Lorsque l’internaute navigue sur un site internet, le serveur de ce site installe des fichiers texte sur le disque dur de l’utilisateur. Ces fichiers recueillent ses données de navigation. Ils permettent par exemple d’enregistrer la date de la connexion de l’internaute ainsi que sa langue mais aussi de retenir ce qu’il met dans le panier d’achat. Les cookies permettent de faciliter la navigation de l’internaute, par exemple en sauvegardant les données de réservation dans le panier d’achat jusqu’au paiement. Cependant, ils peuvent aussi servir au ciblage publicitaire.
La Commission Nationale de l’Informatique et des Libertés (CNIL) reproche aux éditeurs de contenus et services en ligne et aux régies qui utilisent ces cookies d’enfreindre la loi sur les cookies. La CNIL relève en effet deux fautes : la pose de traceurs dès la première page consultée sans information complète au préalable et l’absence de consentement des internautes.
L’Europe impose le consentement de l’internaute pour l’utilisation des cookies
La directive européenne « paquet télécom » établit que « les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs », selon la CNIL. Elle ajoute que ce « consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement ».
La directive 2009/136/CE pose ainsi la nécessité d’un « consentement préalable de l’utilisateur avant le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées » sauf « si ces actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
Dans le cas des cookies de mesures d’audience par exemple, les internautes doivent pouvoir refuser le traitement de ces données depuis tout type de terminal. De plus, selon la CNIL, « les données collectées ne doivent pas être recoupées avec d’autres traitements » de type fichiers clients ou statistiques de fréquentation d’autres sites par exemple.
Ces statistiques doivent pouvoir être anonymes. La géolocalisation de l’internaute par son adresse IP ne doit pas permettre de déterminer la rue dans laquelle il se trouve.
Le traceur ne doit pas être gardé plus de treize mois. Sa retenue ne doit pas non plus être prolongée par de nouvelles visites de l’internaute. A l’échéance, le site doit recueillir un nouveau consentement de la part de l’internaute.
Les régies publicitaires, les réseaux sociaux, les éditeurs de solutions de mesure d’audience, les éditeurs de sites, de systèmes d’exploitation et d’applications sont notamment concernés par ces mesures. Ces éditeurs doivent ainsi faire apparaître un bandeau mentionnant « les finalités précises des cookies utilisés », « la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau » et que « la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal » selon la CNIL.
Les cookies de Facebook en ligne de mire
Tout récemment, le tribunal allemand de Düsseldorf a considéré que l’intégration du bouton « J’aime » de Facebook sur le site internet de Peek & Cloppenburg ne respectait pas la législation sur la protection des données personnelles. Les données d’identification de l’internaute à Facebook seraient collectées par Facebook lors du clic sur le plug-in « J’aime », ceci sans consentement et parfois même sans avoir cliqué. Mais rien n’indique si l’irrégularité revient à Facebook ou au site lui-même, qui aurait codé l’intégration du plug-in social, ou bouton, sur son site. De plus, « un simple lien vers une déclaration de protection des données au bas du site web ne constitue pas une indication que des données ont été ou vont être traitées », a estimé le juge.
En novembre 2015, la Belgique avait demandé à Facebook de mettre fin au traçage des internautes non-inscrits sur le réseau. Un rapport précisait que lorsqu’un « utilisateur logué sur Facebook visite un site contenant des plug-ins sociaux, Facebook reçoit l’identifiant Facebook de l’utilisateur, l’identifiant de son navigateur et l’URL de la page visitée ». Selon l’enquête, le réseau social traçait les internautes non-inscrits via un cookie nommé Datr, dans le but d’affiner le ciblage publicitaire. En effet, l’analyse des données récoltées permet aux publicitaires un ciblage publicitaire très précis.
Alex Stamos, chargé de la sécurité sur le réseau Facebook, a expliqué que Datr permettait de détecter des robots dans le but d’« éviter la création de faux comptes », de « protéger le vol de contenu des internautes » et d’empêcher certaines attaques.