Cookies : autoriser ou non la collecte de nos données à caractère personnel

En naviguant sur le web, nous laissons de multiples traces de nos données à caractère personnel. Ces dernières sont parfois collectées sans notre consentement. Comment dès lors exercer un contrôle sur ces cookies et autres traceurs ?

© Pixabay

Que sont les "cookies" ou "traceurs" ?

Lors d’une connexion internet, il y a échange de messages électroniques avec un serveur. Les cookies (ou traceurs) sont en fait des mini-fichiers contenus dans les entêtes de ces messages pour faciliter la connexion. 

Les cookies connaissent de multiples finalités, de la mémorisation de notre identifiant d’un site internet en passant par celle de sa langue d’affichage ou encore de nos préférences de navigation. Les informations stockées dans les cookies sont ensuite récupérées et lues par les responsables du ou des traitements qui déposent lesdits traceurs. Il s’agit généralement des éditeurs de sites web ou d’applications mobiles ou encore des réseaux sociaux.

Les enjeux : l’obtention de notre consentement

De nos jours, nous sommes presque systématiquement confrontés à l’acceptation de cookies lorsque nous naviguons sur le web. En d’autres termes, l’accès au site internet ou à l’application est conditionné à ce qui peut nous sembler à première vue être une simple « acceptation » de dépôt de cookies/traceurs dans nos appareils. Cette « acceptation » n’est pas sans conséquence. En effet, selon la finalité du cookie, nos données peuvent ensuite être vendues à des tiers pour produire par exemple de la publicité ciblée.  Et c'est ainsi que nous voyons parfois surgir de nulle part des offres liées aux derniers sites commerciaux consultés.

C’est pourquoi, l’utilisation de cookies ou autres traceurs est encadrée par le RGPD (Règlement Général de Protection des Données) et la législation dite "ePrivacy". Une simple « acceptation », telle qu’une case cochée par défaut ou l’acceptation des conditions générales, ne suffit pas : nous devons donner notre consentement pour autoriser la collecte de nos données à caractère personnel pour des finalités spécifiques.

Dans certains cas, le placement et/ou la lecture de cookies est strictement nécessaire à l’établissement ou à la facilitation de la communication électronique entre notre appareil et le serveur du site[1] ou à la fourniture du service que nous avons expressément demandé. C’est le cas des cookies permettant la conservation de notre panier d’achat sur un site marchand par exemple. C’est également le cas des traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues. Il s’agit dans ce cas de cookies fonctionnels ou essentiels qui ne nécessitent pas l’obtention de notre consentement.

Dans tous les autres cas, les responsables du ou des traitements qui déposent des cookies sont tenus de nous informer préalablement du placement et/ou de la lecture de ces cookies non fonctionnels, de leurs finalités et de recueillir notre consentement. C’est le cas des cookies liés aux opérations relatives à la publicité personnalisée ou encore des cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

Donner notre consentement, cela veut dire … ?

Le RGPD définit le consentement comme
« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Une telle définition peut être décomposée en trois éléments :

  • Une manifestation de volonté libre, spécifique, éclairée et univoque

Donner un consentement libre et éclairé dépend de la qualité des informations reçues quant à l’identité des responsables de traitement, aux finalités poursuivies par les cookies et à leur durée de conservation, aux données collectées. Par exemple, consentir à la seule utilisation de cookies sans obtenir la moindre précision sur les éléments mentionnés ci-avant ne suffit pas. En outre, si le site Internet utilise plusieurs types de cookies aux finalités différentes, nous devons avoir le choix d’accepter ou de refuser le placement et/ou la lecture de chaque type de cookies.

Il est également obligatoire que ces informations soient visibles, mises en évidence et complètes en plus d’être rédigées en termes simples et compréhensibles pour le public « cible » visé. C’est la raison pour laquelle, généralement, le placement et/ou la lecture de cookies apparait dans une fenêtre « pop-up » qui s’affiche sur l’écran de manière automatique lors de la consultation du site web.

  • Une déclaration ou un acte positif clair

Pour pouvoir consentir librement, nous devons pouvoir exercer un choix réel pour chaque application ou chaque site internet, c’est-à-dire accepter ou refuser simplement le placement et/ou la lecture de cookies. Cela signifie que le refus de placement et/ou lecture de cookies non fonctionnels ne peut pas justifier le refus d’accès à un site internet ou à une application mobile. Connue sous le nom de « cookie walls » et interdite par le RGPD, cette pratique nous oblige en réalité à consentir au placement et/ou lecture de cookies pour pouvoir accéder au site internet, à l’application mobile ou à certains de leurs services ou avantages.

  • La possibilité de pouvoir retirer simplement et à tout moment son consentement

A tout moment, nous devons avoir la possibilité de retirer notre consentement aussi simplement que la manière dont nous l’avons donné.

Les points d'attention pour garder la maîtrise de nos données

Garder le contrôle de ses données à caractère personnel dans un monde toujours plus connecté implique donc de s’assurer avant tout de pouvoir consentir préalablement et valablement à la collecte desdites données.

En outre et tel que vu précédemment, en tant que personne concernée, nous disposons de droits sur nos données à caractère personnel collectées tels que notamment le droit d’accès, de rectification, le droit à l’effacement ou encore à la limitation du traitement, etc. Il est également possible d’adresser une plainte à l’Autorité de protection des données dans le cas où l’un de ces droits n’est pas respecté.

La série d’articles consacrés au RGPD :
Pourquoi un droit de la protection des données à caractère personnel ?
Décoder les principes de la protection des données à caractère personnel
Les acteurs-clés de la protection des données à caractère personnel
Maitriser ses données ? Connaître et exercer ses droits !
Cookies : autoriser ou non la collecte de nos données à caractère personnel

Maude BIETTLOT
Juriste-criminologue
Avec la collaboration de Philippe Baeten, juriste, expert en RGPD 

Sources :
https://www.autoriteprotectiondonnees.be/citoyen/themes/internet/cookies
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi

[1] Il s’agit d’ailleurs de la fonctionnalité originelle de l’utilisation de cookies.

®SECUNEWS