Connaissez-vous les cookies ? Pas ces biscuits ronds, dont la pâte comporte des éclats de chocolat et des fruits secs. Non, les autres cookies, ces petits fichiers de textes stockés sur vos appareils lorsque vous visitez certains sites. En général, lorsque tu te connectes sur un site il est fréquent de voir surgir un petit pop-up sur ton écran te proposant des cookies. Ces « cookies » encore appelés traceurs en français servent principalement à améliorer ton expérience de navigation en personnalisant le contenu et en conservant tes informations de connexions.
Il existe différents types de cookies tels que les cookies de session qui expirent lorsque tu fermes ton navigateur ; les cookies persistants qui restent sur ton ordinateur même après avoir fermé ton navigateur ou encore les cookies tiers qui sont eux créés par des sites web tiers et qui sont utilisés pour suivre ton activité en ligne à des fins publicitaires ou analytiques.
Par exemple, certains cookies peuvent te permettre de rester connecté à un site, d’autres, de sauvegarder ton article préféré dans ton panier d’achat ou même de te montrer des publicités ciblées en fonction de tes intérêts. C’est vraiment pratique n’est-ce pas ?
Mais attention, il y a aussi une autre facette des cookies. La plus part des services offerts en ligne sont en apparence gratuits mais en réalité il existe une certaine contrepartie pour y accéder : la collecte de données personnelles des utilisateurs grâce aux cookies.
C’est pourquoi certains s’inquiètent de leur impact sur la vie privée des utilisateurs. Les cookies collectent innocemment, sans qu’on ne le réalise parfois, tous nos petits mouvements en ligne, à croire que ces petites créatures anodines en apparence connaissent tous nos petits secrets.
Sous cet angle, l’usage des cookies par un éditeur ou son sous-traitant est un traitement de données personnelles car une fois déployés, les cookies collectent des informations (localisation, adresse IP…) qui permettent l’identification des individus donc c’est leurs données personnelles qui sont collectées. Rappelons que ces données sont définies comme toutes les informations relatives à une personne physique et qui permettent de l’identifier directement ou indirectement par référence à un ou plusieurs éléments qui lui sont propres.
Il est clair que ces petits fichiers mystérieux jouent un rôle essentiel dans notre expérience en ligne, néanmoins il est légitime de s’assurer que les cookies satisfont aux exigences juridiques.
Comment fonctionnent les Cookies ? Quel cadre juridique leur est accordé ? Que se passe-t-il réellement lorsqu’on accepte ou on refuse ces cookies ?
Dans cet article nous allons plonger dans le monde des cookies informatiques et découvrir leur impact sur notre vie numérique et surtout voir comment ces cookies sont juridiquement encadrés.
L’essentiel à retenir sur les cookies ?
Historique :
Pour bien comprendre l’intérêt et le fonctionnement d’un cookie, il est indispensable de remonter à sa source.
C’est en 1994 que Netscape invente le premier cookie. A l’origine, sur le World Wide Web, chaque requête via le protocole http était indépendante donc chaque navigation vers une nouvelle page provoquait l’oubli de toutes les actions précédentes. Face à cela, Netscape a créé le premier cookie pour résoudre un problème de gestion de sessions sur les sites web. L’idée était simple : le cookie serait le moyen de faire communiquer les sessions et de permettre de stocker les informations sur le navigateur des utilisateurs afin de les reconnaitre lors de leurs prochaines visites.
En 1997, les cookies ont étés standardisés par le World Wide Web Consortium . Une spécification commune est alors établie pour les cookies pour permettre une meilleure compréhension et une utilisation cohérente des cookies par les sites web.
En 2002, l’Union européenne a adopté la directive sur la vie privée et les communications électroniques (Directive e-privacy) qui exige le consentement de l’utilisateur pour les cookies.
Puis dans la même année, des navigateurs ont commencés à inclure des paramètres de confidentialités pour contrôler les cookies
Tout compte fait, les cookies ont joué un rôle clé dans l’évolution de la navigation sur internet.
Mais concrètement, qu’est-ce qu’un cookie ?
Définition :
Le cookie peut être doublement défini, d’un point de vue technique et dans le cadre juridique.
Techniquement, un cookie, aussi appelé témoin de connexion, est une petite quantité de données échangées entre un serveur HTTP et un client HTTP, et qui permet de créer une session avec état lors de la visite d’un site Web . En d’autres termes, les cookies sont de petits fichiers texte qui sont stockés sur le navigateur de l’utilisateur lorsqu’il visite un site web. Ils contiennent des informations qui aident les navigateurs à le reconnaitre et à personnaliser son expérience en ligne. Ils se souviennent des préférences et des interactions avec les sites qu’il visite.
La définition juridique du cookie varie de la législation de chaque pays. Au Sénégal, nous n’avons pas une définition légale spécifique du cookie.
