Les cookies évoluent

Depuis le 1er avril 2021, vous avez peut-être remarqué un changement lorsque vous visitez un site web. En effet, depuis le début du mois, un nouveau bandeau cookie est apparu sur les sites internet. Ceci est dû à un changement récent des recommandations de la CNIL. On décortique dans cet article ce qui change !


Les cookies

Déjà, je pense qu'il est indispensable de rappeler ce que sont les cookies. En effet, de nombreux internautes acceptent ces derniers sans vraiment savoir de quoi il s'agit. Un cookie est un petit fichier texte stocké dans votre navigateur internet, et utilisé par un site web. Il permet ainsi au site de récupérer des informations en mémoire même si vous fermez l'onglet. Parmi les utilisations les plus courantes, on trouve :

  • rester connecté : Lorsque vous vous connectez à un site, vous pouvez souvent cocher une case « se souvenir de moi », ce qui vous permet de ne pas ressaisir vos identifiants la prochaine fois.

  • Cookies de sécurité : Les développeurs déposent aussi des cookies pour assurer la sécurité de votre navigation et pour éviter certaines attaques, par exemple des attaques de type CSRF.

  • Sauvegarder des préférences de navigation : Certains sites proposent un mode « sombre ». Les cookies permettent de se souvenir du mode choisi lors de votre prochaine visite.

  • Les cookies qui sauvegarde votre consentement concernant les cookies eux-même (on en reparle plus loin dans cet article).

  • Les traceurs publicitaires : qui permettent de vous afficher de la publicité ciblée.


Mais parmi les cookies, on trouve deux catégories :

  • Les cookies nécessaires

  • Les cookies facultatifs

Et c'est justement de ces derniers dont il est question.


Les recommandations de la CNIL évoluent

Le RGPD est le Règlement Général sur la Protection des Données. C'est lui qui régule depuis sa mise en place le 25 mai 2018 la gestion, le traitement et l'utilisation des données des internautes dans l'Union Européenne. Il est applicable à la fois par les utilisateurs et par les développeurs et propriétaires de sites internet.


Si vous souhaitez vérifier que votre site internet est en règle avec le RGPD, vous pouvez faire un tour du côté de la CNIL, la Commission Nationale de l'Informatique et des Libertés, notamment dans la section « Ma conformité au RGPD ».


Mais depuis le 1er avril 2021, les recommandations de la CNIL concernant la gestion des cookies ont évoluées. Pour y voir plus clair, voici les principales nouveautés :

  • la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;

  • les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.

  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.

  • Refuser les traceurs doit être aussi aisé que de les accepter.

  • elles [les personnes] doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;

  • elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.

  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Concrètement, cela signifie que les sites internet doivent recueillir le consentement de l'utilisateur avant de lui donner accès au site. Vous ne pourrez donc plus naviguer sur le site avant de faire votre choix concernant les cookies. De plus, le bouton « accepter » doit être aussi facile d'accès que le bouton « refuser ». Facile d'accès, c'est d'abord l'emplacement des boutons, mais aussi leur taille, leur couleur, la clarté de leur sens. Enfin, les utilisateurs doivent être clairement informés des conséquences en cas d'acceptation et de refus du dépôt des cookies.


quelques exemples

Je vous propose d'analyser quelques sites pour mieux comprendre.

Google : Pas terrible

Premièrement, on remarque que la navigation sur Google est impossible avant de faire notre choix. Google nous informe aussi correctement concernant la gestion des cookies. Le seul problème est le respect des boutons : pour rappel, « Refuser les traceurs doit être aussi aisé que de les accepter » . Cependant, Google ne nous met pas clairement un bouton « refuser », comme le bouton « J'accepte ». Pour refuser les cookies, il faut cliquer sur « Personnaliser », ce qui nous amène sur une nouvelle page, puis ensuite désactiver un par un tous les traceurs, puis cliquer sur « confirmer ».


Amazon : pas en règle

Amazon non plus n'est pas en règle avec les nouvelles recommandations de la CNIL. Comme chez Google, on note l'absence de bouton « Refuser », remplacé par un bouton « Personnaliser les cookies ». De la même façon, on est redirigé sur une nouvelle page si on clique sur « Personnaliser les cookies ». Sur cette nouvelle page, on trouve un bouton « accepter tous les cookies », mais pas un bouton « tout refuser ». Il faut donc refuser un par un chaque cookie, en faisant bien attention à découvrir les cookies cachés.

En plus de ça, on peut continuer à naviguer sur le site sans paramétrer les cookies, ce qui n'est pas en accord avec la règle « la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute » car Amazon dépose des cookies même si on ignore le message.

On note quand même un point positif : l'internaute est correctement informé sur l'utilisation des cookies.


Facebook : pas terrible

Chez Facebook, même constat que chez Google, donc je ne vais pas y passer trop de temps : impossible naviguer sur le site sans choisir les cookies, on est correctement informé, mais pas de bouton « Tout refuser ». On notera un gros point négatif du point de vue de l'UX (expérience utilisateur) : Si on clique sur « Gérer les paramètres de données », on peut désactiver tous les cookies, mais il faut cliquer sur « Accepter les cookies » pour en réalité valider notre choix, même si on a décoché tous les cookies.


Darty : peut mieux faire


Chez Darty, nous sommes bien informés sur la gestion des cookies, on peut accepter les cookies, et les refuser. c'est déjà un bon point positif ! Le seul problème est qu'il n'est pas aussi facile de refuser que d'accepter. En effet, le bouton pour refuser est beaucoup plus petit, positionné ailleurs, et il n'est pas de la même couleur. Néanmoins, il a le mérite d'exister.


tf1 : parfait !


Chez TF1, rien à redire ! Le message est bien mis en évidence lors de la première visite. On trouve deux boutons « Tout refuser » et « Tout accepter », de la même couleur, de la même taille, au même endroit. Il est donc aussi aisé de refuser que d'accepter les cookies. Enfin, le texte explique bien comment sont gérés les cookies. TF1 est donc parfaitement en règle avec les nouvelles recommandations.


marmiton : en règle mais mesquin


Marmiton aaadooooore les cookies (sans mauvais jeux de mots)

Chez Marmiton, en apparence, tout semble en règle : les boutons « Accepter » et « Refuser » sont tous les deux accessibles de la même façon, on ne peut pas naviguer sans faire notre choix, on est correctement informé. Bref, tout est correct. Faisons donc un test, cliquons sur « Je n'accepte rien ». Et là, surprise !!!


Et oui ! Si on refuse les cookies, il faut sortir la carte bleue. S'il on refuse les cookies, il faudra payer 0,49€ TTC par mois. Sinon, il faut accepter les cookies pour accéder gratuitement au site. Ce genre de pratique s'appelle des Cookies Wall, comprenez un « mur de cookies ». Pour accéder au site, on est bloqué par un mur de cookies. Contacté par le journal Numérama, la CNIL indique que la « la licéité du recours à un cookie wall doit être appréciée au cas par cas ». Pour l'instant donc, cette pratique n'est pas illégale.

A noté que Marmiton n'est pas le seul à avoir recours à la carte bancaire. Beaucoup de site de l'agence multimédia Webedia en ont également recours. Voici quelques exemples, qui font payer chacun 2€ par mois :


Conclusion

Peu de site sont pour l'instant en règle, et parmi ces quelques sites, beaucoup font en réalité payer pour refuser les cookies. A noter que si vous payez, cela ne signifie pas que vous n'aurez pas de publicité, cela veut juste dire que vous n'aurez pas de publicité ciblée.



Sources :


crédit image :

Photo de Marta Dzedyshko provenant de Pexels