Alternatives aux cookies tiers : quelles conséquences en matière de consentement ?

13 octobre 2021

Depuis plusieurs années, certains acteurs du numérique développent des alternatives aux cookies « tiers » pour le ciblage publicitaire. La CNIL, attentive à ces innovations, rappelle que ces dispositifs doivent toujours respecter les règles relatives à la protection des données et, surtout, le consentement et les droits des personnes.

Qu’est-ce qu’un cookie « tiers » ?

Cookies internes et cookies tiers : quelle différence ?

À l’origine, les cookies ont été créés pour permettre la tenue de sessions de navigation, en conservant par exemple à disposition de l’internaute un panier d’achat. Cet usage premier a rapidement évolué vers des finalités de traçage publicitaire, faisant du cookie une technologie très utilisée par l’écosystème publicitaire en ligne, particulièrement au moyen de l’utilisation de cookies tiers.

Lorsqu’un utilisateur visite un site web, il consulte en pratique un « domaine » qui se termine en général par une extension de type .com ou .fr (par exemple monsite.com est un domaine). Les contenus du site visité peuvent être transmis depuis le domaine que l’utilisateur visite, ou bien via d’autres domaines qu’il n’a pas lui-même visité, et qui appartiennent à des tiers. En effet, chaque cookie est associé à un domaine et envoyé ou reçu à chaque fois que le navigateur va « appeler » ce domaine. En pratique :

  • Les cookies « internes » sont déposés par le site consulté par l’internaute, plus précisément sur le domaine du site. Ils peuvent être utilisés pour le bon fonctionnement du site ou pour collecter des données personnelles afin de suivre le comportement de l’utilisateur et servir à des finalités publicitaires.
  • Les cookies « tiers » sont les cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même : ces cookies peuvent aussi être nécessaires au bon fonctionnement du site mais ils servent majoritairement à permettre au tiers de voir quelles pages ont été visitées sur le site en question par un utilisateur et de collecter des informations sur lui notamment à des fins publicitaires.

Un outil largement utilisé par l’industrie publicitaire

Alors que les cookies « internes » ne permettent un suivi de l’internaute que sur le site web qui les dépose, les cookies « tiers » permettent de tracer le comportement de l’internaute sur tous les sites qui les intègrent. Cela en fait un outil largement utilisé par les nombreux acteurs de l’industrie publicitaire en ligne. Ainsi, par exemple, tous les sites qui intègrent un bouton « j’aime » Facebook ou une vidéo Youtube permettent, en pratique, à ces acteurs de recevoir et déposer des cookies à chaque visite et reconstituer ainsi un historique de navigation partiel.

Le dépôt de cookies « tiers » permet notamment de suivre l’utilisateur dans sa navigation de site en site, de collecter ou de déduire de ses visites des informations sur lui telles que son âge, son lieu de résidence ou encore ses habitudes de consommation.

Ces informations peuvent ensuite servir à créer et enrichir un profil, parfois très détaillé et intrusif, de cet utilisateur. Ce profil est ensuite utilisé pour lui proposer des publicités qui ont de fortes chances de l’intéresser et donc de générer un achat.

De nombreux sites web tirent une grande partie de leurs revenus de la vente d’espace de publicités ciblées. La réalisation de ces transactions fait intervenir une multitude d’acteurs et a conduit au développement d’un nouveau pan du secteur de la publicité, généralement dénommée « AdTech » (pour « advertising technologies » ou technologies publicitaires). S’il est tout à fait possible de commercialiser de la publicité sans utiliser de cookies tiers (par exemple, un site de e-commerce spécialisé dans la randonnée pourra afficher des publicités de marques de ce secteur pour tous ses utilisateurs), le marché de la publicité en ligne est aujourd’hui principalement organisé autour de systèmes fondés sur les cookies tiers et la constitution de profils d’utilisateurs.


Pourquoi parle-t-on de la fin des cookies tiers ?

