L’Union Européenne, a émis une Directive sur la « ePrivacy » en 2002. Elle prévoit des obligations majeures relativement à l’utilisation des cookies sur les sites Internet. Révisée en décembre 2009, il était prévu sa mise en place dans les lois des états-membres de l’Union Européenne avant le 25 mai 2011.
À ce jour, seul le Danemark, l’Estonie, la Finlande, l’Irlande, Malte et la Suède avaient respectés ces délais, la France, les Pays-Bas et la Hongrie ayant fait de même par la suite.
- Pour le Royaume-Uni, la mise en œuvre de la directive ne semble déjà plus qu’une question de jours alors que pour l’Allemagne, l’Espagne ou encore l’Italie, cela ne semble pas encore d’actualité.
- Alors qu’elle est déjà en place en France depuis le 27 août 2011, le Royaume-Uni s’apprête à imposer à son tour aux sites Internet de son territoire ou s’adressant aux internautes du Royaume Uni une mise en conformité avant le 26 mai 2012, date limite pour informer les internautes de l’utilisation des cookies utilisés lorsqu’ils vont surfer sur un site (compte à rebours).
Au royaume Uni, le Bureau du Commissaire à l’information (ICO), qui est l’organisme de réglementation officielle et qui est chargé de faire respecter la « loi cookie », a même indiqué qu’en cas de manquement grave à la loi, le contrevenant pouvait se voir infliger une amende pouvant aller jusqu’à £ 500.000.
Le rapport initial reconnait que les Internautes connaissent très mal la notion de cookies et ce sera à chaque site, s’il utilise des cookies, d’en informer tout internaute dès le début de sa navigation.
Une lourde tâche pour les propriétaires qui vont devoir avant tout connaitre le degré d’utilisation des cookies sur leurs sites, y compris sur les dispositifs tels que les téléphones mobiles, les téléviseurs connectés à Internet ou encore les consoles de jeux.
Mais qu’en sera-t-il pour les widgets, les plug-ins des réseaux sociaux, google analytics, les vidéos ou slideshare installés ou autres, qui sont friands de cookies ? Et bien tout simplement, ces sites et application devraient notifier aussi ces cookies tiers.
La directive va même normalement plus loin en demandant aux sites hors Union Européenne qui sont susceptibles de recevoir des Internautes Européens d’informer eux aussi quant à l’utilisation de cookies spécifiques ou cookies Tiers.
- On peut se demander comment réagira dans le futur par exemple Google, Facebook ou Amazon à ces demandes.
- Pour le moment à priori, aucun effort n’est véritablement fait dans ce sens. Google annonce d’ailleurs la fin de la compatibilité des navigateurs mobiles ne reconnaissant pas les cookies d’authentification (qui sont autorisés sans consentement) au 1er mai 2012, accompagnant ainsi indirectement sa stratégie future de gestion publicitaire géolocalisée.
- Par ailleurs, le rapport n’apporte pas beaucoup de conseils utiles sur les mesures concrètes à la mise en œuvre, incitant seulement à une mise en conformité.
Cette directive décriée sur Techcrunch ( article 1 / article 2 ) ou encore par l’IAB ne fait pas l’unanimité. Il est toutefois indiqué qu’il est permis de faire valider tous les cookies du site en une seule fois. Sachant que majoritairement, les Internautes ne lisent pas les conditions ou termes d’utilisation, cela induira l’affichage d’un message de consentement d’utilisation par rapport aux cookies, comportant un message Marketing bien rodé «pour éviter le discours de demande de consentement afin de cibler votre comportement sur le site » !
Ce qui est curieux, c’est que le rapport n’interdit pas après le consentement initial des cookies, la modification de la fonction cookies existante sans redemander la validation à l’Internaute s’il revient sur le site.
On peut aussi se demander comment les propriétaires des sites gèreront l’intégration des Internautes anonymes, tout en sachant que le consentement implicite au niveau des navigateurs ne sera pas suffisant.
On peut alors vite imaginer soit des zones « mortes » sur les pages associées à ce dispositif, soit des boites de dialogues, des sites tiers qui gèreraient les consentements des cookies des sites associés, l’acceptation des cookies directement dans les conditions générales lors de la création d’un compte… tout en stockant l’acceptation ou non des cookies des utilisateurs.
Comment doivent se mettre en conformité les sites Internet ?
Avant tout, il conviendrait de se renseigner sur l’établissement d’une telle mesure appliquée à la France, car à notre connaissance, il y a très peu de sites qui sont en conformité avec la loi Française.
La CNIL n’a pas vraiment apporté de réponse forte en ce sens, mais il est précisé que seul les cookies ayant pour but de « permettre ou de faciliter la communication par voie électronique et ceux qui sont strictement nécessaires à la fourniture d’un service de communication en ligne. » ne sont pas concernés.
