, de cookies placés directement par le propriétaire du site web. Les « cookies tiers » sont, pour leur part, mis en place par un domaine différent de celui qui est visité.
Cela arrive typiquement lorsque le site Internet incorpore des éléments d’autres sites Internet comme des images, des plugins de médias sociaux (comme le bouton « J’aime » de Facebook) ou des publicités.
Lorsque ces éléments sont extraits par le navigateur ou par un autre logiciel au départ d’autres sites Internet, ceux-ci peuvent également placer des cookies qui pourront, ensuite, être lus par les sites Internet qui les ont placés.
Ces « cookies tiers » permettent, à ces tiers, de suivre le comportement des internautes dans le temps et au travers de nombreux sites Internet et de créer, à partir de ces données, des profils de personnes (profilage), notamment dans le but de pouvoir mettre en place un marketing plus précis et plus ciblé lors de la navigation future de ces internautes ainsi tracés.
- Distinction selon la durée de validité du cookie : cookies « de session » et cookies « persistants » (ou « permanents)
Les « cookies de session » sont effacés automatiquement lorsque le navigateur se ferme alors que les « cookies persistants » restent stockés dans l’appareil (ordinateur, smartphone, tablette…) jusqu’à une date d’expiration prédéfinie (qui peut être exprimée en minutes, en jours ou en années).
Droit des Utilisateurs dans le cadre du placement et/ou de la lecture de cookies
Dans la plupart des cas, un cookie ou autre traceur ne pourra être installé que si l’utilisateur a été préalablement informé clairement et simplement, notamment, de ce que font ces cookies et de la raison pour laquelle il y est fait recours. L’obligation d’informer et de recueillir le consentement s’impose pour tous les cookies et autres technologies similaires qui permettent le stockage d’informations ou l’obtention de l’accès à des informations déjà stockées.
Il existe néanmoins deux situations dans lesquelles le placement et la lecture de cookies ne doit pas être précédé du consentement :
- Lorsque les cookies sont absolument nécessaires pour fournir un service (cookie fonctionnel) que l’utilisateur a expressément demandé (comme, par exemple, les cookies qui permettent de se souvenir d’un panier d’achat ou les cookies qui visent à assurer la sécurité d’une application bancaire)
- Lorsque les cookies sont absolument nécessaires pour réaliser l’envoi d’une communication via un réseau de communications électroniques (comme, par exemple, les cookies qui permettent d’afficher les indications nécessaires dans les échanges chiffrés et les identifiants d’une transaction ou les cookies de performance ou d’équilibrage de charges, à condition de ne les analyser que de manière anonyme).
Recueillir valablement le consentement de l’utilisateur
Le consentement de l’utilisateur que vous devez fournir en vue de l’insertion ou de la lecture de cookies « non fonctionnels » et d’autres technologies similaires doit, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD.
Le consentement doit se manifester par une action positive de l’utilisateur comme un click ou l’activation d’un bouton par glissement, après que l’utilisateur a été préalablement informé des conséquences de son choix.
Le consentement n’est donc pas valable s’il est récolté au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner votre consentement.
Le consentement ne peut pas, non plus, être déduit du simple fait que l’utilisateur poursuit sa navigation sur le site ou du fait qu’il a accepté les conditions générales d’utilisation d’un site ou d’une application mobile.
Le responsable du site web ou de l’application mobile ne peut pas, non plus, déduire le consentement du paramétrage du navigateur parce qu’actuellement il n’est pas (encore) possible, dans le paramétrage des navigateurs, d’exprimer un choix par finalité de cookie.
- Le consentement doit être préalable à l’insertion ou à la lecture de cookies
Aucun cookie « non fonctionnel » ne peut être inséré ou lu sur ordinateur, smartphone ou tablette tant que l’utilisateur n’a pas donné son consentement.
- Le consentement doit être informé
Avant que l’on demande de donner le consentement, l’utilisateur doit avoir reçu des informations précises sur le responsable du traitement, les finalités poursuivies par les cookies et autres traceurs qui vont être déposés et/ou lus, les données qu’ils collectent et leur durée de vie.
L’information doit également porter sur les droits que le RGPD reconnait, y compris le droit de retirer le consentement.
L’information doit être visible, complète et être mise en évidence.
Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur.
Cela implique, notamment, que l’information soit rédigée dans une langue qui est aisément compréhensible pour le « public cible » auquel elle s’adresse.
- Le consentement n’est valide que si l’utilisateur peut exercer un choix réel
L’utilisateur doit pouvoir accepter ou refuser, pour chaque application et chaque site internet, le dépôt de cookies sans contrainte, pression ni influence extérieure. La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service, tel l’accès à un site Internet.
- Le consentement doit être spécifique
Le RGPD requiert que le consentement au placement et à la lecture de cookies soit spécifique, c’est-à-dire qu’il doit être donné pour des traitements de données bien définis (spécifiques).
Le fait d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit donc pas pour considérer que l’utilisateur a valablement donné son consentement au placement ou à la lecture de cookies.
Un consentement ne peut pas, non plus, être donné pour la seule « utilisation » de cookies, sans autre précision quant aux données récoltées via ces cookies ni quant aux finalités pour lesquelles ces données sont collectées.