L’utilisation des cookies « tiers » est aujourd’hui remise en cause par certains navigateurs qui cherchent à limiter les possibilités de traçage des acteurs publicitaires. Le précurseur en la matière fut le navigateur Safari d’Apple qui, avec le lancement en 2017 de son programme ITP (« Intelligent Tracking Prevention » ou « prévention intelligente de pistage » en français), a développé des fonctionnalités du navigateur spécifiquement conçus pour limiter certaines pratiques des réseaux publicitaires. Le système proposé cherche à identifier les cookies liés aux pratiques de traçage et à limiter les possibilités offertes par les API aux sites web, par exemple en matière de durée de conservation des cookies. 

Fin 2018, c’est au tour de Firefox de lancer une initiative similaire dénommée « ETP » (« Enhanced Tracking Protection » ou « prévention améliorée de pistage » en français). En pratique, sur Firefox et Safari, les cookies tiers sont aujourd’hui limités par défaut, diminuant les capacités de traçage des internautes fondés sur cette technique.

Enfin, en août 2019, Google, dont le navigateur Chrome dispose d’une part de marché d’environ 70 % en 2021, a également annoncé le lancement de son projet « Privacy Sandbox » (« bac à sable vie privée » en français) dont l’objectif est de limiter le recours aux cookies pour la publicité et de proposer une série de solutions techniques pour conserver les fonctionnalités publicitaires qui nécessitent aujourd’hui des cookies. Cette annonce a été suivie d’un engagement de Google à l’arrêt du support des cookies tiers par Chrome en 2023.

Toutefois, la fin du recours aux cookies tiers ne signifie pas que les individus ne seront plus tracés sur le web, notamment à des fins publicitaires. En effet, les acteurs de l’écosystème publicitaire pourront toujours avoir recours à des technologies alternatives leur permettant de suivre la navigation et les comportements des utilisateurs pour les cibler à des fins, notamment, publicitaires.


Un écosystème à la recherche d’alternatives aux cookies tiers

Ces dernières années, la CNIL a constaté le développement de plusieurs alternatives à l’utilisation des cookies tiers qui peuvent être classées en quatre catégories.

Les cookies « internes » et l’empreinte numérique du navigateur (« fingerprinting »)

Prise d'empreinte du navigateur (fingerprinting) : les informations du matériel (système d'exploitation, navigateur, taille de l'écran) servent à effectuer un suivi de la navigation

 

Certaines techniques sont utilisées pour permettre un contournement des restrictions annoncées par les navigateurs. Différentes méthodes sont actuellement utilisées, de manière résiduelle :

  • Le « fingerprinting » (ou prise d’empreinte) vise à identifier un utilisateur de façon unique sur un site web ou une application mobile en utilisant les caractéristiques techniques de son navigateur. En effet, le matériel dont se sert l’utilisateur pour se connecter fournit un certain nombre d’informations au serveur, par exemple la taille de l’écran ou le système d’exploitation. Ces informations, si elles sont suffisamment nombreuses, peuvent permettre de distinguer les individus entre eux (en pratique chaque navigateur) et de les suivre de manière similaire aux cookies.
  • Les cookies « internes » du site visité par l’internaute peuvent renvoyer des données via des appels d’URL sur le domaine du publicitaire, ou via des techniques de délégation de sous-domaine (« CNAME cloaking »). Ces techniques permettent aux acteurs qui déposaient des cookies « tiers » d’échapper aux blocages des navigateurs en exploitant des données provenant de cookies « internes ». 

L’authentification unique (« Single Sign-On »)

authentification unique sso
 

Le Single Sign-On (ou « SSO ») consiste à permettre la connexion à un grand nombre de sites, applications ou services par le biais d’un unique compte utilisateur et une seule authentification.

Ce système a vocation à faciliter la connexion de l’utilisateur mais permet surtout au groupe de site ou de service d’avoir une vision globale et consolidée de la navigation de l’utilisateur sur l’ensemble des sites, applications ou services : le compte utilisateur devient un traceur qui suit l’internaute au cours de sa navigation.

À noter : cette fonctionnalité n’est pas faite, à l’origine, pour le ciblage publicitaire. Par ailleurs, la présence d’un SSO n’est pas nécessairement liée à des finalités publicitaires.

