/ LinkedIn 14 mn

Cookies et libertés individuelles, tous dans le droit chemin

Cookies et liberté, la loi

Depuis décembre 2013 on voit fleurir dans nos navigateurs web des alertes sur les cookies nous demandant d’accepter leur installation avant de continuer la visite du site en cours d’affichage ou simplement qui portent à notre connaissance l’utilisation des cookies par le site que nous visitons… Dans cet article un point sur la question des cookies, la loi les concernant et surtout les modalités de son application pour rester dans le droit chemin.
Une alerte cookie
Mais qu’est-ce qui se passe-t-il donc ?

• Qu’est-ce qu’un cookie ?

En 2 mots : Un cookie n’est ni plus, ni moins qu’un petit fichier texte envoyé à votre navigateur associé au site Web consulté. Grâce à ce cookie, des informations sur votre visite, par exemple votre langue de navigation ou d’autres paramètres de la visite, peuvent-être enregistrés pour le site Web. Cela peut faciliter votre visite suivante sur ce site et renforcer l’utilité du site pour vous.

Stocké sur votre disque dur, le cookie peut être consulté par le site d’une page web à l’autre. Les cookies sont notamment utilisés par les sites de commerce électronique afin de conserver vos préférences, par exemple des options ou votre panier d’achat, afin de vous éviter de refaire vos choix à chaque page.

Les cookies jouent un rôle important. Sans les cookies, l’utilisation du Web pourrait s’avérer beaucoup plus frustrante.

D’une façon plus détaillée : Les cookies font partie intégrante du protocole HTTP, celui-là même à la base de la navigation web.

Dans le navigateur web, vous formulez une requête destinée à un serveur web en saisissant une URL, elle contient l’adresse du serveur et des paramètres (par exemple http://monserveur.com/chemin/parametre). Si l’URL est correcte, le serveur interrogé répond à la requête et envoie le résultat sous la forme d’une page web le plus souvent.

Un des gros problème du protocole HTTP est que les requêtes sont traitées par les serveurs et aussitôt “oubliées” après l’envoi de la réponse. D’où cette possibilité d’écrire le fameux cookie localement dans les préférences de votre navigateur. Dans ce petit fichier, le site peut “prendre des notes” spécifiques à votre visite pour les envoyer avec la requête et ainsi modifier sa réponse en fonction.

Il y a des limites dans le nombre de cookies enregistrés, 300 cookies max dans le navigateur, 20 cookies max par serveur, et la taille d’un cookie est de 4 Ko au maximum.

Le cookie de session sur le site E SYSTEMES Le cookie a un nom, une valeur, un domaine associé et une date d’expiration.

Par exemple sur ce site, le cookie enregistré s’appelle ci_session, il contient un identifiant de cession, pour le domaine www.e-systemes.com, et expire 24 heures après sa création.

• Où est le problème avec les cookies ?

Le principe du cookie part d’une bonne intention, essentiellement d’ordre technique pour compléter le dialogue entre le navigateur et le serveur de contenu web, pour finalement améliorer l’expérience de visite… Et une fois qu’on a bien compris son fonctionnement le cookie ne pose finalement pas de problème.

Surtout qu’on peut voir son contenu dans les préférences de son navigateur, on peut les supprimer quand on veut

Le problème posé par les cookies provient donc à mon sens d’une méconnaissance de son utilité et de son fonctionnement. Et avec le temps, la diabolisation du cookie a amené le législateur à s’en méler pour pondre une directive européenne 2009/136/CE, dite “paquet télécom“, désormais retranscrite dans le droit français dans l’article 32-II de la loi informatique et liberté du 6 janvier 1978 .

“Dura Lex, Sed Lex” la loi est dure, mais c’est la loi. J’oserais plutôt “les lois sont parfois étranges mais ce sont les lois ! il faut s’y plier… La gestation des textes a occupé des dizaines ou plus d’élus et de technocrates dans des dizaines de réunions… Son application va maintenant nous occuper à notre tour, développeurs, webmasters et autres conseillers juridiques dans les entreprises qui éditent des sites web…

• Que dit la loi ?

La lois sur les cookies Le problème n’est pas le cookie en soi, mais son contenu perçu comme “caché” au visiteur du site. Le législateur inquiet a ressenti que le problème relevait surtout des informations que les cookies peuvent contenir. Et que cette information pouvait potentiellement s’avérer nuisible à l’utilisateur. Il faut protéger et prévenir les visiteurs de leur ignorance…

Globalement la loi dit qu’il faut informer formellement le visiteur d’un site de la présence de cookies dans le protocole HTTP et surtout à quelles fins, pourquoi faire et comment, le site que vous visitez les utilise.

