En attendant e-privacy : des cookies au goût amer

J’en suis à me demander si je comprends quelque chose au droit des cookies. Je ne vous parle pas de ces exquis petits gâteaux de l’oncle Sam mais de ce que la loi appelle les « témoins de connexion » et d’autres des « mouchards informatiques ». Les cookies ce sont ces petits programmes qui font un peu tout et n’importe quoi. Ils peuvent par exemple vous simplifier la vie en pré-remplissant des formulaires de collectes ; mais ils peuvent aussi vous la pourrir…

Vous avez eu le malheur de faire une recherche sur internet car vous voulez acheter un canapé clic clac pour 2 personnes et vlan pendant des jours et des jours vous ne voyez plus que des pubs pour des clic clac ou autres canapés (histoire vraie).

En pratique on voit aussi tout et n’importe quoi …

Il y a ceux qui mettent un bandeau et ceux qui n’en mettent pas
Lorsqu’il y a un bandeau, il y a ceux qui écrivent blanc et ceux qui écrivent noir
Il y a ceux qui ont une « politique cookies » dédiée et ceux qui l’incluent dans la politique de protection des données personnelles ;
Il y a ceux qui mettent un outil de gestion des cookies et ceux qui renvoient aux paramètres cookies des navigateurs ; je ne parle même pas des solutions mixtes !
Il y a ceux qui imposent le passage pas la gestion des paramètres avant de pouvoir « rentrer sur le site » et ceux qui vous laissent entrer selon la formule consacrée suivante « en poursuivant votre navigation vous acceptez… blablabla »
Il y a les cookies du site lui-même et les « cookies tiers »

Et je ne rentre même pas dans la technique avec les cookies http, les cookies flash, les web bugs, le fingerprinting ou encore les pixels invisibles. Comprenne qui pourra !

Alors je me suis rendu à la source : dura lex sed lex !

Commençons par une précision. Le RGPD ne dit mot sur les cookies sauf le considérant 30 :

« (30) Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».

Le régime applicable aux cookies résulte de l’article 32 II de la loi Informatique et libertés du 6 janvier 1978 telle qu’issue de la transposition de la directive « vie privée et communication électronique » du 12 juillet 2002. La version la plus récente du texte, soit la loi du 20 juin 2018, ne modifie pas cette disposition, rédigée comme suit :

« II. – Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

– de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

– des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

– soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

– soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

Sauf si je ne sais pas lire il y a donc deux cas. Les cookies pour lesquels il faut une information claire et complète et pour lesquels l’usage même du cookie est soumis à l’accord de l’internaute. Et le cas où rien n’est imposé…

Commençons donc par le plus simple

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

– soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

– soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

CQFD : ni information ni accord pour ces cookies-là.

La Cnil donne d’ailleurs une liste de cookies pour lesquels le consentement n’est pas requis.

Pour les autres, il est clair qu’il faut :

Un bandeau pour accéder à l’information
Une politique pour satisfaire à la notion de « clarté » et de « complétude »

Je ne vois nulle part que le site ne doit être accessible sauf si l’internaute accepte les cookies ! Mais évidemment je ne peux pas vous empêcher de le faire…

Reste la question des moyens relatifs à l’accord de l’internaute. Là encore le texte est on ne peut plus clair « son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». Qui a vu ou lu que l’usage de CMP (Consent plateform management) était obligatoire ?

L’accord peut résulter selon le texte SOIT d’un dispositif placé sous le contrôle de l’internaute… SOIT de paramètres appropriés dans le dispositif de connexion de l’internaute (comprenez « navigateur »).

Donc si vous me suivez bien s’il est possible d’utiliser une CMP rien ne vous interdit de renvoyer, comme au bon vieux temps, l’internaute aux modalités de paramétrage de son navigateur préféré.

La Cnil précise d’ailleurs sur son site ceci :

Une dernière question ma taraude. Si j’utilise un CMP faut-il travailler par « finalités » ou faut-il faire un travail cookie par cookie ? Entre nous travailler cookie par cookie me semble pratiquement impossible mais en tout état de cause il me semble que la Cnil a déjà répondu à cette question en précisant qu’il fallait raisonner par finalité et non par cookies.

Voici ce que dit l’autorité sur ce point

Ou encore

A aucun moment il est demandé ou imposé de détailler l’information, cookie par cookie.

En résumé,

Il vous faut connaître vos cookies pour savoir quel droit y appliquer
Si vous n’avez que des cookies « techniques » pas de souci, ni information ni consentement
Si vous avez des cookies plus « intrusif » alors il vous faut un bandeau et une politique
S’agissant de la manière de recueillir l’accord de l’internaute rien n’impose une CMP
Si CMP il y a, il est possible de proposer une solution par finalité (et non par cookie)
Et rappelez-vous que vous êtes en partie responsable des cookies de tiers (Cf CE 6 juin 2018)
Surtout ne pas oublier la durée de validité de l’accord : 13 mois, pas un de plus !

J’espère avoir raison, évidemment cela n’engage que moi… Et pour assez peu de temps finalement puisque nous devrions prochainement avoir un nouveau droit des cookies avec le règlement e-privacy

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

En attendant e-privacy : des cookies au goût amer

Suggestion de contenus