Les identifiants uniques

identifiant unique
 

Les « identifiants uniques », développés par analogie avec les identifiants publicitaires présents sur les ordiphones (p. ex. : IDFA), permettent de suivre un utilisateur à travers l’utilisation d’une donnée déterministe hachée, collectée au cours de sa navigation sur le site.

Cette technique peut utiliser l’adresse de courriel ou un identifiant fourni par un utilisateur pour se connecter à différents services en ligne afin de faire le lien entre ces comptes et de suivre l’utilisateur dans son utilisation de ces services.

Cette technique est parfois associée à celle de la prise d’empreinte (fingerprinting), l’une étant utilisée pour permettre l’autre.

Le ciblage publicitaire par cohorte

Ciblage par cohorte - Si une première cohorte préfère les écharpes et la seconde des casquettes, les individus de ces cohortes verront, selon le cas, plus de contenus liés aux casquettes ou aux écharpes

 

Certains acteurs, comme Apple ou Google, développent des systèmes de ciblage par cohorte. Ainsi, une partie des solutions proposées dans la Privacy Sandbox (développée par la société Google), par exemple, vise spécifiquement à reproduire les possibilités actuelles des cookies dans le cadre de la publicité ciblée, tout en tentant de mettre en œuvre des limitations afin de diminuer l’intrusivité de ces pratiques.

Ces limitations consistent par exemple :

  • En un ciblage par cohorte (FLoC dans le cas de la Google Privacy Sandbox), qui consiste à éviter de cibler un individu en s’attachant à constituer un groupe d’individus ayant des caractéristiques similaires (centre d’intérêts, etc.), et qui sera repéré par un identifiant unique et persistant, partagé par tous les utilisateurs de la même cohorte et géré au niveau du navigateur ou du système d’exploitation. Dans le cas de la Privacy Sandbox, la liste des domaines visités dans Chrome est utilisée pour calculer la cohorte d’appartenance du navigateur, sauf si les gestionnaires de ces domaines se sont opposés au ciblage.
  • En la mise en œuvre de solutions techniques permettant de fournir uniquement des résultats agrégés aux parties prenantes, c’est-à-dire des résultats qui ne sont présentés que groupés (par exemple uniquement le nombre de personnes ayant vu une campagne publicitaire), sans que les données sur les vues unitaires ne soient accessibles.
  • À déporter dans le terminal de l’internaute certaines opérations (par exemple les enchères publicitaires) afin de tenter de limiter la capacité des acteurs de l’écosystème publicitaire à collecter des informations au cours de ces opérations.

Le ciblage publicitaire par cohorte est en principe moins intrusif que les cookies tiers : il doit permettre de cibler un groupe d’utilisateurs aux comportements similaires et non plus un utilisateur de manière individuelle.

Toutefois, l’appréciation des conséquences d’un tel système, et notamment des risques pour les droits et libertés des utilisateurs, dépend d’une analyse concrète de la manière dont est mis en œuvre le ciblage sans cookies « tiers » pour limiter le suivi individuel des internautes (risques de réidentification individuelle, etc.) et respecter le principe de minimisation des données.


Quelles sont les règles à respecter ?

Les différentes techniques expliquées ci-dessus soulèvent des enjeux en termes de protection des données personnelles mais aussi de protection des terminaux et des communications des utilisateurs.

La CNIL rappelle que le développement de techniques alternatives aux cookies « tiers » ne peut se faire aux dépens du droit des personnes à la protection de leurs données personnelles et de leur vie privée. Leur utilisation doit se faire dans le respect des principes issus de la règlementation en vigueur à savoir le RGPD mais également la directive « vie privée et communications électroniques » (dite « ePrivacy ») qui vise à protéger spécifiquement les communications des individus et sa transposition dans le droit français dans la loi Informatique et Libertés.

Ce cadre légal garantit aujourd’hui à chacun une protection de ses communications privées mais aussi de son équipement terminal.