A prendre en compte : le risque encouru pour le non respect de vos obligations, tout de même, de 150 000 à 300 000 euros d’amende. Peut-être un moyen de redresser le budget du pays… On va trouver autre chose… Au boulot !

• Les cookies ne sont pas égaux devant la loi

2 types de cookies sont discernés par le texte :

  • Les cookies qui ne nécessitent pas de consentement préalable
  • Les autres, qui eux nécessitent un consentement formel du visiteur

 Les traceurs qui ne requièrent pas de consentement formel préalable :

Certains cookies sont donc dispensés du recueil d’un consentement formel du visiteur. Il s’agit des traceurs “strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur”. En clair : ce que demande le visiteur, le service, c’est le site web, et les cookies de ce type sont nécessaire pour fournir le site…

Une simple inscription / description dans les mentions légales du site devrait suffir avec un lien clair vers celles-ci.

La liste :

  • les cookies de “panier d’achat” pour un site marchand
  • les cookies “identifiants de session”, pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas
  • les cookies d’authentification
  • les cookies de session créés par un lecteur multimédia
  • les cookies de session d’équilibrage de charge (“load balancing”)
  • certaines solutions d’analyse de mesure d’audience (analytics)
  • les cookies persistants de personnalisation de l’interface utilisateur.

Le site d’E SYSTEMES que vous visitez actuellement utilise des cookies de cette catégorie : voir les mentions légales du site

On notera le distingo sur les “solutions de mesure d’audience”. Nous utilisons MATOMO (ex PIWIK), la solution de mesure OpenSource, qui pour ses bonnes pratiques sur le plan du respect des libertés, ne nécessite pas de consentement alors que l’utilisation de la solution de Google, Analytics, impose au site une alerte de consentement ! (sans commentaires)

 Les traceurs qui eux requièrent un consentement formel préalable :

Si votre site utilise ce genre de traceur, vous devez bloquer la navigation ou en tous cas ne pas déposer de cookie de ce type sur le terminal de l’utilisateur à travers votre site tant que l’utilisateur n’a pas formellement donné son accord pour continuer

La liste :

  • les cookies liés aux opérations relatives à la publicité ciblée
  • certains cookies de mesure d’audience (voir plus haut)
  • les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu’ils collectent des données personnelles sans consentement des personnes concernées.

• Si vous devez recueillir le consentement du visiteur

Il va falloir décorer votre site avec une alerte bien visible à l’écran. Cette alerte prendra alors la forme d’un bandeau comportant :

  • un lien vers une page dédiée décrivant les cookies utilisés
  • un bouton d’acceptation pour le dépot de cookie dans le “terminal” utilisé.

Cette alerte devra apparaître sur tous les écrans du site ou de l’application tant que l’acceptation formelle du visiteur n’aura pas été formulée, par un clic sur le bouton par exemple.

Sur la page d’information dédiée aux cookies requérant le consentement :

  • Une liste des cookies et leur finalité
  • Un moyen de retirer l’accord préalablement donné
  • Des explications sur le fonctionnement du navigateur en rapport avec les cookies…

Cookie informatiques

• Editeurs, webmasters et développeurs : au boulot !

Vous l’avez compris, selon le type de cookie utilisé par la mécanique de votre site web, l’intervention va de la “simple” amélioration des “mentions légales” du site au développement de la fonction permettant l’affichage de l’alerte permettant d’obtenir le consentement du visiteur.

Cookies sans consentement : mettre à jour les mentions légales
commencez par modifier le titre du lien pour le rendre plus visible et concerné par la problèmatique des cookies et de cette loi. “Mentions légales” pourrait devenir “ Mentions légales, cookies “.

Sur la page des mentions légales, créez un nouveau paragraphe “Cookies et défense des libertés individuelles” dans lequel vous informez le visiteur de l’utilisation (ou pas) des cookies pour l’affichage de votre site web. Positionnez le texte dans le cadre de la loi, citez les articles de celle-ci que vous, en tant qu’éditeur, mettez en application.

Les autres cookies, informer et recueillir le consentement du visiteur :
La tache est virtuellement plus conséquente dans le cas où vous utilisez ce genre de cookies.

