Zoom sur les cookies

Les cookies alimentent les débats sur la protection de la vie privée depuis bientôt 20 ans. Invisibles et ignorés du plus grand nombre, ils améliorent pourtant notre expérience web et les propriétaires de site pourraient difficilement s’en passer. Or, le RGPD et le futur règlement européen e-privacy posent de nouvelles exigences dont il faudra tenir compte.  Explication.

Presque tous les sites utilisent des cookies parce qu’ils facilitent la collecte d’informations mais surtout parce qu’ils rendent la navigation sur le Web beaucoup plus fluide.  En soi, les cookies sont plutôt utiles, mais tout dépend, comme l’indique le schéma ci-dessous, de l’utilisation qui est ensuite faite des informations récoltées.

Que sont les cookies

Avant de dire ce que sont les cookies … commençons par casser un mythe et préciser ce qu’ils ne sont pas !  Les cookies ne sont pas des programmes. Ils ne sont pas exécutables et ne peuvent donc rien installer sur votre ordinateur, ni en extraire des données ou des renseignements à votre sujet. Les cookies ne sont ni des logiciels espions ni des virus, même si certains cookies sont détectés par plusieurs logiciels antivirus parce qu’ils peuvent permettre de suivre les activités des internautes.

Un cookie est un petit fichier texte déposé  sur votre disque dur via votre navigateur (chrome, firefox, safari, …) lorsque vous consultez un site internet, installez un logiciel ou une appli mobile.

Un cookie contient un “identifiant unique” qui agit comme une étiquette. Lorsqu’un site Web lit le cookie déposé sur votre machine, il la reconnaît et sait que vous avez déjà visité ce site.

À l’origine, le cookie a été développé en tant que service destiné à doter les sites web d’une mémoire, dans le but de renforcer l’expérience utilisateur et de simplifier l’interaction entre site et utilisateur tout en la rendant plus intuitive. (cookiebot)

Histoires de cookies

L’origine du mot cookies est floue et laisse la part belle au storytelling.

• Une première version fait référence à la légende de Hansel & Gretel qui marquent leur chemin à travers la forêt en laissant tomber des « miettes de biscuits » derrière eux pour qu’ils puissent retrouver leur route. L’histoire évoque bien sûr la capacité des cookies à suivre votre activité. Mais il semble plus logique d’associer ce conte aux breadcrumbs (nom anglais du fil d’ariane présent sur de nombreux sites).
• La seconde raconte l’histoire d’un informaticien qui quitte sa société. Des choses étranges se produisent après son départ ! En effet, de temps en temps, le système informatique de la société s’arrête et l’écran affiche un message: « Donnez-moi un cookie« . Et le système ne revient à la normale que lorsque l’opérateur entre le mot « cookie » dans le système.
• Une troisième version renvoie aux “fortune cookies” (ces biscuits dans lesquels on trouve un petit message de bonne fortune) qu’utilisait un programme d’Unix. Au démarrage, le système présentait à l’utilisateur qui se connectait, une citation, une blague ou un message sympa. Ces informations étaient stockées dans un « fichier cookie », que les administrateurs modifiaient à leur guise pour y ajouter leurs propres messages.
• Mais, selon toute vraisemblance, le terme cookies dérive de magic cookies, un terme déjà utilisé par les programmeurs pour désigner un paquet de données qu’un programme reçoit et renvoie inchangé.

Source : cookiecontroller

Dans les faits, la première utilisation d’un browser cookie remonte à 1994.  Un programmeur nommé Lou Montulli a alors l’idée d’utiliser un fichier texte pour stocker des informations liées à la création d’un panier d’achat virtuel. Par la suite, il utilise cette même technique pour déterminer si un internaute a déjà visité le site Netscape ou si c’est sa première visite. A cette époque, les cookies sont acceptés par défaut par tous les navigateurs et très peu d’utilisateurs ont la moindre idée de leur présence ou de leur utilisation.

En 1996 le Financial Times publie un article détaillant leur existence, leur but et leur utilisation. Et par la suite, les médias s’emparent du sujet pour attirer l’attention sur les risques d’atteinte à la vie privée inhérents au suivi des visiteurs.

