Cookies internet : quelles règles appliquer ?

Un traceur ou cookie est un fichier qui permet la lecture et/ou l’écriture d’une information. Il est nécessairement stocké par un serveur dans le terminal d’un utilisateur (ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet) et est associé à un nom de domaine. Le fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.

Les cookies ont trois finalités :  

• la gestion de session : connexions aux sites, paniers d’achats, scores de jeux ou toutes autres choses que les serveurs devraient mémoriser ;
• la personnalisation : les préférences et autres éléments de configuration ;  
• le pistage : l’enregistrement et l’analyse du comportement de la personne visitant le site. 

On distingue principalement deux catégories : 

Les cookies internes, qui sont déposés par le site et consultés par l’internaute. Ils peuvent être utilisés pour le bon fonctionnement du site ou pour suivre le comportement de l’utilisateur à des fins publicitaires. 

Les cookies tiers, qui sont déposés sur des domaines différents de celui du site principal et généralement gérés par des tiers interrogés par les sites visités et non par l’internaute lui-même. Ils peuvent assurer le bon fonctionnement du site, mais permettent généralement au tiers de « tracker » les pages visitées sur le site et de collecter des informations sur un utilisateur, souvent à des fins publicitaires. 

La distinction entre les deux cookies n’a aucune incidence sur la nécessité d’un consentement préalable de l’utilisateur.

Le Règlement général sur la protection des données (RGPD) régit au niveau européen toute collecte et tout traitement de données à caractère personnel provenant de personnes physiques. Le principe qui gouverne l'encadrement des cookies implique un consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci. Une exception au consentement peut être acceptée si les actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique. 

Il existe donc différents types de cookies (cookies http, cookies "flash", pixels ancrés) et leur encadrement légal dépend de la finalité de leur usage.

Les cookies soumis au consentement : 

• les cookies dont la finalité ne vise pas une facilitation de la communication par voie électronique ou ne sont pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ; 

Exemple : personnalisation des contenus d’un site. La visite du site est personnalisée en fonction  d’informations récoltées sur cet utilisateur. La pratique repose sur l’utilisation de traceurs pour identifier un utilisateur unique et identifier les pages les plus visitées.

• les cookies dans le cadre d’opérations de publicité personnalisée. L’intérêt est d’identifier les personnes individuellement afin de diffuser des publicités spécifiques à la typologie de l’utilisateur ;
• les cookies affichés lors d’une navigation sur les réseaux sociaux. 

 

 

Les cookies non soumis au consentement : 

• les cookies qui conservent un choix exprimé par les utilisateurs ;
• les cookies destinés à l’authentification auprès d’un service, y compris s’il s’agit d’assurer la sécurité d’un mécanisme d’authentification ;
• les cookies destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur un produit acheté ;
• les cookies liés à la personnalisation de l'interface utilisateur (choix de la langue notamment) ;
• les cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie ou sur une période limitée) ;
• les cookies destinés à la mesure d’une audience. 

Plusieurs critères doivent être respectés : 

• Obtention d’un consentement préalable et explicite avant toute activation de cookies (à l’exception des cookies nécessaires sur liste blanche).
• Possibilité de choisir d’activer certains cookies plutôt que d’autres. 

Le consentement doit être : 

• donné librement,  
• facilement supprimé ou retiré,
• conservé en tant que document juridique,
• renouvelé annuellement a minima. 

Certaines lignes directrices sur la protection des données recommandent un renouvellement biannuel.

En pratique, des bandeaux cookies permettent aux utilisateurs de sélectionner et d'accepter l'activation de certains cookies plutôt que d'autres. A cet effet, la validité du consentement est liée à la qualité de l'information reçue.

L'obligation s'impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de la loi informatique et libertés. Il peut s'agir, par exemple, d'éditeurs qui autorisent le dépôt de cookies lus par des tiers, comme des régies publicitaires. Ces derniers sont alors réputés responsables conjoints du traitement puisqu'ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l'équipement terminal des utilisateurs. 

Parmi les responsables de traitement, on trouve :  

• les éditeurs de sites web et d'applications mobiles ;
• les régies publicitaires ;
• les réseaux sociaux qui fournissent des modules de partage. 

Les propriétaires et opérateurs de sites web doivent s'assurer que les données personnelles sont collectées et traitées légalement. Un site web situé en dehors de l'UE est nécessairement tenu à une conformité RGPD s'il collecte des données auprès d'utilisateurs situés dans l'UE.

En savoir plus sur la mise en conformité RGPD

• Loi n° 78-17 du 6 janvier 1978, articles 81 et suivants
• Règlement UE 2016/679 du 27 avril 2016
• CNIL - Délibération n° 2020-092 du 17 septembre 2020