Cookies

Qu’est-ce qu’un cookie ?

A l'origine, un cookie est un mini-fichier placé sur le poste de travail du visiteur d’un site pour faciliter la communication entre la machine du visiteur et le serveur du site. Le cookie au sens strict fait l’objet d’une description normalisée (RFC 6262 de l’Internet Engineering Task Force) et remplit un rôle de simple témoin de la transaction en stockant certaines informations.

Par la suite, grâce aux évolutions  technologiques permettant d’exploiter les possibilités des cookies, les finalités de ceux-ci ont été étendues : performance du site, audience du site, statistiques, mémorisation des préférences, publicité ciblée,…

Face à ces extensions, la Commission vie privée constate que les principes juridiques restent applicables pour tous les fichiers qui stockent des extraits des informations véhiculées ou générées lors des échanges entre un site et ses visiteurs, que ceux-ci soient stockés sur le poste de travail du visiteur ou sur un serveur.la Commission vie privée regroupe dès lors sous ce concept tout métafichier qui stocke des extraits des informations véhiculées ou générées lors des échanges entre un site et ses visiteurs, que ceux-ci soient stockés sur le poste de travail du visiteur ou sur un serveur, et qui donne des informations sur le contexte ou sur le contenu de la communication, ou portant sur la forme ou les conditions de la communication. Ces fichiers sont soumis aux mêmes règles juridiques, indépendamment de l'endroit où sont stockées ces informations.

Les cookies, de nature anonyme, sont néanmoins des fichiers à caractère personnel dès qu'ils sont mis en relation avec une personne identifiable directement ou indirectement, comme par l'adresse IP du poste de l'internaute.

Quel est le lien entre les cookies et le RGPD ?

Les cookies permettent de collecter des données à caractère personnel car ils sont associables à une adresse IP, qui est elle-même spécifique au poste de travail de l'internaute visiteur du site. Il est donc possible de relier les données collectées avec une personne physique déterminée.

Qu’est-ce une « cookies policy » (ou politique de sécurité ou de confidentialité relative aux cookies)?

Une politique de sécurité et de confidentialité est un document que les responsable des sites utilisant des cookies mettent à disposition des internautes pour les informer du types de cookies placés sur leurs appareils, des utilisations faites des données collectées à l’aide de ces cookies, de l’identité des tiers qui reçoivent ces données, etc.

Quel est le cadre légal en Belgique qui règle l’utilisation des cookies ?

Dans la mesure où le placement de cookies donne lieu à la collecte de données personnelles et en permet la réutilisation, il consiste en un « traitements de données personnelles » et doit dès lors se faire dans le respect du RGPD.

Une des règles du RGPD est que la collecte (et la ré-utilisation) de données personnelles  doit reposer sur une base juridique. En ce qui concerne l’utilisation de cookies fonctionnels (destinés à permettre une navigation optimale), cette base juridique pourra souvent être la « nécessité dans le cadre de l’intérêt légitime » de l’internaute ou du responsable du site. En ce qui  concerne l’utilisation de cookies non-fonctionnels (non nécessaires au bon fonctionnement du site), la seule base juridique valable est le consentement de la personne concernée.

Le consentement que les internautes doivent fournir en vue du placement (et de la consultation) de ce type de cookies doit, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD.
Voici les conditions :

  • Le consentement doit résulter d’une démarche active de l’utilisateur.

Une démarche active est par exemple un clic ou l’activation d’un bouton par glissement. Le consentement n’est donc pas valable s’il est récolté au moyen d’une case pré-cochée que l’utilisateur doit décocher pour refuser de donner son consentement. La poursuite de la navigation ne peut pas non plus être considérée comme donnant lieu à un consentement valable.

  • Le consentement doit être informé.

Cela implique que la démarche active demandée à l’utilisateur doit être précédée d’une information claire et complète sur les types de cookies placés et les conséquences du placement de ces cookies en termes d’utilisation future des données personnelles de l’internaute.

  • Le consentement doit être spécifique.

Par exemple, le fait, pour un utilisateur, d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit pas pour considérer qu’il ait également valablement donné son consentement au placement de cookies.