En France, la CNIL définit le cookie comme une information déposée sur un terminal utilisateur, ordinateur, smartphone, tablette par le biais d’un site web visité.
Fonctionnement :
En termes concrets, les cookies informatiques fonctionnent de la manière suivante :
Lorsque l’utilisateur visite un site web, ce site envoie de petits fichiers appelés cookies à l’appareil de celui-ci. Ces cookies sont stockés sur le navigateur. Lorsque l’utilisateur revient sur le même site web, son navigateur envoie les cookies correspondants à ce site. Il peut s’agir de cookies contenant des informations particulières telles que les préférences de navigation, les identifiants de connexion et les activités sur le site.
Le site web utilise alors ces informations pour personnaliser l’expérience. Par exemple, il peut se souvenir du choix de langue, des articles préférés dans un panier d’achat en ligne ou des paramètres de connexion.
Les cookies peuvent également être utilisés à des fins statistiques, pour collecter des données anonymes sur la façon dont les utilisateurs interagissent avec le site. Cela permet aux propriétaires de site web de comprendre et d’améliorer l’expérience des utilisateurs.
Cookies et vie privée :
Les cookies soulèvent beaucoup de préoccupations en matière de vie privée. Etant donné que l’une de leur principale fonctionnalité est de recueillir les informations de connexion, ils collectent énormément de données personnelles. Les cookies sont des collecteurs par excellence de données personnelles.
Toutes ces données collectées peuvent plus tard servir à le suivre en ligne, à mettre en place des profils détaillés de lui ou éventuellement être revendues à des tiers à des fins de marketing. Si ces données sont utilisées de manière abusive ou partagées avec des tiers sans autorisation préalable de la personne concernée, cela peut entrainer une violation de la législation sur les données personnelles et porter atteinte à la vie privée.
Une autre problématique résulte de l’usage de cookies tiers. Ces dernières peuvent poser plus de préoccupations relativement à la vie privée. Si le serveur du site est capable de lire et écrire les cookies de l’utilisateur, lorsqu’il incorpore des ressources tierces telles que des images, scripts, le serveur fournissant ces ressources tierces est lui aussi capable de lire et écrire sur le terminal de l’utilisateur en identifiant le contexte tel que l’Url dans lesquelles ces ressources ont été appelées. Ils peuvent alors en savoir plus sur l’internaute en collecter ces données ce qui remet fortement en cause la confidentialité des données.
Cadre juridique des cookies
Le cadre juridique de référence a été posé par la directive 2002/58/CE du 12 juillet 2002 « vie privée et communications électroniques » dite e-privacy. Elle a été complétée par d’autres textes dont le Règlement générale sur la protection des données personnelles (RGPD) de 2018 qui viennent renforcer et harmoniser les règles en matière de protection des données personnelles.
Dans le maillage juridique sénégalais, c’est la loi n°2008-12 du 25 janvier 2008 portant protection des données personnelles qui encadre les cookies sans toutefois qu’un contenu spécifique ne lui soit reconnu. Dès lors, les principes de consentement, de transparence et sécurisation des données prévus par la loi portant protection des données personnelles s’appliquent également aux cookies utilisés sur les sites web sénégalais.
Le cadre juridique mis en place par ces textes sus cités établit des règles strictes encadrant l’utilisation des cookies pour garantir la protection de la vie privée des citoyens. Ces règles ont vocation à s’appliquer nonobstant que les cookies soient collectés sur une tablette, un smartphone, un ordinateur fixe ou mobile, ou tout autre terminal connecté à un réseau internet.
Tout d’abord, comme tout traitement, les traitements par le biais des cookies doivent respecter les principes de base gouvernant le traitement des données à caractère personnel.
La principale règle reste l’obligation de consentement. le traitement des données n’est considéré comme légitime que si la personne concernée donne son consentement. C’est l’article 3 de la loi sénégalaise sur les données qui pose ce principe.
Or, en France, tous les cookies ne sont pas soumis au consentement. Il y a en effet deux exceptions possibles :
– l’exception technique :
Le responsable de traitement peut invoquer l’intérêt légitime comme base légale. Ainsi, si le cookie a pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou s’il est nécessaire à la fourniture d’un service de communication en ligne, le responsable de traitement n’est pas obligé de recueillir le consentement. Il s’agit des cookies de fonctionnalité et de performance.
– L’exception de nécessité :
Cette exception s’applique si le cookie est strictement nécessaire au service demandé par l’utilisateur.
Quoi qu’il en soit, en règle générale le consentement est toujours nécessaire sur les sites puisque les cookies relevant de l’intérêt légitime ne constituent qu’une part des cookies qui s’installent sur les terminaux.