Typologie des cookies

Vous n’avez probablement pas conscience du nombre de cookies placés dans votre ordinateur lorsque vous visitez un site, un blog ou une boutique en ligne :

• boutons de partages de réseaux sociaux,
• publicités installées via des régies et plateformes publicitaires,
• paniers de commande sur un e-shop,
• recherches sur un site,
• authentification d’un membre,
• ouverture de session,
• outils de statistique,

Quoi qu’il en soit, on peut classer tous ces cookies selon différents critères :

en fonction de leur origine

• Cookies propriétaires : Ces cookies garantissent le bon fonctionnement du site auquel vous accédez. Ils servent par exemple à retenir vos préférences d’affichage et donc à faciliter votre navigation sur un site.
• Cookies tiers : Il s’agit des cookies déposés par des sociétés tierces sur le site auquel vous avez accédé. Le but de ces cookies est souvent de recueillir des informations destinées à se renseigner sur votre comportement et vos préférences à des fins publicitaires. C’est clairement ce type de cookies qui inquiète le plus les internautes.

en fonction de leur durée

• Cookies de session : ces cookies temporaires expirent dès que vous quittez le site. Surtout utilisés par les boutiques en ligne, ils gardent en mémoire les articles que vous avez placés dans le panier pendant une même session d’achat.
• Cookies permanents : ces cookies peuvent rester sur votre disque pendant un certain temps après que la session ait pris fin. Bien que la loi exige qu’ils soient supprimés après maximum 13 mois, certains restent à vie sur votre disque dur si vous ne les effacez pas.
  Ces cookies sont utilisés pour conserver vos identifiants et mots de passe, vos coordonnées et vos numéros de compte pour vous éviter de les introduire à chaque fois que vous utilisez un site.

en fonction de leur utilité

• Cookies fonctionnels : essentiels pour mémoriser vos données d’authentification sur une site ou pour améliorer votre expérience utilisateur.
• Cookies publicitaires : en identifiant les habitudes de consommation ou certaines préférences des internautes, les cookies permettent aux annonceurs d’affiner leurs publicités et d’adapter les contenus promotionnels aux intérêts de chaque internaute.
• Cookies de sécurité : transmis uniquement par HTTPS, ce qui garantit que les données contenues dans le cookie sont cryptées lorsqu’elles passent entre le site Web et le navigateur. Ces cookies sont utilisés par l’e-commerce et les services bancaires.

A quoi servent les cookies ?

Au-delà des cookies fonctionnels qui facilitent l’utilisation d’un site, certains poursuivent d’autres objectifs, plus ou moins avoués et avouables :

Navigation et connexion

Ces cookies sont essentiels pour fluidifier votre navigation sur un site

• en retenant vos préférences (langue, localisation, système d’exploitation, …)
• en mémorisant les articles ou les contenus consultés
• en retenant vos identifiants (login et mot de passe).

Marketing et affichage publicitaire

Une grande partie des cookies installés sur votre ordinateur pendant votre navigation servent à vous identifier en tant que consommateur. Grâce à eux, les annonceurs peuvent mettre en place des publicités plus précises et plus ciblées lors de vos futures navigations sur le web. C’est le principe du retargeting : vous visitez par exemple un site à la recherche d’une voiture, vous retrouverez ensuite des annonces et des promotions liées à l’automobile sur d’autres sites que vous visiterez (même s’ils n’ont plus rien à voir avec votre première recherche).

Les régies publicitaires sont friandes des informations captées par les cookies dont elles se servent pour personnaliser les messages et les publicités qu’elles vous montrent. Songez à Amazon et à ses suggestions de livres directement liés à votre dernier achat ou à une recherche précédente.

Statistiques et profilage

Les cookies de pistage sont utilisés pour suivre les habitudes de navigation des internautes. Le pistage au sein d’un seul site est généralement utilisé pour un usage statistique (trafic, pages vues, localisation des visiteurs, …). Par contre, le pistage dans différents sites à l’aide des cookies tiers est utilisé par les publicitaires pour produire des profils d’utilisateurs anonymes

Comment cela fonctionne ?
Prenons un exemple pour mieux comprendre.
Si vous visitez le site d’Amazon, votre navigateur contactera le serveur d’Amazon et demandera sa page d’accueil. Il cherchera également sur votre ordinateur un fichier cookie qu’Amazon a défini. S’il le trouve, votre navigateur l’enverra au serveur d’Amazon.
Le serveur d’Amazon reçoit les données des cookies en même temps que la demande de page. S’il ne reçoit aucune paire nom-valeur, Amazon sait que vous n’avez jamais visité son site auparavant. Il crée alors un nouvel ID dans sa base de données et envoie des paires nom-valeur à votre machine qui les stocke sur votre disque dur.
Le serveur Web peut changer les paires nom-valeur ou ajouter de nouvelles paires chaque fois que vous visitez le site. Il peut aussi envoyer d’autres informations comme une date d’expiration ou un chemin d’accès.

Les cookies et la loi

La loi impose aux responsables de sites et aux fournisseurs de solutions d’informer les internautes et de recueillir leur consentement avant l’insertion de cookies ou autres traceurs.

La loi s’applique quel que soit le type de terminal utilisé et concerne donc les traceurs déposés sur les ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéos connectées à Internet.

