Il s’agit d’un témoin de connexion. Il prend la forme d’un fichier stocké de manière automatique sur un appareil par le navigateur web. Il est associé à un domaine, c’est-à-dire la totalité des pages d’un même site internet. En règle générale, il se termine par une extension. com ou. fr.
Lors de contacts ultérieurs avec ce même domaine, le cookie est directement renvoyé. Le but ? Éviter aux utilisateurs de se réenregistrer à chaque nouvelle connexion.
À l’origine, les traceurs ont été créés pour garantir la bonne tenue des sessions de navigation. Ils permettaient par exemple de conserver à disposition des internautes leur panier d’achats. Cette utilisation a rapidement évolué vers le traçage publicitaire, faisant du cookie une technologie largement exploitée par l’écosystème de la publicité numérique.
Les cookies ont aujourd’hui plusieurs utilités :
Certains de ces usages sont nécessaires pour assurer la bonne marche des fonctionnalités demandées par les utilisateurs ou établir la communication. Par conséquent, ils sont exemptés de consentement. D’autres, n’entrant pas dans ces critères, requièrent le consentement express des internautes avant toute lecture ou écriture.
Pour rappel, les cookies internes ou propriétaires permettent de suivre les internautes seulement sur le site web qui les dépose. À l’inverse, avec les cookies tiers ou third-party cookies, il est possible de tracer le comportement des utilisateurs sur l’ensemble des sites les intégrant. Ils servent à :
Les cookies tiers sont créés par d’autres sites internet, puis déposés sur des noms de domaine différents de celui du site principal. Les tiers disposent ainsi d’une partie du contenu (annonces, images) présent sur la page web.
Les cookies de session sont des traceurs temporaires. Stockés à l’intérieur de la mémoire du navigateur web, ils expirent à la fin de la session courante : une fois que les utilisateurs quittent ou se déconnectent du site web. Attention, certains navigateurs restaurent les sessions lors de leur redémarrage. Dans ce cas, les cookies de session peuvent durer indéfiniment.
Ce type de traceurs est majoritairement utilisé par les boutiques en ligne. Les cookies de session leur permettent de garder en mémoire des produits placés dans le panier durant une même session d’achats.
Les cookies persistants (ou permanents) sont conservés sur le disque dur de l’appareil pendant un certain temps. Ils restent actifs même lorsque la session est terminée. Ils contiennent des informations de connexion, numéros de compte, coordonnées, etc. Ils permettent aux utilisateurs de gagner du temps en leur évitant de réenregistrer leurs données à chaque nouvelle utilisation du site.
Le fonctionnement des cookies persistants repose sur la définition d’une date ou d’une période d’expiration. Déterminée en amont par l’annonceur, elle est renouvelée à chaque nouvelle ouverture de session. Une suppression manuelle de ce type de traceurs est possible. Par exemple, via les paramètres ou extensions du navigateur web.
Les supercookies sont aussi appelés « cookies zombie ». Leur utilisation est basée sur des méthodes tierces comme le fingerprinting. Ils permettent de régénérer l’identifiant employé pour tracer les utilisateurs, même quand celui-ci est supprimé. Les supercookies peuvent être supprimés :
Bon à savoir : Comment fonctionne le fingerprinting ?
Aussi connu sous le nom de « prise d’empreinte », le fingerprinting est une technique probabiliste. Elle consiste à identifier les utilisateurs de manière unique, en utilisant les spécificités techniques de leur navigateur web.
Les appareils utilisés par les internautes pour se connecter fournissent des renseignements au serveur. Il peut s’agir de la taille de l’écran ou du système d’exploitation. S’ils sont suffisamment nombreux, ils peuvent être exploités pour distinguer les visiteurs entre eux et les suivre comme avec des cookies.
Contrairement aux traceurs, il est difficile de s’opposer à cette méthode, hormis en ayant recours à des techniques peu accessibles. Par exemple, une extension modifiant de manière aléatoire les paramètres transmis par le navigateur web.
Les utilisations en lien avec les cookies doivent être présentées aux utilisateurs au moment où ceux-ci font leur choix. Une première description peut être réduite à une présentation concise des objectifs poursuivis par les traceurs. Il s’agit d’un premier niveau d’information. Elle doit être suivie par une description plus précise (second niveau d’information).
Les internautes doivent approuver le dépôt de cookies par l’intermédiaire d’un acte positif clair. Ce dernier se matérialise sous la forme d’un bouton « J’accepte » dans une bannière de cookies. Tout silence des visiteurs doit être interprété comme un refus. Aucun cookie non essentiel au bon fonctionnement du site internet ne peut alors être déposé sur son smartphone, son PC ou sa tablette.
Il est possible d’intégrer le bouton « Tout refuser » en reprenant un niveau et un format semblables au bouton « Tout accepter ». Vous offrez un choix clair et simple aux visiteurs du site web.
Encore en projet, le règlement ePrivacy poursuit plusieurs grands objectifs :
Si vous récoltez des données personnelles, le RGPD vous oblige à édicter une politique de confidentialité. Ce document expose les différentes mesures mises en place afin de garantir la sécurité des données. En faisant preuve de transparence et de clarté, vous rassurez les utilisateurs sur le traitement fait de leurs informations personnelles.
L’article 7 du RGPD interdit la pratique du « bundling ». Elle consiste à « forcer » le consentement des utilisateurs au traitement de leurs informations personnelles. Par exemple, en le conditionnant à la fourniture d’un service dans le cadre duquel l’exploitation de leurs données n’est pas nécessaire.
La bannière de cookies doit être visible, mise en évidence et complète. Pour la rédiger, vous devez employer des termes simples et compréhensibles par l’ensemble des utilisateurs.
Droit d’accès, droit à la portabilité, droit à notification, droit à l’oubli… Les internautes dont les données sont récoltées disposent de différents droits. Ils ont la possibilité de les exercer auprès du responsable de traitement. Les coordonnées de ce dernier doivent être mentionnées sur les sites visités et au sein des contrats conclus.
D’après la CNIL, les utilisateurs peuvent « oublier » leur consentement. Ils ont aussi le droit de changer d’avis. Il convient de contrôler à intervalles réguliers qu’ils soient bien toujours d’accord, ou non, avec la décision prise la première fois.
Depuis 2017, différents navigateurs web limitent la possibilité de recourir aux cookies pour la publicité. En 2024, Google sera le dernier à interdire leur utilisation sur Chrome. Toutefois, cela ne signifie pas que les internautes ne seront plus tracés sur internet. En effet, les acteurs publicitaires peuvent utiliser des méthodes de ciblage alternatives. Parmi elles, le fingerprinting, l’authentification unique, les identifiants uniques ou encore le ciblage par cohorte (4).
Pour les annonceurs, il est capital d’anticiper ce futur sans cookies, se rapprochant à grands pas.
Pour une gestion optimale des cookies, il est essentiel de connaître les différentes catégories de traceurs. Des lois et directives réglementent l’utilisation des cookies sur les sites web. S’y conformer est une obligation pour l’ensemble des organisations traitant des données à caractère personnel, pour leur compte ou non.
Au-delà du respect de bonnes pratiques, la gestion des traceurs requiert une certaine capacité d’adaptation. Avec la disparition des cookies tiers à venir, l’urgence est de trouver des alternatives fiables.
Actifs Data, LookAlike, retargeting… L’agence Datawork propose de multiples solutions cookieless. Vous souhaitez devenir « RGPD friendly » ? Nous vous accompagnons de A à Z dans le développement de votre stratégie PRM et la collecte de profils opt-in. Contactez-nous pour en savoir plus.