  • Le consentement doit être libre et exempt de toute contrainte.

Cette exigence implique notamment que l’utilisateur ne puisse pas se voir refuser certains services ou avantages au motif qu’il n’aurait pas consenti à l’utilisation de cookies non fonctionnels.

 

Quand l’utilisation des cookies requiert-elle l’obtention par le site du consentement préalable du visiteur ?

A moins de n’utiliser que des cookies fonctionnels (cf. FAQ « Quels sont les cookies qui sont exemptés du consentement préalable du visiteur?»), le consentement  du visiteur est indispensable.

Quels sont les cookies qui sont exemptés du consentement préalable à l’utilisation de cookies ?

Les cookies fonctionnels sont exemptés du consentement préalable du visiteur. Un cookie est qualifié de fonctionnel dès lors qu’il est indispensable à la communication ou à la fourniture d’un service expressément demandé par le visiteur du site (ex : cookies permettant de conserver et afficher un formulaire ou panier d’achat). On considère que ces cookies sont en réalité couverts par un consentement implicite de la personne concernée, à condition qu’elle soit informée de leur utilisation et qu'ils ne soient conservés que le temps nécessaire ou puissent être effacés par le visiteur lui-même. Le placement de cookies de statistiques d’audience ou d’origine de visite du site (analyse de navigation et type d'audience) n’est pas exempté de l’obligation de requérir un consentement préalable.

Exemples de cookies fonctionnels:

  • cookies à caractère technique : cookie permettant d’afficher les indications nécessaires dans les échanges chiffrés et les identifiants d’une transaction
  • cookies relatifs au contenu même d’une transaction : cookies permettant de mémoriser et reproduire le choix d'une langue, le contenu d'un formulaire ou d'un panier d'achat.

 

Quelles sont les caractéristiques du consentement requis pour utiliser des cookies ?

Pour que le consentement réponde aux conditions légales, il doit être l'expression de la manifestation de la volonté de la personne, par un acte explicite comme cocher une case ou  activer un bouton par glissement.

Le consentement, pour être valable, doit être libre, spécifique, informé, préalable et indubitable/certain:

  • libre: libre de toute contrainte ou de la perspective de l'obtention d'une « récompense » ou de la perte du bénéficie d’un avantage: l’utilisateur doit pouvoir exercer un choix réel sans être exposé à des conséquences négatives s’il ne donne pas son consentement.
  • spécifique: le consentement doit être donné que pour des traitements de données bien définis (spécifiques) cités avec précision. Un consentement ne peut pas être donné pour la seule "utilisation" de cookies, sans autres précisions quant aux  données récoltées via ces cookies ni quant aux  utilisations faites de ces données.
  • informé: le consentement doit être précédé de la fourniture d’information précise sur le type de cookies utilisés, les données captées et ce qui en sera fait.
  • préalable : le consentement doit précéder tout placement de cookies.
  • indubitable/certain: la procédure mise en place pour recueillir le consentement ne doit laisser aucun doute quant à l’intention de l’utilisateur de donner son consentement. La poursuite de la navigation ne donne pas lieu à un consentement valable. L’inaction ou la passivité de l’utilisateur ne peut  pas non plus être considérée comme donnant lieu à un consentement valable.

En pratique, il faut que le responsable du site puisse prouver la manifestation de la volonté de la personne concernée par une information de traçage de l'action (logs ou autre fichiers de traces des transactions).

Comment le site doit-il recueillir le consentement du visiteur pour l’utilisation de cookies ?

La zone d’information et de recueil du consentement préalable doit consister en un message clair, visible, bien compréhensible et expliquant l’utilisation de cookies (en précisant les types de cookies leurs objectifs, les données collectées via ces cookies et les utilisations qui en seront faites). Le visiteur doit avoir la possibilité d’accepter ou de refuser tous ou certains types de cookies, de préférence en types de cookies (selon leurs finalités), a fortiori lorsque le site fait usage de cookies liés à la publicité ciblée (cookies publicitaires et de pistage ou de traçage ; les cookies utilisés dans le cadre du marketing direct).

