Cookies 101

Image of Carlo Cilento

Publié le 9 avr. 2024 et modifié le 2 avr. 2025 par Carlo Cilento

Lorsque l'on parle de protection de la vie privée en ligne, les cookies reviennent toujours sur le tapis. Mais comment fonctionnent-ils et quelles sont les règles applicables ?

Vous pensez peut-être que les cookies nécessitent un consentement. Après tout, de nombreux sites web vous importunent avec des bannières de cookies ! Mais les règles sont plus complexes que cela et tous les cookies ne sont pas traités de la même manière par la loi. Voyons donc ce qu'il en est des cookies et de leurs obligations légales dans l'UE.

  1. Que sont les cookies et à quoi servent-ils ?
  2. Comment les cookies sont-ils réglementés en Europe ?
  3. Quels sont les différents types de cookies ?
    1. Première partie ou tierce partie
    2. Essentiels ou non essentiels
    3. Unique ou non unique
  4. Comment les cookies sont-ils réglementés ?
    1. Les cookies non essentiels nécessitent un consentement...
    2. ... mais pas les cookies essentiels
    3. Des règles supplémentaires du GDPR peuvent s'appliquer
    4. Que se passe-t-il si j'utilise des cookies à des fins multiples ?
    5. Le consentement, c'est l'opt-in
  5. Qu'en est-il des applications ?
  6. Les cookies sont-ils utiles pour l'analyse web ?
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Que sont les cookies et à quoi servent-ils ?

Les cookies sont de petits fichiers stockés dans votre navigateur qui échangent des informations avec le serveur lorsque vous naviguez sur un site web.

Bien que les cookies soient souvent associés à l'analyse du Web, ils sont utilisés à toutes sortes de fins différentes. De nombreux sites web les utilisent pour lutter contre la fraude, assurer la sécurité du web et automatiser les connexions. La finalité des cookies est importante car tous les cookies ne sont pas traités de la même manière en vertu de la législation européenne - nous y reviendrons plus tard.

Comment les cookies sont-ils réglementés en Europe ?

Les règles relatives aux cookies sont quelque peu complexes dans l'Union européenne :

  • Si vos cookies sont essentiels au fonctionnement de votre site web, vous n'avez pas besoin de consentement.
  • Si vos cookies ne sont pas essentiels, vous devez obtenir le consentement des internautes pour les utiliser. Cela signifie généralement l'affichage d'une bannière de cookies.
  • Si votre cookie possède un identifiant unique, vous avez certaines obligations en vertu du GDPR. Vous pouvez toujours placer ces cookies sans consentement, s'ils sont essentiels.

Encore une fois, ce blog se réfère uniquement à la législation de l'UE. Les différentes législations réglementent les cookies différemment : par exemple, le Royaume-Uni et le Brésil sont étroitement alignés sur les lois européennes, tandis que les réglementations américaines sont généralement plus permissives.

Quels sont les différents types de cookies ?

Bien que tous les cookies fonctionnent de la même manière, il existe des distinctions entre eux, dont certaines sont importantes pour la législation.

Première partie ou tierce partie

Les cookies de première partie ne peuvent être lus que par le domaine qui les a enregistrés dans votre navigateur, tandis que les cookies de tierce partie peuvent également être lus par d'autres domaines.

Par exemple, si vous visitez Facebook et acceptez les cookies tiers de Meta, d'autres sites web pourront également lire ces cookies. Cela permet à Meta de "personnaliser votre expérience" (c'est-à-dire de vous proposer des publicités ciblées basées sur un profilage invasif, à la fois sur Facebook et sur d'autres sites web qui dépendent de Meta pour placer des publicités).

D'autre part, si vous acceptez les cookies de première partie de www.coolwebsite.com, le site sera en mesure de les lire - mais un domaine différent tel que _www.awesomewebsite.com\_ ne le pourra pas.

Les cookies tiers sont très envahissants. C'est pourquoi tant d'internautes font tout leur possible pour installer des bloqueurs de publicité, et pourquoi de nombreux navigateurs bloquent les cookies tiers ou limitent l'espionnage par d'autres moyens (comme les jarres à cookies de Mozilla Firefox). Cette réaction générale contre les cookies a été qualifiée de plus grand boycott de l'histoire de l'humanité et rend les cookies tiers de plus en plus inefficaces en tant qu'outil de reciblage.

Essentiels ou non essentiels

Les cookies essentiels sont ceux dont une application ou un site web a besoin pour fonctionner correctement. Par exemple, les cookies utilisés pour prévenir les attaques DoS contre les sites web sont essentiels, tandis que les cookies d'analyse web sont non essentiels.

Il s'agit de la principale distinction d'un point de vue juridique, car les cookies non essentiels nécessitent toujours un consentement en vertu de la législation européenne (nous y reviendrons). En fait, les cookies non essentiels sont parfois qualifiés d'optionnels en raison de leur réglementation généralement plus stricte.

