Alternatives aux cookies tiers : quelles conséquences en matière de consentement ?
Depuis plusieurs années, certains acteurs du numérique développent des alternatives aux cookies « tiers » pour le ciblage publicitaire. La CNIL, attentive à ces innovations, rappelle que ces dispositifs doivent toujours respecter les règles relatives à la protection des données et, surtout, le consentement et les droits des personnes.
Qu’est-ce qu’un cookie « tiers » ?
Cookies internes et cookies tiers : quelle différence ?
À l’origine, les cookies ont été créés pour permettre la tenue de sessions de navigation, en conservant par exemple à disposition de l’internaute un panier d’achat. Cet usage premier a rapidement évolué vers des finalités de traçage publicitaire, faisant du cookie une technologie très utilisée par l’écosystème publicitaire en ligne, particulièrement au moyen de l’utilisation de cookies tiers.
Lorsqu’un utilisateur visite un site web, il consulte en pratique un « domaine » qui se termine en général par une extension de type .com ou .fr (par exemple monsite.com est un domaine). Les contenus du site visité peuvent être transmis depuis le domaine que l’utilisateur visite, ou bien via d’autres domaines qu’il n’a pas lui-même visité, et qui appartiennent à des tiers. En effet, chaque cookie est associé à un domaine et envoyé ou reçu à chaque fois que le navigateur va « appeler » ce domaine. En pratique :
- Les cookies « internes » sont déposés par le site consulté par l’internaute, plus précisément sur le domaine du site. Ils peuvent être utilisés pour le bon fonctionnement du site ou pour collecter des données personnelles afin de suivre le comportement de l’utilisateur et servir à des finalités publicitaires.
- Les cookies « tiers » sont les cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même : ces cookies peuvent aussi être nécessaires au bon fonctionnement du site mais ils servent majoritairement à permettre au tiers de voir quelles pages ont été visitées sur le site en question par un utilisateur et de collecter des informations sur lui notamment à des fins publicitaires.
Un outil largement utilisé par l’industrie publicitaire
Alors que les cookies « internes » ne permettent un suivi de l’internaute que sur le site web qui les dépose, les cookies « tiers » permettent de tracer le comportement de l’internaute sur tous les sites qui les intègrent. Cela en fait un outil largement utilisé par les nombreux acteurs de l’industrie publicitaire en ligne. Ainsi, par exemple, tous les sites qui intègrent un bouton « j’aime » Facebook ou une vidéo Youtube permettent, en pratique, à ces acteurs de recevoir et déposer des cookies à chaque visite et reconstituer ainsi un historique de navigation partiel.
Le dépôt de cookies « tiers » permet notamment de suivre l’utilisateur dans sa navigation de site en site, de collecter ou de déduire de ses visites des informations sur lui telles que son âge, son lieu de résidence ou encore ses habitudes de consommation.
Ces informations peuvent ensuite servir à créer et enrichir un profil, parfois très détaillé et intrusif, de cet utilisateur. Ce profil est ensuite utilisé pour lui proposer des publicités qui ont de fortes chances de l’intéresser et donc de générer un achat.
De nombreux sites web tirent une grande partie de leurs revenus de la vente d’espace de publicités ciblées. La réalisation de ces transactions fait intervenir une multitude d’acteurs et a conduit au développement d’un nouveau pan du secteur de la publicité, généralement dénommée « AdTech » (pour « advertising technologies » ou technologies publicitaires). S’il est tout à fait possible de commercialiser de la publicité sans utiliser de cookies tiers (par exemple, un site de e-commerce spécialisé dans la randonnée pourra afficher des publicités de marques de ce secteur pour tous ses utilisateurs), le marché de la publicité en ligne est aujourd’hui principalement organisé autour de systèmes fondés sur les cookies tiers et la constitution de profils d’utilisateurs.
Pourquoi parle-t-on de la fin des cookies tiers ?