Tant que le visiteur n’a pas effectué d’action positive marquant son acceptation, le message doit rester visible.

Si un utilisateur poursuit sa navigation sur un site web, peut-on considérer qu’il a donné son consentement pour l’utilisation de cookies ?

Non, poursuivre sa navigation ne constitue pas un consentement valable, ni pour la collecte de données personnelles par le biais de cookies non fonctionnels, ni pour la réutilisation de ces données personnelles.

Le consentement que les utilisateurs doivent fournir pour que les responsables de sites puissent placer ce type de cookies (et utiliser les données collectées via ces cookies) doit en effet, pour être valable, répondre aux conditions générales de licéité du consentement telles que prévues par le RGPD.

Voici les conditions à remplir pour qu’un consentement soit valable :

  • Le consentement doit résulter d’une démarche active de l’utilisateur.

Une démarche active est par exemple un clic ou l’activation d’un bouton par glissement. Le consentement n’est donc pas valable s’il est récolté au moyen d’une case pré-cochée que l’utilisateur doit décocher pour refuser de donner son consentement.

  • Le consentement doit être informé.

Cela implique que la démarche active demandée à l’utilisateur doit être précédée d’une information claire et complète sur les types de cookies placés et les conséquences du placement de ces cookies en termes d’utilisation future des données personnelles de l’internaute.

  • Le consentement doit être spécifique.

Par exemple, le fait, pour un utilisateur, d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit pas pour considérer qu’il ait également valablement donné son consentement au placement de cookies.

  • Le consentement doit être libre et exempt de toute contrainte.

Cette exigence implique notamment que l’utilisateur ne puisse pas se voir refuser certains services ou avantages au motif qu’il n’aurait pas consenti à l’utilisation de cookies non fonctionnels.

Le mode de paramétrage des navigateurs relativement aux cookies peut-il valoir consentement ?

Il ne peut être déduit du paramétrage par  l’utilisateur de son navigateur que ce dernier a effectué un choix relatif aux cookies qu’il souhaite accepter sauf s’il a décidé d’exclure tout cookie. En effet, le paramétrage ne permet pas de nuancer les choix selon les finalités des cookies.

Pendant combien de temps les cookies peuvent-ils être conservés ?

Les informations stockées sur le poste de travail du visiteur et les métafichiers (« cookies ») ne peuvent être conservés au-delà du temps nécessaire à l'accomplissement de la finalité poursuivie (affichage du formulaire jusqu’à la finalisation  de la transaction, maintien du panier d’achat jusqu’à la passation  de la commande, etc.). Cette durée de conservation ne peut donc être indéfinie. Les informations collectées et stockées dans un cookie et les informations collectées suite à la lecture d’un cookie doivent être supprimées lorsqu’elles ne sont plus nécessaires à la finalité poursuivie.

Toutefois, il n'est pas toujours possible d'effacer les cookies et métafichiers en temps utile, par exemple lors d'une interruption impromptue de la communication. Il faut alors que la politique des cookies explique clairement la manière d'effacer ces cookies et métafichiers par une intervention plus explicite du visiteur du site (exemple : fonction d'effacement des cookies prévue dans chaque navigateur).

Quels sont les droits du visiteur d’un site web qui utilise des cookies ?

Le visiteur a avant tout le droit d’être informé quant aux traitements effectués des données à caractère personnel le concernant dès qu’il visite un site web : les catégories de données stockées et les utilisations qui en sont faites par catégorie, les durées de conservation de ces données par catégorie, les modalités d’effacement et d’opposition, leur éventuelle communication à des tiers,…

Pour que ces opérations puissent être effectuées, le visiteur doit fournir son consentement informé, libre, spécifique, indubitable et préalable à l’utilisation de cookies ou autres métafichiers considérés comme non essentiels.

Le visiteur doit pouvoir retirer son consentement gratuitement et de manière simple.

Dès lors qu’en matière des cookies le droit d’accès se révèle difficilement praticable, il doit se voir expliquer la procédure pour procéder à l’effacement de ces cookies.