Unique ou non unique

Enfin, examinons une troisième distinction souvent négligée. Certains cookies comportent un identifiant unique, c'est-à-dire une chaîne de chiffres qui identifie un utilisateur individuel (ou plus exactement son navigateur). Cet identifiant permet à un site web de suivre un utilisateur individuel, car il n'y a pas deux cookies identiques.

Les outils d'analyse web courants, tels que Google Analytics et Adobe Analytics, utilisent des cookies d'identification pour suivre les internautes et établir leur profil en fonction de leurs habitudes de navigation. Il s'agit donc du type de cookies dont se plaignent (à juste titre) les défenseurs de la vie privée. Mais les cookies d'identification ont également d'autres usages, moins invasifs : par exemple, de nombreux sites web les utilisent pour lutter contre la fraude, et les plateformes de commerce électronique les utilisent souvent pour suivre les produits qui se trouvent dans votre panier.

Les identifiants uniques sont importants d'un point de vue juridique car ils sont considérés comme des données à caractère personnel. Ainsi, les cookies dotés d'identifiants uniques sont toujours des données à caractère personnel et tombent sous le coup du GDPR, alors que les cookies sans identifiants uniques ne le sont pas.

Comment les cookies sont-ils réglementés ?

Les règles relatives aux cookies figurent principalement dans deux sources juridiques : le GDPR et la directive ePrivacy. La réglementation des cookies est quelque peu compliquée car les deux lois diffèrent en termes de critères, de terminologie et de champ d'application.

Comme nous l'avions prévu dans notre article " td;dr:

  • Les cookies non essentiels nécessitent toujours un consentement explicite.
  • Les cookies non essentiels ne requièrent aucun consentement.
  • Certains cookies sont soumis à d'autres exigences en vertu du GDPR, qu'ils soient essentiels ou non.

Décortiquons ces règles petit à petit.

Les cookies non essentiels nécessitent un consentement...

La directive "vie privée et communications électroniques" (plus précisément l'article 5, paragraphe 3) exige le consentement pour accéder aux données stockées sur l'équipement terminal d'un utilisateur. Cela signifie que les cookies ne peuvent être utilisés qu'avec le consentement de l'utilisateur - mais il existe des exceptions, comme nous le verrons -.

L'article s'applique également à d'autres technologies que les cookies, car il est formulé de manière très large. Par exemple, les traceurs intégrés dans les applications mobiles nécessitent également un consentement, tout comme les identificateurs publicitaires pour les appareils mobiles tels que l'AAID de Google ou l'IDFA d'Apple.

Cette règle de consentement obligatoire est plus stricte que celles prévues par le GDPR. L'idée que le GDPR ne concerne que le consentement est trompeuse, car il existe des moyens tout à fait légitimes de collecter des données sans consentement(comme nous l'avons expliqué ici).

... mais pas les cookies essentiels

La directive prévoit une exception pour les données "strictement nécessaires à la fourniture d'un service de la société de l'information" à la demande de l'utilisateur.

Cette exclusion est interprétée de manière très large par les régulateurs et couvre toutes les données dont les sites web et les applications ont besoin pour fonctionner. C'est pourquoi les cookies essentiels ne nécessitent pas de consentement, comme nous l'avions prévu.

Par exemple, supposons que vous visitiez un site web de commerce électronique et que vous changiez la langue en espagnol. Votre préférence linguistique est probablement stockée dans un cookie. Il s'agit d'un cookie essentiel : pour que vous puissiez naviguer sur le site web, celui-ci doit afficher son contenu dans une langue que vous pouvez comprendre. Le site web n'a donc pas besoin de votre consentement pour le faire.

Mais si le même site web veut utiliser des cookies Google Analytics, il a besoin de votre consentement. En effet, l'analyse web et le reciblage sont des activités supplémentaires que le site web souhaite réaliser, mais qu'il n'est pas obligé de réaliser.

(Par ailleurs, la directive "vie privée et communications électroniques" prévoit une deuxième exception pour les données qui sont strictement nécessaires pour rendre la communication possible. Cette exclusion ne s'applique généralement pas aux cookies, mais elle mérite tout de même d'être mentionnée).

Des règles supplémentaires du GDPR peuvent s'appliquer

Le GDPR et la directive ePrivacy n'ont pas le même champ d'application : le GDPR s'applique aux données personnelles, tandis que la directive ePrivacy (et l'article 5 en particulier) s'applique à toutes les données de communication, qu'il s'agisse de données personnelles ou non. Cela complique un peu les choses, car certains cookies relèvent à la fois de la directive "vie privée et communications électroniques" et du GDPR, tandis que d'autres ne relèvent que de la directive "vie privée et communications électroniques".