Recueil du consentement : un choix libre de l’internaute

En pratique, les techniques présentées ci-dessus reposent toutes sur l’accès à l’équipement terminal de l’utilisateur (ordiphone, ordinateur fixe ou mobile, etc.), pour accéder à des informations déjà stockées dans cet équipement (identifiant publicitaire, identifiant de cohorte, données de paramétrage du navigateur) ou pour y inscrire des informations, au même titre que pour les cookies.

Par exemple dans le cas du projet FLoC (Google Privacy Sandbox), il est possible pour tout domaine exécutant des scripts depuis un site d’accéder à l’identifiant de cohorte par le biais de l’interface offerte par le navigateur Chrome au site web.

Afin de protéger l’intégrité du terminal, les actions d’accès à l’équipement terminal de l’utilisateur sont particulièrement encadrées par les textes européens.

En effet, les opérations, nécessaires à la constitution d’un profil individuel ou de groupe et à la fourniture de publicité ciblée, requièrent le consentement préalable de l’utilisateur, qu’il y ait ou non traitement de données personnelles, dans la mesure où elles ne font pas directement partie du service directement demandé par l’utilisateur (directive ePrivacy et article 82 de la loi Informatique et Libertés).

Les utilisateurs doivent donc être en mesure de choisir librement et de manière éclairée :

  • de faire l’objet d’un suivi non strictement nécessaire à la fourniture du service demandé, par exemple pour maximiser la pertinence des publicités présentées au regard de leurs préoccupations du moment et, en adhérant à l’utilisation de ces traceurs, à contribuer à la rémunération d’un site ou d’une application ; ou
  • de refuser un tel suivi.

À noter :

Le suivi à des fins de publicité, quand il repose sur des informations issues du navigateur ou du terminal, doit relever du choix éclairé de l’internaute, quelle que soit la technique utilisée.

Les lignes directrices et la recommandation de la CNIL portant sur les « cookies et autres traceurs » s’appliquent donc également à l’usage de ces techniques.

D’autres points de vigilance imposés par les textes

Permettre aux utilisateurs de garder la main sur leurs données

Afin d’assurer que l’utilisation de ces technologies soit respectueuse de la vie privée des utilisateurs :

  • il est essentiel d’intégrer, dès la conception, des moyens permettant aux utilisateurs de garder le contrôle sur leurs données personnelles ;
  • il est également nécessaire permettre et faciliter l’exercice de l’ensemble des droits des personnes, par des interfaces conviviales, qui est une composante primordiale de la démarche de protection des données dès la conception (« privacy by design ») imposée par le RGPD.

La CNIL invite les acteurs de l’écosystème à anticiper ces contraintes, notamment dans les écrans d’information et de paramétrage de ces nouvelles techniques.

Eviter le traitement de données sensibles

Les données sensibles sont particulièrement protégées par le RGPD : leur collecte et leur traitement, en principe interdits, appellent donc à la plus grande vigilance. Chaque acteur doit veiller à ce que les groupes de ciblages qu’ils créent n’aboutissent pas à créer des discriminations mêmes indirectes.

Rester responsable de la mise en œuvre de ces techniques

Enfin, les parties prenantes (responsables de traitements, sous-traitants) doivent analyser leurs rôles et responsabilités dans la mise en œuvre de ces techniques de traçage afin de déterminer leurs obligations respectives.

Une attention particulière de la CNIL

La CNIL reste attentive au développement des technologies permettant de tracer les utilisateurs au cours de leur navigation, qui ne doivent pas remettre en cause les droits dont jouissent les internautes.

Elle effectue régulièrement des contrôles, à partir de plaintes reçues ou de sa propre initiative, pour s’assurer que les solutions proposées respectent les règles sur les cookies et autres traceurs, qui s’appliquent donc également à toutes ces solutions alternatives. Elle a ainsi prononcé, en 2021, plusieurs sanctions ou mises en demeure contre plusieurs acteurs du numérique (européens ou non) qui ne permettaient pas de refuser les cookies aussi facilement que de les accepter.

Elle suivra attentivement les développements en cours, à la fois en termes d’offres technique et de fonctionnalités de protection de la vie privée dans les navigateurs et les ordiphones, et pourra être amenée à publier des analyses plus détaillées.