Quelle est la responsabilité du propriétaire du site dans le cadre de l’utilisation de cookies ?

Le propriétaire du site est responsable d’assurer que le placement de cookies ou métafichiers par son site web (et l’utilisation ultérieure des données collectées par ces outils) soit effectué en conformité avec la règlementation. Il est aussi responsable des données transmises et stockées sur le poste de travail du visiteur et qui pourraient être accédées et traitées frauduleusement par des tiers.

Le propriétaire du site doit aussi donner des instructions appropriées à toutes les personnes placées sous sa responsabilité.

Les annonceurs ou réseau sociaux sont responsables, conjointement avec le propriétaire du site, en ce qui concerne les usages de données issues de cookies et effectués dans le cadre des annonces ou plugins de partage de contenu/traçage.

Quelles sont les obligations du propriétaire du site quant à l’utilisation de cookies ?

Il doit assurer la légalité du placement des cookies sur son site, qu’il s’agisse de cookies déposés directement ou par l’intermédiaire de régies publicitaires, annonceurs ou réseaux sociaux.

A cet égard, il doit adresser des instructions appropriées à l’éditeur et au gestionnaire de son site.

Il doit veiller à ce que les contrats de services conclus avec les réseaux publicitaires, les annonceurs et les réseaux sociaux prévoient les garanties nécessaires au bon respect des obligations en matière de protection des données à caractère personnel.

Il lui incombe d'obtenir le consentement indubitable, libre, spécifique et informé de l’utilisateur relativement au placement de cookies, de préférence en permettant un choix distinct pour chaque catégorie de cookies.

Il doit veiller à établir une politique relative aux cookies facilement accessible par un lien sur la page d’accueil et qui renseigne les visiteurs notamment quant aux catégories de cookies placés, à leurs finalités, à leur éventuelle communication à des tiers et aux moyens d’effacer les traces de la visite du site et de ne plus y être confronté à l’avenir.

Il n’est pas responsable des traitements de données à caractère personnel provenant de l’utilisation des cookies qui seraient faites par les autres acteurs impliqués dans l’existence du site sans être couverts par des instructions de sa part ; toutefois, il lui faudra d'abord prouver que le fait ne lui est pas imputable.

Comment utiliser les plugins de réseaux sociaux ?

Les cookies générés par les boutons sociaux (« J’aime », « Twitter », « +1 ») permettent un traçage très fin des utilisateurs, même si ceux-ci n'ont pas de compte sur ces plateformes. Ces plateformes peuvent traiter ces cookies comme elles le souhaitent, seuls les sites visités sont limités dans leurs possibilités. Les traitements de données à caractère personnel générés implicitement par ces boutons nécessitent par conséquent un consentement spécifique. Il est donc vivement recommandé de ne pas mettre ces boutons sur la page d’accueil ou de les désactiver jusqu’à l’obtention du consentement.

Quelles sont les obligations spécifiques de l’éditeur du site quant à l’utilisation de cookies ?

Il veille à n’agir que suivant les instructions du propriétaire du site décrites dans un instrument juridique (p. ex. un contrat de sous-traitance ou de service).

C’est lui qui conçoit la zone d’information et de consentement préalable en accord avec le propriétaire du site.

Il n’utilise que les cookies nécessaires aux finalités légitimes poursuivies et ne conserve ceux-ci que le temps requis pour ces finalités.

Il contrôle que les bannières et plugins de réseaux sociaux ne sont activés qu’après le consentement du visiteur.

L’éditeur met en œuvre des mesures visant à garantir la sécurité des données à caractère personnel qui empêchent notamment l’accès aux données personnelles aux personnes non autorisées.

Quelles sont les obligations spécifiques du gestionnaire du site quant à l’utilisation de cookies ?

Il doit agir selon les instructions du propriétaire du site spécifiées dans un instrument juridique approprié.

Il engage sa propre responsabilité s’il met œuvre des traitements de données à caractère personnel à l’aide de cookies sans en avertir le propriétaire du site et sans son consentement.