Le RGPD requiert, en effet, un choix plus détaillé qu’un simple « tout ou rien », mais il n’exige toutefois pas un consentement pour chaque cookie individuellement. Si le responsable d’un site Internet ou d’une application mobile sollicite le consentement pour plusieurs types de cookies, l’utilisateur doit avoir le choix de donner (ou de refuser) son consentement pour chaque type de cookies, voire, dans une deuxième strate d’information, pour chaque cookie individuellement.
- L’utilisateur doit pouvoir retirer son consentement
L’utilisateur doit pourvoir retirer, à tout moment, son consentement aussi facilement qu’il a pu le donner. Il est, en outre, nécessaire que l’utilisateur soit informé de cette possibilité au moment où il donne son consentement.
La durée de vie des cookies
Les informations stockées sur l’appareil (ordinateur, smartphone, tablette…) et les cookies ne peuvent être conservés au-delà du temps nécessaire à l’accomplissement de la finalité poursuivie.
Cette durée de conservation ne peut donc être indéfinie.
Les informations collectées et stockées dans un cookie et les informations collectées suite à la lecture d’un cookie doivent être supprimées lorsqu’elles ne sont plus nécessaires à la finalité poursuivie.
Toutefois, il n’est pas toujours possible d’effacer les cookies et métafichiers en temps utile, par exemple lors d’une interruption impromptue de la communication. Il faut alors que la politique des cookies explique clairement comment l’utilisateur peut effacer les cookies et métafichiers (exemple : fonction d’effacement des cookies prévue dans chaque navigateur).
Un cookie exempté de l’obligation de consentement doit avoir une durée de vie en relation directe avec la finalité pour laquelle il est utilisé et être paramétré de manière à expirer dès qu’il n’est plus nécessaire, compte tenu des attentes raisonnables de l’utilisateur moyen.
Les cookies exemptés de consentement seront donc probablement réglés de manière à expirer lorsque la session de navigation prend fin, voire avant. Mais ce n’est pas toujours le cas.
Par exemple, dans le scénario du panier d’achat, un commerçant pourrait régler le cookie de manière à ce qu’il subsiste après la fin de la session de navigation ou pendant quelques heures pour tenir compte du fait que l’utilisateur pourrait fermer accidentellement son navigateur et s’attendre raisonnablement à retrouver le contenu de son panier d’achats en revenant sur le site web du commerçant quelques minutes plus tard.
Dans d’autres cas, l’utilisateur peut demander expressément au service de mémoriser certaines informations d’une session à l’autre, ce qui nécessite l’utilisation de cookies persistants.
*******
Quelques questions intéressantes
1. Le consentement peut-il être valablement déduit du paramétrage de votre navigateur web ?
Non.
Le paramétrage des navigateurs ne permet pas, actuellement, de recueillir valablement le consentement. En effet, vous ne pouvez pas (encore) donner votre consentement en fonction des finalités poursuivies par les différents types de cookies. Le consentement recueilli par le biais du paramétrage de votre navigateur n’est dès lors pas suffisamment spécifique au regard de l’exigence du RGPD.
Parmi les possibilités existantes, vous êtes invité à utiliser le mode « navigation privée » disponible sur les principaux navigateurs sur pc ou mobiles (dont Edge, Internet Explorer, Chrome, Firefox, Safari ou Opera).
Les informations de navigation (mots de passe, cookies, formulaires, contenu en cache et les différents historiques) seront alors effacées lorsque vous fermerez votre navigateur.
Cette possibilité permet dès lors de ne pas laisser de trace liées à la navigation sur son ordinateur (ou autre appareil mobile), une fois celle-ci terminée. Elle n’empêche donc notamment pas le dépôt et la lecture de cookies pendant la navigation ni n’efface les traces laissées lors de vos séances de surf précédentes.
Pour ce faire, vous pouvez utiliser d’autres outils fournis par les navigateurs.
Ainsi, dans les paramètres de configuration de votre navigateur, vous pourrez autoriser ou refuser de manière permanente l’enregistrement et la lecture futurs de cookies sur ou à partir de votre appareil. La granularité des choix offerts (cookies tiers, first-party cookie, durée de conservation, etc.) dépend du navigateur et du système d’exploitation utilisés. Cette action n’affecte pas les informations déjà stockées. Elle peut par contre impacter les données de connexion à certains sites, empêcher l’exécution de certaines fonctionnalités et nécessiter une reconnexion/ré-identification auprès de ces sites.
Enfin, toujours dans les paramètres de configuration, vous pourrez également effacer, à la demande, les données de navigation déjà présentes sur votre appareil (dont les cookies). Selon le navigateur, il sera possible d’effacer les données selon leur ancienneté, leur nature et/ou le site visité. Tous les navigateurs ne permettent pas de visualiser dans le détail les cookies enregistrés ni de les supprimer individuellement.
Pour vous aider à gérer ces cookies et autres traceurs et limiter les atteintes à votre vie privée, vous pourrez, sur votre ordinateur, installer extensions et add-ons disponibles à partir de votre navigateur.
2. Les sites web peuvent-ils mettre en place des « cookie walls » ?
La mise en place d’un « cookie wall » – qui est une pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à l’installation de cookies « non fonctionnels » – n’est pas conforme au RGPD.
Cette pratique empêche, en effet, de recueillir votre consentement libre puisque vous êtes obligé de consentir à l’installation et/ou à la lecture de cookies pour pouvoir accéder au site web ou à l’application mobile.