  • Créer une page d’information dédiée :
    Lister les cookies utilisés et leur finalité, permettre de s’opposer et expliquer comment s’opposer au dépôt de ces cookies sur le terminal…
  • Mettre en place une mécanique d’obtention du consentement :
    concrêtement une alerte Javascript qui affiche le lien vers la page d’information et un bouton “OK” pour valider le consentement

C’est là que les choses se compliquent, et on peut vite sombrer dans le plus pur délire… Surtout si vous utilisez des boutons de partage social ou des outils de mesure d’audience jugés ou ressentis “invasifs” comme Google Analytics… Vous êtes en effet co-responsable vis à vis de la loi, avec Google par exemple ou facebook et tout autre réseau, de son respect ! La complexité et la variété des systèmes que vous êtes suceptibles de pouvoir mettre en place amplifie la complexité de la stricte application du texte… De là à le rendre inaplicable, il n’y a qu’un pas…

Social cookie Le site de la CNIL propose des tonnes de code Javascript à mettre en place dans diverses situations… Je vous invite à la lecture des pages dédiées pour vous faire votre propre opinion :

  • Solutions pour la mesure d’audience
    En bref deux solutions : Utiliser un outil dispensé de consentement ou Recueillir le consentement de l’internaute en cas d’utilisation d’outil non conforme. Amusant, la CNIL recommande d’utiliser PIWIK et diabolise l’utilisation de Google Analytics !
  • Solutions pour les bouton sociaux
    En bref préconisation de l’utilisation de Social Share Privacy et de ses centaines de ligne de code JS.
    Perso je renoncerais presque à l’utilisation de ces boutons sociaux pour les remplacer par des pictos avec un lien vers le compte de mon site sur le réseau social. Une autre – bonne – idée consite à remplacer ces boutons de partage fournis par les plateformes par un lien manuellement reconstitué, offrant les mêmes fonctions, mais sans dépot de cookie, ni tracking (voir les boutons de partage de ce site et le lien proposé dans les notes).
  • Google Cookies Solutions pour la publicité
    En bref, Booo ici encore faut pas bosser avec Google !

• Et finalement, on fait quoi ?!

L’idée est bien de respecter la loi et de mettre en place sur les sites les signes évidents de son respect par l’éditeur sur les écrans du site.

  • Lister les cookies et traceurs utilisés : c’est la prise de conscience par l’état des lieux
  • Configurer les outils d’audience, d’affichage publicitaire… Dans le respect des libertés décrit par la loi, eventuellement changer d’outils, ou voir carrément ne plus les utiliser.
  • Informer les visiteurs de notre connaissance et du respect de la loi par la mécanique du site web. L’informer en publiant cet état des lieux dans des écrans existants, les mentions légales ou une page dédiée selon le cas.
  • Mettre en place, le cas échéant, le bandeau d’alerte pour l’obtention du consentement.

Ensuite ? J’oserais un très anglo-saxon “Wait and see “ (Attendre et voir…).

Cette loi est jeune et entre dans sa phase d’application. Suivra une phase de contrôle de sa bonne application par les services de la CNIL. Les dits services vont se mettre à naviguer sur nos sites pour vérifier leur niveau d’information et dans un premier temps avertir les éditeurs d’une éventuelle mise en conformité nécessaire, avant de très hypothétiques sanctions (si vraiment vous n’y mettez pas du votre, ou que vous publiez un très gros site qui pourrait servir d’exemple…).

Le sérial cookie L’idée maîtresse et l’esprit de la loi est de répondre à une nécessité d’information réclamée par les citoyens et leurs représentants sur ces diaboliques cookies ici pointés du doigt, ainsi qu’une prise de conscience des dérives potentielles liées à l’utilisation des cookies sur le non respect des libertés individuelles. En oeuvrant pour leur démystification, gageons que l’effort d’information que la loi déclenche finira par faire entrer les cookies, jusqu’ici tapis dans l’ombre, dans les moeurs.
cookie en miettes


Sur les cookies :
Une explication détaillée de ce qu’ils sont
Des boutons de partage social sans tracking, ni cookie

Sur le site de la CNIL, l’organisme chargé de la mise en application de la loi
Cookies & traceurs : que dit la loi ?
Cookies, comment mettre mon site web en conformité ?
A propos des outils de mesures d’audience MATOMO, ex PIWIK, et Google Analytics

Références légales, l’information à la source :
L’article 32-II de la loi du 6 janvier 1978
L’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive européenne 2009/136/CE


A noter que les boutons de partage sur les réseaux sociaux présents ci-dessous et en dessous de tous les articles du blog sont de simples liens de partage qui ne déposent aucun cookies pendant votre visite ! N’hésitez pas ! Partagez…