Il vérifie notamment que les données à caractère personnel soient effacées en temps utile, y compris celles collectées à l’aide de  cookies et autres mini-fichiers qui seraient stockés sur le serveur.

Quelles sont les obligations spécifiques de l’hébergeur du site quant à l’utilisation de cookies ?

Il agit comme préposé (employé) ou en qualité de sous-traitant du responsable du site.

Il doit conclure un contrat avec le propriétaire du site incluant des clauses de sous-traitance dont le contenu est défini à l’article 28 du RGPD.

Il se peut que l'hébergeur mette à disposition du gestionnaire du site des traces de l'activité du site (statistiques, logs, …) qui peuvent contenir des données à caractère personnel. Il est recommandé que l’accès à ces données soit précédé d’un avertissement rappelant qu’elles doivent être traitées conformément au RGPD.

Les hébergeurs opérateurs publics sont soumis à des règles spécifiques et sont surveillés notamment par l’Institut Belge des services Postaux et des Télécommunications (IBPT).

Quelles sont les obligations spécifiques du publicitaire et du réseau social quant à l’utilisation de cookies ?

Le publicitaire, c’est-à-dire l’annonceur ou le réseau publicitaire, est le (co-)responsable du traitement des données à caractère personnel qui sont collectées et lui sont communiquées par le site visité. Il partage la responsabilité  avec le propriétaire du site dans le cadre de la collecte du consentement et de l’information préalable.

Les contrats de service conclus entre le propriétaire du site et ces acteurs doivent préciser les obligations et responsabilités de chacun notamment en ce qui concerne la fourniture de l’information préalable et le recueil de consentement. Ils doivent fixer les finalités et les conditions de réutilisation des données à caractère personnel afin de permettre à l'éditeur du site de prévoir dans la conception du site la possibilité d'obtenir les consentements nécessaires.

Qui est le responsable du traitement quand des cookies sont utilisés ?

Le responsable du traitement est généralement le propriétaire du site (domaine ou sous-domaine ou partie d'un site plus global) qui définit les fonctionnalités du site ou partie du site concerné. En certaines circonstances, tous les autres acteurs peuvent devenir aussi responsables du traitement et devoir en assumer les responsabilités (l'éditeur du site, l'administrateur ou le gestionnaire du site, l'hébergeur du site, l'annonceur sur un site ou le réseau social présent sur un site).

Quels sont les outils à disposition des visiteurs de sites pour limiter, éviter ou effacer les cookies ?

Parmi les possibilités existantes, le visiteur est invité à utiliser le mode « navigation privée » disponible sur les principaux navigateurs sur pc ou mobiles (dont Edge, Internet Explorer, Chrome, Firefox, Safari ou Opera). Les informations de navigation (mots de passe, cookies, formulaires, contenu en cache et les différents historiques) seront alors effacées lorsque vous fermerez votre navigateur. Cette possibilité permet dès lors de ne pas laisser de trace liées à la navigation sur son ordinateur (ou autre appareil mobile), une fois celle-ci terminée. Elle n’empêche donc notamment pas le dépôt et la lecture de cookies pendant la navigation ni n’efface les traces laissées lors de vos séances de surf précédentes.

Pour ce faire, les utilisateurs peuvent aussi utiliser d’autres outils fournis par les navigateurs.

Ainsi, dans les paramètres de configuration de son navigateur, l’utilisateur pourra autoriser ou refuser de manière permanente l’enregistrement et la lecture futurs de cookies sur ou à partir de son appareil. La granularité des choix offerts (cookies tiers, first-party cookie, durée de conservation, etc.) dépend du navigateur et du système d’exploitation utilisés.

Cette action n’affecte pas les informations déjà stockées. Elle peut par contre impacter les données de connexion à certains sites, empêcher l’exécution de certaines fonctionnalités et nécessiter une reconnexion/ré-identification auprès de ces sites.

Enfin, toujours dans les paramètres de configuration, l’utilisateur pourra également effacer, à la demande, les données de navigation déjà présentes sur son appareil (dont les cookies).

