top of page
  • Linkedin Républik Sécurité
  • Twitter @Republik_SECU
  • Youtube Républik

Cookies et RGPD

Les publicités doivent être ciblées pour attirer des clients.

À quoi servent les cookies publicitaires et comment les refuser pour éviter d’être traqué sur le web ? C’est un service à l’utilisateur ou, surtout, un moyen de collecter des données pour le site. Les cookies apparaissent en début d’ouverture de page sur le web. « On vous demande parfois de les accepter ou de les personnaliser ! ». L’industrie publicitaire digitale est très dépendante des cookies et la CNIL a renforcé les actions d’encadrement du RGPD.


ree


1.       Fonctionnement des cookies


Imaginons des ’’valises’’ (= cookies) contenant des outils pour récupérer des informations sur les tendances de personnes qui consulteront un site.

Par exemple : un individu visite un site de vente en se rendant dans la rubrique « vins » d’un site de e-commerce en ciblant ses vins préférés. L'information sera collectée dans la valise puis transmise au serveur web. Puis après analyse des informations récoltées, le site proposera un contenu adéquat (par exemple vins dans les appellations et années préférées) à cet utilisateur.


Il existe aussi des cookies récupérant les identifiants des individus connectés, le nombre de fois passées sur une page internet, comparant les pages internet consultées, récupérant l’adresse IP, ou permettant de reconnaître le système d’exploitation, la géolocalisation, le comportement, etc. L’utilisation de cookies fait partie des modèles d’entreprise axés sur les données à caractère personnel, à des fins de profilage et/ou d’envoi de publicité ciblée. 


 

2.        Cookie 


Pour la CNIL, un cookie, ou traceur, est assimilable à un petit fichier stocké par un serveur dans le terminal d’un utilisateur connecté à internet (ordinateur, téléphone, tablette, console de jeux, etc.) et associé à un domaine web. Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine. Ce « petit fichier » informatique contient des informations sur l’utilisateur. Il existe différents types de cookies : essentiels, fonctionnels, analytiques, marketing…


Le RGPD s’applique à partir du moment où des données sont collectées et font l’objet de traitement permettant d’identifier des personnes physiques résidant dans l’Espace Économique Européen ; les cookies entrent donc dans le cadre du RGPD et de la directive ePrivacy et de la Loi Informatique et Libertés.

La CNIL a publié le 1er octobre 2020 des recommandations et des lignes directrices destinées aux sites internet déposant des cookies. Le consentement des internautes est obligatoire avant la création d’un cookie. Le RGPD impose que l’internaute donne son accord sur la collecte d’informations et accepte ou non la création de cookies lorsqu’il visite un nouveau site. Pour être conforme, un consentement doit être libre, spécifique, éclairé et univoque. Les cookies peuvent stocker une multitude d’informations personnelles, y compris des mots de passe et des adresses e-mail. Cette information peut être facilement exploitée par des cybercriminels lors de la consultation d’un site web malveillant ou la connexion à un réseau public non sécurisé.


Le bandeau de cookie doit indiquer à l'utilisateur les finalités de traitement associées aux cookies déposés (durée de dépôt des cookies et durée de conservation des données). L’utilisateur sait qu’en acceptant, il aura de la publicité personnalisée, du partage sur les réseaux sociaux, etc. De plus, il doit être en mesure de donner le nombre de sociétés exploitant les cookies. Retirer son consentement doit être aussi simple que de le donner.



3.       Les différents types de cookies  

 

Les cookies internes ou cookies propriétaires.

Ils sont déposés directement par le site consulté. Les informations ne sont disponibles que pour le domaine qui a créé les cookies.


Les cookies tiers.

Ce sont les cookies déposés par des sites différents du site consulté. Ils ne sont pas gérés par le site sur lequel navigue l’internaute mais par des tiers. Les cookies tiers permettent de suivre la navigation d’un internaute de site en site afin de recueillir ses données personnelles.


Les cookies de session.

Ils ne durent que le temps de la session, c’est-à-dire le temps de la visite sur le site web ou d’une session de navigateur et ne sont utilisés que pour la fourniture du service. Temporaires, non stockés dans la mémoire du navigateur durant la navigation, ils s’effacent de l’historique à la fermeture du navigateur (peu de risque de sécurité).


Les cookies persistants.

Ils perdurent au-delà de la session, jusqu’à expiration ou suppression par l’utilisateur. Ils bénéficient d’une date d’expiration soumise par un émetteur et seront stockés. A chaque fois que l’utilisateur ira sur le site qui a envoyé le tracker, les données seront renvoyées à l’émetteur. Ils font l’objet de collecte et de traitement pour analyse (marketing, ..). Lorsque l’on clique sur « Se souvenir de moi », on crée des cookies persistants.


Les cookies ne nécessitant pas de consentement de l’utilisateur.

