Cookies et RGPD, pourquoi on nous demande de les accepter ? 🍪

Si tu veux te rafraîchir la mémoire sur ce que sont les cookies c’est par ici.

Les Cookies, c’est Quoi en Fait ? 🍪

Acceptez les cookies par ci, voulez-vous accepter les cookies par là ? On a vu fleurir sur tous les sites ces bannières (insupportables) qui nous demandent à longueur de journée notre consentement pour accepter les cookies. Super, topitop, mais pourquoi on nous demande ça ? Et au final, c’est quoi ces

Decode - by TancrèdeTancrède Simonin

Petit disclaimer: cet article concerne des sujets juridiques complexes et sur lesquels les textes et interprétations varient fréquemment. Cet article est à visée pédagogique et pas un conseil juridique, si vous avez des doutes, faites vous accompagner.

La raison pour laquelle on te demande ton consentement pour qu’un site web dépose des cookies sur ton ordinateur c’est parce que le RGPD a rendu obligatoire de te le demander pour certains types de cookies.

Et en fait c’est ça le truc, c’est que les exemples qu’on a vu précédemment ne nécessitent en fait pas forcément de bandeau de consentement car ils sont considérés nécessaires au bon fonctionnement du site et ne stockent pas d’informations personnelles.

Or les cookies ne servent pas toujours qu’à ça…. Et en plus il existe d’autres types de cookies.

Les 2 types de cookies qui ne nécessitent pas de consentement RGPD 🇪🇺

Il existe des cookies qui ne nécessitent pas de demande de consentement, tout en respectant le cadre légal du RGPD:

• Les cookies nécessaires au bon fonctionnement du site. Consentement: Sexe, amour and GDPR ! Souvent des cookies techniques, soit pour garantir votre sécurité ou la sécurité du site, des cookies qui permettent d’avoir une navigation confortable, par exemple sauvegarder tes préférences de langues ou ta session quand tu es connecté, sinon tu vas devoir à chaque chargement de page sélectionner ta langue ou te reconnecter et c’est l'enfer. Bref, si c’est obligatoire pour que le site fonctionne, c’est OK de ne pas demander l’autorisation de l’utilisateur lors de la visite sur le site. Cependant il faut expliquer la présence et l’usage de ces cookies dans ta privacy policy.
• Les autres cookies autorisés sans demande de consentement à l’arrivée sur le site, sont les cookies qui permettent de réaliser une action expressément souhaitée par l’utilisateur - sans toutefois stocker de données personnelles - comme l’exemple qu'on a vu précédemment des cookies pour faire fonctionner le panier de produits entre deux connexions.

⚠️ Attention à cette deuxième catégorie. Sur le plan légal tu dois te faire accompagner par des juristes spécialisés sur ce point car les interprétations que tu peux en avoir peuvent être très différentes d’une cour de justice, et cela ouvre très facilement la porte à des dérives.

Les cookies qui nécessitent le consentement RGPD 🇪🇺

Tous les autres cookies nécessitent obligatoirement de demander le consentement de l’utilisateur pour en déposer sur ton ordinateur.

Prenons l’exemple du cas précédent où est stocké sur un cookie la liste des produits que tu as mis dans ta liste.

Si ce cookie est utilisé pour que tu puisses retrouver ta liste de produits quand tu cliques sur ton panier il y a de fortes chances que tu puisses justifier de ne pas avoir demandé le consentement.

Cependant, si tu utilises ce même cookie pour afficher dans un encart publicitaire, une pop-up ou tout support publicitaire/marketing, un des produits de cette liste, mis en avant quand tu reviens sur le site, de manière ciblée, tu dois demander le consentement pour ce genre d’utilisation car ce n’est absolument pas un usage nécessaire au bon fonctionnement du site, ni un usage expressément demandé par la personne qui visite ton site.

C'est la notion de finalité du RGPD, un même cookie peut être légal ou pas selon la manière dont il est utilisé.

L’autre type de cookie qui est la principale raison de ces bandeaux, ce sont les cookies dits “third-party”. Ce sont des cookies spéciaux.

Les cookies coquins: les third-party 😈

Quand tu visites ton site d’e-commerce, ce site peut contenir du code appartenant à autre "site", par exemple (totalement au hasard) Google Ads & Analytics.

Google Ads peut déposer un cookie sur ton ordinateur quand tu visites le site de e-commerce fnac.com. C’est un cookie third-party. C’est un cookie qui n’est pas déposé par le site que tu visites, mais par un autre système (bien sûr autorisé par le site d'e-commerce) mais dont tu n’as pas connaissance sans aller fouiller le code de la page (et on a autre chose à faire).

L’exemple typique de ces cookies c’est le retargeting, tu sais les publicités qui te suivent partout là.. si si tu sais..

Exemple du retargeting

Tu visites un site de e-commerce avec des produits pour bébé.

Ce site d’e-commerce contient le code d’un service de retargeting qui dépose un cookie sur ton ordinateur et stocke l’information que tu as regardé des produits pour bébé.

Ensuite tu vas sur Facebook, et là, tu vois que la pub Facebook te propose les même produits que tu as vu sur le site d’e-commerce, alors que ces deux sites n’ont rien à voir. Puis tu vas sur un blog quelconque, et là aussi il y a un encart publicitaire avec des produits pour bébé.

C’est parce que l’acteur tiers, qui dépose donc le “third-party cookie”, une fois que tu es allé sur Facebook, a pu lire ce même cookie déposé sur un autre site.

Et quand tu as 2-3 grands acteurs de publicité en ligne dans le monde qui sont sur à peu près tous les sites possibles et inimaginables, et ben en lisant ces petits cookies tu as l’impression d’être complètement poursuivi pour te vendre des trucs que tu as regardé sur un autre site.

Voilà donc, en quelques minutes, le petit point sur les cookies et le RGPD!