Alternatives aux cookies tiers : attention à respecter le consentement et les droits des personnes !

Depuis plusieurs années, certains acteurs du numérique développent des alternatives aux cookies « tiers » pour le ciblage publicitaire. Attentive à ces innovations, la CNIL rappelle que ces dispositifs doivent toujours respecter les règles relatives à la protection des données et, surtout, le consentement et les droits des personnes.

Un outil largement utilisé par l'industrie publicitaire. - Alors que les cookies « internes » ne permettent un suivi de l'internaute que sur le site web qui les dépose, les cookies « tiers » permettent de tracer le comportement de l'internaute sur tous les sites qui les intègrent. Cela en fait un outil largement utilisé par les nombreux acteurs de l'industrie publicitaire en ligne. Ainsi, par exemple, tous les sites qui intègrent un bouton « j'aime » Facebook ou une vidéo Youtube permettent, en pratique, à ces acteurs de recevoir et déposer des cookies à chaque visite et reconstituer ainsi un historique de navigation partiel.Le dépôt de cookies « tiers » permet notamment de suivre l'utilisateur dans sa navigation de site en site, de collecter ou de déduire de ses visites des informations sur lui telles que son âge, son lieu de résidence ou encore ses habitudes de consommation.Ces informations peuvent ensuite servir à créer et enrichir un profil, parfois très détaillé et intrusif, de cet utilisateur, profil qui est ensuite utilisé pour lui proposer des publicités qui ont de fortes chances de l'intéresser, donc de générer un achat.

La fin des cookies tiers ? - L'utilisation des cookies « tiers » est aujourd'hui remise en cause par certains navigateurs qui cherchent à limiter les possibilités de traçage des acteurs publicitaires. Le précurseur en la matière fut le navigateur Safari d'Apple qui, avec le lancement en 2017 de son programme ITP (« Intelligent Tracking Prevention » ou « prévention intelligente de pistage » en français), a développé des fonctionnalités du navigateur spécifiquement conçus pour limiter certaines pratiques des réseaux publicitaires. Le système proposé cherche à identifier les cookies liés aux pratiques de traçage et à limiter les possibilités offertes par les API aux sites web, par exemple en matière de durée de conservation des cookies. Fin 2018, c'est au tour de Firefox de lancer une initiative similaire dénommée « ETP » (« Enhanced Tracking Protection » ou « prévention améliorée de pistage » en français). En pratique, sur Firefox et Safari, les cookies tiers sont aujourd'hui limités par défaut, diminuant les capacités de traçage des internautes fondés sur cette technique. Enfin, en août 2019, Google, dont le navigateur Chrome dispose d'une part de marché d'environ 70 % en 2021, a également annoncé le lancement de son projet « Privacy Sandbox » (« bac à sable vie privée » en français) dont l'objectif est de limiter le recours aux cookies pour la publicité et de proposer une série de solutions techniques pour conserver les fonctionnalités publicitaires qui nécessitent aujourd'hui des cookies. Cette annonce a été suivie d'un engagement de Google à l'arrêt du support des cookies tiers par Chrome en 2023. Toutefois, la fin du recours aux cookies tiers ne signifie pas que les individus ne seront plus tracés sur le web, notamment à des fins publicitaires. En effet, les acteurs de l'écosystème publicitaire pourront toujours avoir recours à des technologies alternatives leur permettant de suivre la navigation et les comportements des utilisateurs pour les cibler à des fins, notamment, publicitaires.

Quelles sont les règles à respecter ? – Ces dernières années, la CNIL a constaté le développement de plusieurs alternatives à l'utilisation des cookies tiers qui peuvent être classées en 4 catégories : les cookies « internes » et l'empreinte numérique du navigateur (« fingerprinting ») ; l'authentification unique (« Single Sign-On ») ; les identifiants uniques ; et le ciblage publicitaire par cohorte : autant de techniques, expliquées par la CNIL, qui soulèvent des enjeux en termes de protection des données personnelles mais aussi de protection des terminaux et des communications des utilisateurs. Et la Commission de rappeler que le développement de techniques alternatives aux cookies « tiers » ne peut se faire aux dépens du droit des personnes à la protection de leurs données personnelles et de leur vie privée ; leur utilisation doit se faire dans le respect des principes issus de la règlementation en vigueur, à savoir le RGPD, mais également la directive « vie privée et communications électroniques » (dite « ePrivacy ») qui vise à protéger spécifiquement les communications des individus et sa transposition dans le droit français dans la loi « Informatique et Libertés ».Ce cadre légal « garantit aujourd'hui à chacun une protection de ses communications privées mais aussi de son équipement terminal »,estime la CNIL.

Elle précise que les utilisateurs doivent être en mesure de choisir librement et de manière éclairée de faire l'objet d'un suivi non strictement nécessaire à la fourniture du service demandé, par exemple pour maximiser la pertinence des publicités présentées au regard de leurs préoccupations du moment et, en adhérant à l'utilisation de ces traceurs, à contribuer à la rémunération d'un site ou d'une application ; oude refuser un tel suivi. D'autres points de vigilance imposés par les textes sont mis en avant par la Commission, comme le fait de permettre aux utilisateurs de garder la main sur leurs données ou d'éviter le traitement de données sensibles. Par ailleurs, les parties prenantes (responsables de traitements, sous-traitants) doivent rester responsable de la mise en œuvre de ces techniques de traçage.