Ils sont indispensables au bon fonctionnement du site ; l'intérêt légitime de l'entreprise est supérieur à la protection de la vie privée (pour retenir le panier d’achat sur un site, se souvenir de la langue utilisée, paramètres d’affichage ,..).


Les cookies nécessitant le consentement de l’utilisateur.

Ils sont destinés à traquer des comportements à des fins marketing et de publicité (consultation du blog, mesure d’audience).


Les "cookies walls" ou "murs de cookies".

Ils concernent certains sites qui laissent le choix entre accepter les cookies ou les refuser, mais payer un abonnement en échange du service. Cette technique est théoriquement contraire au RGPD mais, suite à une décision du Conseil d’Etat, la CNIL n’interdit plus formellement cette pratique tout en demandant que l’information, fournie à l’utilisateur, indique les conséquences du refus de son choix (refus d’accéder au contenu ou au service en l’absence de consentement).


Précision sur cookies ‘’multi-finalités’’ associés à des services tiers déposant leurs cookies avec des finalités de mesure d’audience ou d’analyse statistique. Ces finalités ne nécessitent pas le consentement de l’utilisateur, mais le service tiers peut à la suite de sa collecte et de son traitement, renvoyer les données récupérées à d’autres qui auront une finalité différente de l’ initiale  (publicitaire ou analyse comportementale de l’utilisateur, etc.). La seconde finalité de ce service tiers ne fait plus parti des exceptions au consentement de l’utilisateur.

Les cookies ‘’multi-finalités’’ doivent pouvoir être acceptés ou refusés. Par soucis de simplicité, la  grille de cookie par type de finalité est préférable.

En effet, la finalité conditionne la durée de conservation et la notion de consentement, ce qui facilitera la lecture et la compréhension des différents cookies déposés.


La CNIL recommande pour la durée de conservation : 6 mois pour cookies soumis au consentement et 13 mois pour les autres ; 24 mois  pour les données personnelles recueillies.


 4.       Protection contre les cookies


 Il existe trois actions pour que l’utilisateur puisse mettre en œuvre son consentement :

  • Tout accepter : Accepter tous les cookies nécessitant un consentement. Acte à bannir s’il s’agit de faire accepter à l’utilisateur tous les cookies par le biais d’un scroll down de la page web, ou en quittant la bannière de cookies d’une quelconque manière que ce soit.

  • Tout refuser : Refuser tous les cookies nécessitant un consentement. Par contre, le refus peut se manifester par le scrolling de la page. Cette information doit être indiquée sur le bandeau de cookie.

  • Paramétrer : L’utilisateur peut avoir le choix de paramétrer les cookies qu’il veut utiliser. De plus, le paramétrage lui permet d’accéder à un second niveau d’information (plus détaillé).


Cliquer sur des boutons les uns après les autres pour accepter ou refuser des cookies peut être fastidieux. Par lassitude on en arrive à accepter systématiquement ces mouchards. Des solutions existent cependant :

- choisir un navigateur internet respectueux des données personnelles ;

- installer une extension dans le navigateur habituel ; utiliser un VPN (réseau privé virtuel) qui chiffre le trafic Internet et masque l’adresse IP).

Les visiteurs doivent être en mesure de comprendre les conséquences d’un refus ou d’une acceptation. De plus, s’ils souhaitent modifier les paramètres, ils doivent être en mesure de le faire via des liens vers leurs paramètres et des conseils pour les modifier.


En conclusion,  bien que les cookies soient très pratiques pour naviguer sur les sites web, ils peuvent être dangereux car ils contiennent souvent des informations sensibles et leur interception par des tiers peut conduire à des atteintes à la vie privée ou permettre des fraudes (script intersite (XSS), fixation de session, attaque de falsification de requête intersite (CSRF) et attaque de lancer de cookies). Ces informations peuvent être facilement exploitées par des cybercriminels si on visite un site web malveillant ou si on se connecte à un réseau public non sécurisé. Dans de tels environnements, les utilisateurs sont désarmés face aux menaces de vol d’identité et de fraude. Il est donc impératif d’être conscient de ces risques et de prendre des mesures de précaution lors de la navigation sur Internet. Bien connaitre les cookies permet de mieux les maitriser.

REPUBLIK SECU

ADRESSE

22, quai Gallieni
92150 Suresnes
Nous contacter

CONTACT

Vanessa Dehors 

Directrice de projets

v.dehors@republikgroup.fr

© 2015/2025 Républik Agitateur d'écosytèmes

Abonnez-vous à la newsletter Républik Sécurité

Mentions Légales

Ce site utilise des cookies de Google Analytics afin de nous aider à identifier le contenu qui vous intéresse le plus ainsi qu'à repérer certains dysfonctionnements. Vos données de navigations sur ce site sont envoyées à Google Inc.

bottom of page