L’utilisation des cookies « tiers » est aujourd’hui remise en cause par certains navigateurs qui cherchent à limiter les possibilités de traçage des acteurs publicitaires. Le précurseur en la matière fut le navigateur Safari d’Apple qui, avec le lancement en 2017 de son programme ITP (« Intelligent Tracking Prevention » ou « prévention intelligente de pistage » en français), a développé des fonctionnalités du navigateur spécifiquement conçus pour limiter certaines pratiques des réseaux publicitaires. Le système proposé cherche à identifier les cookies liés aux pratiques de traçage et à limiter les possibilités offertes par les API aux sites web, par exemple en matière de durée de conservation des cookies.
Fin 2018, c’est au tour de Firefox de lancer une initiative similaire dénommée « ETP » (« Enhanced Tracking Protection » ou « prévention améliorée de pistage » en français). En pratique, sur Firefox et Safari, les cookies tiers sont aujourd’hui limités par défaut, diminuant les capacités de traçage des internautes fondés sur cette technique.
Enfin, en août 2019, Google, dont le navigateur Chrome dispose d’une part de marché d’environ 70 % en 2021, a également annoncé le lancement de son projet « Privacy Sandbox » (« bac à sable vie privée » en français) dont l’objectif est de limiter le recours aux cookies pour la publicité et de proposer une série de solutions techniques pour conserver les fonctionnalités publicitaires qui nécessitent aujourd’hui des cookies. Cette annonce a été suivie d’un engagement de Google à l’arrêt du support des cookies tiers par Chrome en 2023.
Toutefois, la fin du recours aux cookies tiers ne signifie pas que les individus ne seront plus tracés sur le web, notamment à des fins publicitaires. En effet, les acteurs de l’écosystème publicitaire pourront toujours avoir recours à des technologies alternatives leur permettant de suivre la navigation et les comportements des utilisateurs pour les cibler à des fins, notamment, publicitaires.
Un écosystème à la recherche d’alternatives aux cookies tiers
Ces dernières années, la CNIL a constaté le développement de plusieurs alternatives à l’utilisation des cookies tiers qui peuvent être classées en quatre catégories.
Les cookies « internes » et l’empreinte numérique du navigateur (« fingerprinting »)
D’autres points de vigilance imposés par les textes
Permettre aux utilisateurs de garder la main sur leurs données
Afin d’assurer que l’utilisation de ces technologies soit respectueuse de la vie privée des utilisateurs :
- il est essentiel d’intégrer, dès la conception, des moyens permettant aux utilisateurs de garder le contrôle sur leurs données personnelles ;
- il est également nécessaire permettre et faciliter l’exercice de l’ensemble des droits des personnes, par des interfaces conviviales, qui est une composante primordiale de la démarche de protection des données dès la conception (« privacy by design ») imposée par le RGPD.
La CNIL invite les acteurs de l’écosystème à anticiper ces contraintes, notamment dans les écrans d’information et de paramétrage de ces nouvelles techniques.
Eviter le traitement de données sensibles
Les données sensibles sont particulièrement protégées par le RGPD : leur collecte et leur traitement, en principe interdits, appellent donc à la plus grande vigilance. Chaque acteur doit veiller à ce que les groupes de ciblages qu’ils créent n’aboutissent pas à créer des discriminations mêmes indirectes.
Rester responsable de la mise en œuvre de ces techniques
Enfin, les parties prenantes (responsables de traitements, sous-traitants) doivent analyser leurs rôles et responsabilités dans la mise en œuvre de ces techniques de traçage afin de déterminer leurs obligations respectives.
Une attention particulière de la CNIL
La CNIL reste attentive au développement des technologies permettant de tracer les utilisateurs au cours de leur navigation, qui ne doivent pas remettre en cause les droits dont jouissent les internautes.
Elle effectue régulièrement des contrôles, à partir de plaintes reçues ou de sa propre initiative, pour s’assurer que les solutions proposées respectent les règles sur les cookies et autres traceurs, qui s’appliquent donc également à toutes ces solutions alternatives. Elle a ainsi prononcé, en 2021, plusieurs sanctions ou mises en demeure contre plusieurs acteurs du numérique (européens ou non) qui ne permettaient pas de refuser les cookies aussi facilement que de les accepter.
Elle suivra attentivement les développements en cours, à la fois en termes d’offres technique et de fonctionnalités de protection de la vie privée dans les navigateurs et les ordiphones, et pourra être amenée à publier des analyses plus détaillées.