Les nouvelles obligations liées au RGPD

Le principal changement introduit par le RGPD, c’est que les cookies sont considérés comme des données personnelles. Ils rentrent pleinement dans la définition de l’article 4 relatif aux identifiants en ligne en tant que références directes ou indirectes à la personne physique.

Et même si les cookies ne sont cités qu’une seule fois dans le RGPD, tout ce qui s’applique aux données personnelles, s’applique également aux cookies.

Vous devez donc obtenir le consentement explicite de chaque internaute et vous devez l’informer précisément de la finalité des cookies.  Enfin, vous devez garder une trace de ces consentements et donner à chacun la possibilité de les refuser à n’importe quel moment.

Pour rappel
Vous devez informer les visiteurs de votre site que vous utilisez des cookies, expliquer clairement ce qu’ils font et pourquoi et obtenir leur consentement.
Pour cela, vous devrez créer une page explicative et ajouter une bannière ou un popup invitant l’internaute à accepter (ou rejeter) les cookies.
Seule exception : les cookies indispensables au bon fonctionnement d’un service en ligne (par exemple ajout de contenu dans le panier d’un e-shop , ou la sécurité des services bancaires en ligne) sont dispensés de consentement.

Quelques exceptions

Certains cookies indispensables au bon fonctionnement d’un site ne nécessitent pas d’autorisation préalable de l’internaute. Il s’agit par exemple des cookies liés au panier achat pour une boutique en ligne, aux paramètres d’authentification, au choix de la langue ou du navigateur, etc.

Mise en conformité sur WordPress

Par défaut, WordPress utilise des cookies à des fins d’authentification pour stocker les informations de session pour les utilisateurs connectés. Il établit également un cookie lorsque quelqu’un laisse un commentaire sur votre site.  Enfin, les plugins peuvent aussi définir leurs propres cookies pour stocker différentes informations.

L’information obligatoire à propos de l’utilisation de ces cookies prendra la forme d’une fenêtre popup ou d’un bandeau d’avertissement.  Vous devrez donc installer et activer un plugin Cookie Consent.

Il existe plusieurs plugins qui remplissent cette fonction. Les plugins les plus populaires sont Cookie Notice, Cookie Consent, Cookie Law Info ou encore EU Cookie Law.

Attention, il ne suffit pas d’ajouter un plugin pour être conforme au RGPD. Vous devez aussi :

• Fournir des informations claires sur les données récoltées et sur le but des cookies.
• Bloquer les cookies jusqu’à ce que le visiteur ait donné son consentement.
• Conserver une documentation complète de tous les consentements donnés.
• Donner la possibilité aux utilisateurs de rejeter les cookies superflus.
• Donner aux utilisateurs la possibilité de retirer leur consentement quand ils le veulent.

Comment limiter les risques liés aux cookies

En règle générale les cookies sont plutôt utiles. Mais, il est néanmoins possible que leur utilisation soit détournée et qu’ils soient utilisés à des fins malveillantes. Ils peuvent alors être utilisés comme une forme de spyware et devenir des menaces potentielles.

Heureusement, tous les navigateurs intègrent des contrôles de confidentialité qui fournissent des niveaux d’acceptation, de temps de conservation et d’élimination des cookies. La sauvegarde de votre ordinateur peut vous donner la tranquillité d’esprit que vos fichiers sont en sécurité.

Bon à savoir
Les cookies ne peuvent pas être utilisés pour voler des informations de votre ordinateur. Ils ne peuvent pas voir d’autres fichiers et dossiers que votre navigateur et ne peuvent pas transférer des informations à qui que ce soit d’autre.

Vous pouvez à tout moment décider d’accepter ou non les cookies d’un site (en cliquant sur le bandeau qui doit obligatoirement apparaître lors de votre première visite).  Dans ce cas, vous acceptez ou refusez les cookies au cas par cas, site par site.

Activer ou désactiver les cookies sur votre navigateur

Mais vous pouvez aussi configurer votre navigateur pour accepter ou refuser l’ensemble des cookies. Dans ce cas, vous constaterez probablement que votre expérience de navigation est un peu moins fluide mais vous laisserez moins de traces sur l’internet. A vous de choisir ce qui a le plus d’importance pour vous.

La gestion des cookies varie d’un navigateur à l’autre. Vous pourrez la paramétrer via le menu d’aide de votre navigateur  :

Sur Internet Explorer

1. Cliquez sur la roue dentée en haut à droite de la fenêtre > sélectionnez Outils > Options Internet.
2. Cliquez sur l’onglet confidentialité.
3. Cliquez sur le bouton avancé, cochez la case » Ignorer la gestion automatique des cookies ».

