Qu’est-ce qu’un cookie ?
Les cookies sont ces petits fichiers textes déposés sur les disques durs des internautes par les serveurs des sites web consultés, ou par des serveurs tiers. Ils existent depuis les années 90 et furent introduits pour permettre l’implémentation des paniers d’achats électroniques, puis plus tard pour créer les sessions.
Les développeurs de sites web utilisent les cookies pour plusieurs raisons. La première est technique et historique : les fichiers textes enregistrent l’identifiant de session ou le panier de l’internaute. Mais ils sont également utilisés en tant qu’outils analytiques, pour savoir quelle utilisation est faite du site web par exemple. Enfin, les cookies sont connus en tant que traceurs et facilitateurs publicitaires, lorsque des serveurs tierce-parties les placent – avec l’autorisation du site web – afin d’enregistrer les actions des internautes et faire de la publicité ciblée.
Que dit la législation actuelle ?
L’article 32-II de la loi Informatique et Libertés de 1978, modifiée en 2011 pour appliquer la directive européenne 2009/136/CE (dite directive E-Privacy, sur laquelle je reviens plus tard dans l’article) fait référence aujourd’hui en matière de gestion des cookies.
Cette mise à jour instaura le bandeau d’information sur les cookies que l’on connait. En effet, cette directive impose de recueillir le consentement de l’utilisateur avant de déposer un traceur sur le terminal.
Et maintenant, le RGPD !
Le principal changement avec le RGPD vis-à-vis des cookies est que ces derniers sont dorénavant considérés comme des données personnelles. En effet ils rentrent pleinement dans la définition de l’article 4 qui considère les identifiants en ligne (ici les cookies persistants, associés uniquement au terminal) en tant que références directes ou indirectes à la personne physique.
Les cookies sont cités une seule fois dans le RGPD, le règlement se voulant le plus généraliste possible. Néanmoins, ils le sont dans la proposition d’évolution de la directive E-Privacy, qui doit être mise à jour et devrait être appliquée en association avec le RGPD.
RGPD et directive E-Privacy
L’idée est d’obtenir une législation européenne stable, plus efficace et harmonisée. En effet, en tant que règlement européen, le RGPD sera applicable à tous les Etats immédiatement. Ce n’était pas le cas de la directive E-Privacy, qui devait être inscrite dans la loi de chaque pays afin d’être appliquée. Le projet de mise à jour renverra directement aux dispositions du RGPD, en complétant et renforçant certaines mesures comme celles concernant les cookies.
Une des idées principales de la directive E-Privacy, encore en discussion au moment de l’écriture de cet article, est de
« centraliser le consentement des utilisateurs au moyen des paramètres de confidentialité [du] navigateur ».
(article sur le site de Haas Avocats).
Les navigateurs proposeront donc un choix de niveaux de confidentialité à l’utilisateur, qui pourra ainsi possiblement refuser tous les cookies non-vitaux au fonctionnement des sites web. C’est la fin des bannières d’information sur les cookies, car pour une bonne partie d’entre eux, le consentement libre et avisé voulu par le règlement n’était pas obtenu au travers de la bannière.
Différentes approches
Comme expliqué ci-dessus, cette directive n’a donc pas été appliquée de la même façon dans tous les pays et les sites web, et l’on a pu constater plusieurs modèles d’application (opt-in, soft opt-in, opt-out, …).
Etant maintenant entendu que la gestion des cookies pourra désormais être faite au niveau des navigateurs, il reste plusieurs options aux responsables de sites web :
- Deux navigations proposées, avec cookies pour les internautes ayant accepté, ou sans cookies pour ceux qui refusent.
- L’approche plus agressive où des pop-ups demandant à l’internaute d’activer les cookies reviendraient régulièrement. Cela risque de peser largement sur la navigation à terme.
- L’option dure dite « pas de visite sans cookies » bloquerait l’accès au site si les cookies sont refusés.
- La gestion des cookies au niveau du site web, en proposant différents niveaux d’acceptation des cookies. Ceci sans oublier de laisser la possibilité à l’internaute de changer ou de revenir sur ses choix.
Le document actuel de la commission européenne fait une réelle distinction entre les cookies « utiles », non intrusifs vis-à-vis de la vie privée, et les cookies liés à la publicité. Le document explique que les cookies techniques, ou de mesure d’audience et d’analytics seront tolérés sans besoin de consentement. Ce ne sera pas le cas des cookies tierce-parties, clairement visés par les nouvelles règles, et dont le fonctionnement devra se faire avec le consentement explicite de l’internaute pour chaque traitement effectué.
Des réactions variées
Les acteurs de la publicité en ligne protestent évidemment contre ces nouvelles mesures, en avançant principalement les bienfaits des traceurs en ligne. La publicité mieux ciblée, ou encore l’idée que l’accès à des contenus libres est le contrepoids des publicités, sont les arguments avancés au sein du débat encore en cours actuellement.
Il est également à noter que les acteurs majeurs tels que Google ou Facebook, qui recueillent l’identification « volontaire » de l’utilisateur lors de la connexion, ne sont pas vraiment affectés par ces mesures sur les cookies et sont donc largement privilégiés vis-à-vis de la publicité en ligne.
Le nouveau règlement E-Privacy est encore en cours de discussion au parlement et à la commission européenne. Il est peu probable qu’un compromis soit obtenu pour la date d’application du RGPD, mais cela devrait suivre très vite. Les grandes lignes vis-à-vis des cookies sont néanmoins déjà tracées. Nous allons voir disparaître les bandeaux sur les cookies au profit d’une pré-configuration dans les navigateurs. Il sera intéressant de voir comment le paysage de la publicité en ligne, en partie basée sur les cookies, va évoluer pour répondre à cette nouvelle législation.
Loïc Tarantola – Consultant