Expliquer tout cela en détail rendrait ce blog trop long, mais pour résumer, voici ce qu'il en est :

  • Les cookies qui relèvent du GDPR sont, une fois de plus, ceux qui contiennent un identifiant unique.
  • Si le GDPR s'applique, certaines règles générales s'appliquent également (par exemple, les bases légales, les obligations d'information, le droit d'accès aux données, etc. Ce n'est pas parce que le GDPR s'applique que vous avez besoin d'un consentement ! Les cookies à identifiant unique peuvent toujours être utilisés sans consentement s'ils sont essentiels. Dans l'exemple ci-dessus, les cookies uniques utilisés par les sites de commerce électronique pour suivre les articles dans votre panier sont des cookies essentiels et sont exemptés de l'obligation de consentement.

Que se passe-t-il si j'utilise des cookies à des fins multiples ?

Les cookies sont parfois utilisés à des fins multiples. Par exemple, vous pouvez utiliser le même cookie pour la lutte contre la fraude et l' analyse du web.

Vous comprenez pourquoi les cookies à finalités multiples posent problème. Les cookies non essentiels requièrent un consentement alors que les cookies essentiels n'en requièrent pas. Qu'en est-il des cookies qui remplissent à la fois des objectifs essentiels et non essentiels ?

Heureusement, le Comité européen de la protection des données s'est penché sur la question il y a quelque temps : tant que l'une des finalités n'est pas essentielle, le cookie requiert le consentement de l'utilisateur. Cette clarification importante comble des lacunes dangereuses qui permettraient autrement un suivi non consensuel.

En pratique, il s'agit d'éviter d'utiliser les mêmes cookies pour des finalités essentielles et non essentielles. Cela vous permet de respecter le choix de l'utilisateur tout en étant en mesure d'écrire tous les cookies essentiels qui permettent à votre site web de fonctionner.

Le consentement, c'est l'opt-in

Le consentement est un sujet complexe. Nous ne pouvons qu'en effleurer la surface ici, mais il convient de souligner que seul le consentement actif, opt-in, est valable. Il n'existe pas de consentement implicite ou opt-out dans le cadre du GDPR !

La règle du consentement actif a des conséquences importantes pour l'analyse web :

  • Votre bannière de cookies doit utiliser une formulation affirmative telle que "J'accepte les cookies" ou "Je consens à l'utilisation de cookies". Évitez les formulations ambiguës telles que la reconnaissance de l' utilisation des cookies.
  • Votre site web ne doit pas écrire de cookies non essentiels tant que l'utilisateur n'a pas fait son choix. Ignorer la bannière de cookies et continuer à défiler n'est pas un choix, et il en va de même pour le fait de cliquer sur un bouton "fermer/X/dissimuler".

Il y a encore beaucoup à dire sur le consentement et les cookies, en particulier en ce qui concerne l'analyse du web, et nous reviendrons peut-être bientôt sur le sujet.

Qu'en est-il des applications ?

Le suivi des applications est différent du suivi basé sur les cookies dans la mesure où les traceurs sont généralement intégrés directement dans l'application. Toutefois, l'article 5 de la directive "vie privée et communications électroniques" est formulé de manière très large et les traceurs que l'on trouve généralement dans les applications entrent dans son champ d'application.

En bref, la règle est la même : si le traçage n'est pas strictement nécessaire, il nécessite le consentement de l'utilisateur.

Mais cette exigence est largement ignorée. La majeure partie de l'industrie des applications utilise des kits de développement logiciel (SDK) de tiers qui sont truffés de traceurs. Ces kits collectent des données au profit du développeur du kit et ignorent ou contournent souvent les règles de consentement. Le résultat final est un suivi illégal à l'échelle planétaire.

Pour ne rien arranger, vous avez moins de contrôle sur vos applications que sur les sites web que vous visitez, car vous ne pouvez pas installer de bloqueur de publicité ou vérifier et supprimer les traceurs comme vous le feriez avec les cookies de votre navigateur. C'est la raison pour laquelle toutes les entreprises essaient de vous imposer une application pourrie.

Tl;dr : les applications suivent les mêmes règles que les cookies, mais les entreprises jouent les idiotes.

Les cookies sont-ils utiles pour l'analyse web ?

Cela dépend. Les services d'analyse basés sur les cookies, tels que Google Analytics et Adobe Analytics, peuvent collecter des données fines, mais ces données se font au détriment de la vie privée de l'utilisateur. Il s'agit d'un problème éthique qui peut devenir un problème pratique dans les juridictions ayant des exigences strictes en matière de consentement, telles que l'UE, car les bannières de cookies entraînent des taux élevés d'exclusion et des analyses inexactes.

Simple Analytics peut résoudre ce problème. Notre service est conçu pour vous fournir toutes les informations dont vous avez besoin sans utiliser de cookies et sans collecter de données personnelles. Simple Analytics est une excellente alternative à Google Analytics, axée sur la protection de la vie privée, ainsi qu'un complément parfait à ce dernier, qui permet d'atténuer la perte de données due aux bannières de cookies.

Si vous êtes curieux, n'hésitez pas à nous essayer !

GA4 est complexe. Essayez Simple Analytics

GA4, c'est comme être assis dans le cockpit d'un avion sans licence de pilote

Commencer gratuitement maintenant