Rappelons que le consentement est définit comme une manifestation de volonté, libre, spécifique, univoque et éclairée . Il est strictement encadré et doit présenter certains caractères. Il doit être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a donné. Doivent être fournis des informations claires sur les types de cookies utilisés, les raisons de leur utilisation et les tiers avec lesquels les données seront partagées. L’internaute doit avoir la possibilité de donner son consentement de manière active, par exemple en cochant une case ou en cliquant sur un bouton.
La législation sur les données accorde également certains droits aux utilisateurs, tels que le droit d’accéder à ses données personnelles, de les rectifier si elles sont incorrectes ou incomplètes, de les supprimer ou de limiter leur traitement. A cela s’ajoutent le droit de s’opposer à certains types de traitements.
Qui est responsable ?
Comme dans tout traitement, c’est celui à l’origine de ce traitement qui est juridiquement responsable. Relativement aux cookies, l’éditeur du site est le premier responsable.
Si l’on se réfère aux dispositions de la loi de 2008 sur les données nous pouvons distinguer deux responsables potentiels :
1. Le Responsable du traitement c’est à dire la personne physique ou morale qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités ;
2. Le Sous-traitant c’est-à-dire la personne physique ou morale qui, sur la base d’un contrat, traite des données pour le compte du responsable du traitement .
Dans tous les cas le législateur sénégalais fait peser la responsabilité sur le responsable de traitement qui peut l’endosser seul ou conjointement avec son sous-traitant. Cette coresponsabilité devra néanmoins être prévue préalablement dès la conclusion du contrat de sous-traitance.
Cette règle est aussi la même en France. La CNIL a néanmoins plus spécifié cette règle en l’adaptant aux cookies. Elle affirme que l’éditeur est responsable même s’il a sous-traité à des tiers, la gestion des traceurs mis en place . Parlant de la coresponsabilité, elle reconnait une responsabilité conjointe si un tiers est autorisé à collecter des cookies pour son propre compte sur le site d’un éditeur .
Tout comme la législation sénégalaise sur les données, le RGPD prévoit qu’en cas de sous-traitance, il faut conclure un contrat avec le sous-traitant par lequel il accepte de respecter les dispositions du RGPD.
Que se passe-t-il lorsque qu’on refuse un cookie ?
Face aux exigences de consentement préalable pour l’installation des cookies, certains sites internet ont mis en place une pratique pour contourner cette règle. Ils font recours à un cookie Wall.
L’expression « cookie wall » ou « mur de traceur », en français, consiste à conditionner l’accès à un service en demandant aux utilisateurs d’accepter les cookies avant d’accéder au contenu du site. Cela signifie que l’utilisateur doit donner son consentement pour que des cookies soient installés sur son terminal avant de pouvoir accéder au site ou à certaines fonctionnalités.
C’est ce caractère obligatoire qui fait que l’utilisation d’un cookie wall est souvent considérée comme contraignante pour les utilisateurs puisque qu’ils peuvent se sentir obligés d’accepter les cookies s’ils veulent accéder au contenu.
Il y a une limitation des choix des utilisateurs pour gérer leurs préférences en matière et cookies et par conséquent une certaine limitation de la vie privée des usagers.
Le constat est que le cookie wall va à l’encontre du principe du consentement qui est défini rappelons-le comme « toute manifestation de volonté expresse, non équivoque, libre, […] . Le consentement n’est donc valide que si la personne exerce un choix réel. Or le cookie wall limite manifestement la liberté de choix de l’utilisateur.
Quelques sanctions prononcées :
– En 2019, une amende de 50 millions d’euros a été infligée à Google par la Commission nationale de l’informatique et des libertés (CNIL) pour non-respect des obligations en matière de consentement des cookies.
– En 2020, la société française Vectaury a été condamnée à une amende de 25 000 euros par la CNIL pour avoir déposé des cookies publicitaires sans recueillir le consentement des utilisateurs.
– Le 07 décembre 2020, la CNIL a sanctionné Amazon Europe Core a une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du site de vente « Amazon.fr » sans consentement préalable ni information satisfaisante.
Bonnes Pratiques :
| - Rester informé : Se renseigner sur les différents types de cookies et leur impact sur la vie privée.
– Lire les politiques de confidentialité : Avant de donner son consentement, lire attentivement les politiques de confidentialité des sites web pour comprendre comment tes informations seront utilisées et partagées. – Donner un consentement éclairé : S’assurer de bien comprendre quelles sont les informations qui seront traitées et comprendre les implications de ce consentement/ – Être vigilant : Éviter de cliquer sur des liens suspects ou de fournir des informations confidentielles à moins d’être sûr de la légitimité du site. – Contrôler tes paramètres : Utiliser les paramètres de votre navigateur pour contrôler les cookies et les personnaliser selon vos préférences. – Supprimer régulièrement les cookies : Penser à effacer régulièrement les cookies du navigateur. Cela permet de supprimer les informations stockées par les sites web et d’éviter que les cookies ne recueillent trop d’informations sur vous. |