Les cookies et la loi : de quoi parle-t-on ?
Attention, la définition de “cookies” n’est pas la même pour tous
Alors que le monde du web est en pleine ébullition suite aux dernières sorties de la CNIL concernant la gestion des cookies, et plus particulièrement contre l’utilisation de Google Analytics, il semble important de redéfinir ce qui est autorisé (et ce qui ne l’est pas, par contraposée), en matière de mesure sur le web.
Cookie First party, cookie Third party, server side,… qu’est-ce que cela signifie ?
Cookie First party ou cookie “interne”
Il s’agit d’un fichier texte, déposé sur le navigateur de l’internaute, pour relier toute la navigation d’un utilisateur, page par page et visite par visite, sur un site web donné (un nom de domaine, et ses sous-domaines rattachés). C’est un cookie utilisé par les outils d’analytics (ex le plus connu : Google Analytics) qui réalisent une mesure en silo : site par site, sans relier les données d’un site à un autre même s’ils sont posés sur plusieurs sites visités par un même internaute.
Cookie Third party ou cookie “tiers”
Il s’agit là aussi d’un fichier texte, déposé sur le navigateur de l’internaute, pour relier toute la navigation d’un utilisateur, page par page et visite par visite, sur un ensemble de sites web donnés (partout où le tag écrivant et lisant ce fichier est déposé).C’est un cookie utilisé par exemple par les outils de publicité (exemples les plus connus : Google Ads et Facebook Ads) afin de mesurer la navigation de l’internaute de bout en bout, et de pouvoir suivre, voire cibler, ledit internaute, sur n’importe quel site à partir de son historique de navigation. Ces cookies sont de plus en plus bloqués par les navigateurs (iOS, Firefox, bientôt Chrome,…) car considérés comme trop intrusifs.
Serverside
Il s’agit d’un type de tag qui, en opposition aux tags javascript classiques, envoie des données depuis un serveur (littérallement : “côté serveur”) et plus depuis un navigateur. Il a donc pour effet de moins alourdir la page web vue par l’internaute, mais il ne s’affranchit pas de l’utilisation des cookies (qu’ils soient First ou Third party). Par exemple, le tag API Facebook serverside a toujours besoin de l’identifiant contenu dans le cookie Facebook.D’un point de vue légal, l’utilisation de l’API Facebook ou du “Pixel Facebook” n’a aucune incidence.
Que dit la CNIL dans tout ça ?
Quand il est question de régulation, la CNIL ne fait pas de distinction entre cookies et tags. En effet, dans la loi informatique et Liberté revue en 2019, il n’est pas tant question de cookies que de lecture et écriture des données personnelles sur le terminal d’un utilisateur (https://www.cnil.fr/fr/la-loi-informatique-et-libertes#article82). La question de la technologie utilisée importe peu, le sujet est de protéger les données personnelles de l’internaute.
Or, toute donnée de navigation de l’internaute est considérée comme personnelle par cette même loi. Il est donc interdit de lire ou écrire des données, quelles qu’elles soient, sur le terminal d’un utilisateur, sans son accord préalable (que l’outil qui permet de lire et/ou écrire ces données utilise des cookies ou non). La loi (et donc la CNIL) fait par contre une différence entre les données personnelles “anonymes” et les données personnelles “non anonymes”.
Par exemple, un identifiant ‘anonyme’ stocké dans un cookie (comme c’est généralement le cas) est considéré par la loi comme une donnée personnelle non anonyme car elle permet d’identifier de manière indirecte un internaute (de même pour un identifiant de transaction, une adresse IP, ou un login utilisateur par exemple).
Attention donc à faire la part des choses : ce n’est pas parce qu’un outil annonce qu’il n’utilise plus les cookies qu’il peut pour autant se prévaloir de ne pas avoir besoin d’obtenir le consentement préalable de l’internaute : la seule possibilité pour être “exempté de consentement préalable” est de remplir les 4 conditions suivantes :
- Avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur.
- Servir à produire des données statistiques anonymes uniquement.
- Ne pas conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers ;
- Ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Toute solution utilisant un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites) pour croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.