Sur Microsoft Edge

1. Cliquez sur l’icône en haut à droite de la fenêtre. Ouvrez le menu de réglages > Paramètres.
2. Dans la section Effacer les données de navigation, cliquez sur Choisir les éléments à effacer.
3. Cochez la case Cookies et données de sites Web enregistrées et cliquez sur Effacer.

Sur Firefox

1. Cliquez sur l’icône ≡ en haut à droite et sélectionnez Options
2. Sélectionnez le panneau Vie privée et sécurité et rendez-vous à la section Historique.
3. Dans le menu déroulant à côté de Règles de conservation, choisissez Utiliser les paramètres personnalisés pour l’historique.
4. Décochez la case Accepter les cookies pour les désactiver. Choisissez combien de temps les cookies peuvent être conservés.
5. Fermez la page. Toutes vos modifications sont automatiquement enregistrées.

Dans Chrome

1. Cliquez sur l’icône en haut à droite > Paramètres.
2. En bas, cliquez sur Paramètres Avancés.
3. Dans la section « Confidentialité et sécurité », cliquez sur Paramètres du contenu.
4. Cliquez sur Cookies.
5. Vous pouvez désactiver l’option Autoriser les sites à enregistrer/lire les données des cookies.

Sur Safari

1. Allez dans Réglages > Préférences
2. Cliquez sur l’onglet Confidentialité
3. Dans la zone « Bloquer les cookies », cochez la case « toujours ».

Sur Opéra

1. Allez dans Réglages > Préférences
2. Cliquez sur l’onglet « avancés »
3. Dans la zone « Cookies », cochez la case « Ne jamais accepter les cookies ».

En conclusion, quel avenir pour les cookies ?

Difficile de prédire ce que deviendront les cookies, tant les enjeux économiques et technologiques sont importants.  Mais il est vrai que les consommateurs sont de plus en plus réticents face à  l’utilisation de leurs données par les marques.  A tel point qu’on observe une explosion du taux de téléchargement des adblockers.

Cookies : inadaptés aux nouvelles habitudes de surf

Les cookies ne fonctionnent pas bien sur les appareils mobiles. Les applications sont incapables de collecter les cookies et ils ont tendance à ralentir le lancement des sites Internet, alors que la vitesse de chargement est un critère important pour les mobinautes.

Autre défaut fondamental : les cookies sont liés à un navigateur et non pas à un individu. Or, nous nous connectons de plus en plus souvent sur plusieurs appareils et dans plusieurs environnements. Plus de 40 % des marketeurs affirment que les systèmes basés sur les cookies manquent de précision concernant l’identité de l’utilisateur.

L’Europe a déclaré la guerre aux cookies

Dans le cadre du projet e-privacy, l’Europe veut limiter la portée des cookies afin de mieux protéger la vie privée des internautes et combattre les abus de ces dernières années : on ne compte plus les fuites et les partages de données entre partenaires commerciaux, sans que les utilisateurs en soient clairement informés.

Le règlement veut donc imposer aux navigateurs de soumettre aux utilisateurs l’acceptation ou le refus du dépôt des cookies dès la configuration initiale de ceux-ci.  Cependant, un tel changement risque bien de sonner le glas de certains sites et médias qui ne fonctionnaient qu’au travers de la technique du cookie.

Des alternatives existent

Parmi les alternatives aux cookies, on peut mentionner le ciblage contextuel comportemental qui permet d’identifier le comportement d’un consommateur lorsqu’il visite un site internet et de l’attribuer à un profil de consommation.

Le Canvas fingerprinting permet aux sites web et aux régies publicitaires d’identifier les internautes via les composants de leur machine. Cette “empreinte” du système sert d’identifiant unique.  Un script de suivi génère une image, qui est chargée en arrière-plan et contient un court texte. Le rendu de l’image varie légèrement selon le système d’exploitation, le navigateur, la puce graphique, le pilote graphique et les polices installées. Cette différence minimale est suffisante pour identifier l’appareil et donc l’utilisateur avec une forte probabilité de les reconnaître lorsqu’ils visitent un autre site Web qui utilise la même méthode de suivi.

De son côté, Apple a décidé d’activer par défaut sa technologie Intelligent Tracking Prevention avec iOS 11. Il s’agit de limiter à 24 heures la durée de vie des cookies tiers et à trente jours celle des autres, à moins que vous n’interagissiez avec le domaine.

Nul doute que d’autres solutions émergeront. Mais une chose est sûre, ce n’est pas demain la veille que les internautes cesseront d’être suivi sur la toile !

Pour aller plus loin

• Cookies & traceurs : outils et codes sources – CNIL
• Cookies internet : que sont-ils et que font-ils ? – cookiebot
• Le business model du cookie face au règlement ePrivacy – DPO Consulting