En France, on peut alors considérer que les cookies de type « session utilisateur », « panier achat », « langue d’utilisation » ne sont donc pas concernés. Seuls les cookies d’analyse d’audience et de comportement mais aussi de retargeting sont concernés. Il convient alors pour tous les sites utilisant ces services de se mettre en conformité. Sont bien sûr concernées toutes les sociétés qui oeuvrent dans la publicité en ligne, et nous ne serions que les inviter à parcourir ce site réalisé par l’IAB France.
Désormais, toutes les entreprises sur Internet doivent comprendre la façon dont elles utilisent actuellement leurs cookies ou cookies tiers, en proposant des systèmes d’opt-out, pour refuser la génération de cookies.
Cela signifie qu’il faut effectuer une vérification de tous les cookies, les répertorier, les catégoriser (nous en avons identifiés cinq) et vérifier les données qui sont stockées, mais pas seulement !
La directive porte aussi sur les données stockées, et les sites doivent indiquer quels sont les avantages offerts aux visiteurs associés à ces collectes de données. L’information doit être placée sur chaque site tout comme décrire dans la langue de l’utilisateur, comment les cookies sont utilisés.
Toutes les entreprises doivent aussi revoir certains de leurs engagements avec leurs clients afin de s’assurer qu’ils comprennent et valident aussi des engagements avec d’éventuels partenaires. La loi initiale comporte trois volets (le consentement, l’information et les exclusions) mais pourraient toutes être considérées comme sujettes à interprétation.
En effet par exemple, sur l’orientation proposée au Royaume Uni, l’ICO propose des solutions basées sur le consentement différé plutôt que le consentement préalable, pour déduire le consentement sur la base des informations contenues, plutôt qu’explicites.
Le manque de clarté autour de laquelle les cookies seront réputés strictement nécessaires (les paniers sur les sites marchands par exemple seraient « peut être exclus ») et leur flexibilité implicite autour de certains cookies utilisés (analyse statistiques par exemple) inviteront surement de nombreuses entreprises Anglaises à ne pas avoir à déclarer leurs cookies.
Les internautes sont-ils gagnants?
A priori on s’oriente vers une politique de fermeté qui est censée « informer » les Internautes sur les informations qui sont récoltées à leur insu. Par contre devoir accepter sur chaque site un disclaimer (voir cet exemple officiel ) expliquant que le site contient des cookies sera vite rébarbatif, surtout si les petits sites n’utilisent pas de cookies incrémentiels.
L’impact à court terme risque fortement de réduire de nombreuses fonctionnalités issues des informations associées aux cookies et la perspicacité des affichages d’images ou d’information pertinente pourrait aussi être touchée.
Pour les applications de téléphone ou de tablettes, les appareils reliés à Internet utilisant de l’affichage ou des données de l’utilisateur, quelle que soit la plate-forme, l’utilisateur devra être en mesure de prendre une décision avertie avant de procéder à une action qui entrainerait la génération d’un cookie.
Encore faudra-t-il que l’utilisateur soit informé de ce qu’est un cookie et à quoi il peut servir !
… Mais finalement, cet exercice ne sera-t-il pas d’une certaine façon bénéfique ?
En nous penchons de plus près sur le sujet, on se rend compte que les responsables de site ne sont pas toujours informés des questions relatives à la vie privée et aux cookies. Bien que la loi est censée être appliquée en France et en Europe, il y a très peu de sites qui ont changé dans cette optique, cependant il est important de connaitre l’utilisation et le fonctionnement des cookies tiers.
Les cookies récupérant des informations usuellement anonymes ont des vertus intéressantes, permettant de reconnaitre et d’afficher des informations et images ciblées, aidant à la fluidité et à la pertinence de l’affichage de contenus.
Cependant, beaucoup de bannières publicitaires de régies ou assimilées sont bien plus intrusives qu’on ne le croit. Elles contiennent souvent un code javascript qui s’exécute en local sur la machine cliente et vont en plus de générer un cookie, ouvrir de temps à autre des iframes au sein du site sans que le propriétaire en soit informé ou que les responsables informatiques y exercent un contrôle.
Qui dit iframe, dit impossibilité de vérifier le contenu et les informations récoltées et stockées chez le prestataire tiers. Ce « trou de sécurité » est très mal connu des propriétaires de sites, étant peu informés par leurs partenaires publicitaires.
Cette faille peut constituer un danger potentiel si la déontologie de la collecte d’information n’est pas respectée. Voici alors une excellente raison pour les propriétaires de sites de profiter de l’occasion de la loi cookies pour passer en revue les cookies internes et tiers.
Il est aussi à noter qu’il existe plusieurs solutions pour avoir des sites en « free cookies » y compris pour le retargeting. Celles-ci sont déjà disponibles sur le marché et apportent une vraie réponse intéressante face aux prérogatives de la loi.