Selon le navigateur, il sera possible d’effacer les données selon leur ancienneté, leur nature et/ou le site visité. Tous les navigateurs ne permettent pas de visualiser dans le détail les cookies enregistrés ni de les supprimer individuellement.

Pour l’aider à gérer ces cookies et autres traceurs et limiter les atteintes à sa vie privée, l’utilisateur pourra, sur son ordinateur, installer extensions et add-ons disponibles à partir de son navigateur. À titre d’exemples, citons ‘Cookie Manager’ (by Rob W) sur Firefox, ‘Privacy Badger’ (by EFF) sur Opera, Chrome et Firefox, ‘uBlock Origin’ (by R. Hill) et ‘Ghostery’ sur Firefox, Chrome, Opera, Edge et Safari.

Ghostery fait partie de la catégorie des ad blockers (bloqueurs de publicité). À ce titre, cette extension empêche l’exécution de certains scripts qui, par ailleurs, représentent un danger pour la vie privée de l’utilisateur (cookies, boutons réseaux sociaux, selon les paramètres choisis). Des ad blockers existent aussi pour mobiles sous forme d’apps tels ‘AdBlock’ (by Betafish - à ne pas confondre avec AdBlock Plus) et ‘AdLock’ pour Android ou ‘1Blocker X’ pour iOS.

Il est à noter que l’affichage publicitaire peut être couplé (à l’insu de annonceurs) à l’exécution de scripts malveillants. Les programmes empêchant l’exécution de ces scripts concourent donc à une meilleure sécurisation de vos appareils.
Sur mobiles (Android et iOS), l’utilisateur pourra envisager l’installation d’un navigateur supplémentaire plus axé sur le respect de la vie privée (privacy browser) tels ‘DuckDuckGo Privacy Browser’, ‘Ghostery Privacy Browser’, ‘Brave’ ou ‘Firefox Focus’.

Bien que sa présence sur le web diminue chaque jour, il est utile de mentionner ‘Flash Player’ utilisé au sein des pages web pour visionner du contenu multimédia. Les cookies issus de son utilisation ne sont pas visibles par le navigateur qui ne peut donc ni les gérer ni les effacer. De par la technologie employée (local shared objects), ils ont cependant un plus grand potentiel d’atteinte à la vie privée. Le paramétrage de confidentialité s’effectue via une application spécifique disponible sur le site web d’Adobe.

Enfin notons que Google met à disposition différents outils pour (1) désactiver la personnalisation des publicités et 2) stopper l’envoi d’informations à Google Analytics:

1. Désactiver les annonces personnalisées de Google

Au lieu d’enregistrer vos choix relatifs à la personnalisation des annonces Google dans un compte Google (et par conséquent aussi dans des cookies pour tenir compte de vos choix quand vous surfez sans être connecté à ce compte), vous pouvez installer un add-on (plugin) dans votre navigateur qui désactivera cette personnalisation.

Le lien vers les plugins (Chrome, IE et Firefox) se trouve ici.

L’add-on pour Firefox ne semble pas fonctionner. Un autre add-on existe et est disponible ici.

Ces plugins même s’il ne diminuent pas le nombre de publicités ont un autre avantage, celui de conserver vos choix même si vous effacez vos cookies.

2. Bloquer l’utilisation de Google Analytics

Afin de bloquer l'utilisation de leurs données par les fichiers JavaScript de Google Analytics (ga.js, analytics.js, dc.js), les utilisateurs de Chrome, IE, Safari, Firefox et Opera peuvent installer un add-on développé par Google même qui désactivera Google Analytics.

Des réseaux publicitaires se sont regroupés pour créer la plateforme http://www.youronlinechoices.com qui permet de définir de manière centralisée certaines préférences en matière de publicité comportementale.

Le lecteur désireux d’en apprendre plus sur les cookies et autres méthodes de traçage pourra notamment se référer aux liens suivants :

  • https://blog.webf.zone/ultimate-guide-to-http-cookies-2aa3e083dbae (EN)
  • https://www.privacyinternational.org/explainer/2976/how-do-tracking-companies-know-what-you-did-last-summer (EN)