Avant de débuter cet article, pour bien le comprendre, je vous conseille de lire l’article « Création du RGPD : une nécessité pour protéger les données personnelles » par ici : https://digital-froggies.com/blog112/archives/123.
Que désigne le terme « cookies » ?
Définition du CNIL : « Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est-à-dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine. »
Les cookies peuvent servir à mémoriser l’identifiant client auprès d’un site marchand, le contenu d’un panier d’achat, un identifiant permettant de tracer le comportement navigation à des fins statistiques ou publicitaires, etc. Certains de ces usages sont exemptés du consentement de l’utilisateur, tandis que d’autres nécessitent un consentement de l’utilisateur avant lecture ou écriture.
Le traitement de données par Google Analytics
Nous allons maintenant étudier brièvement comment Google Analytics traite les données des utilisateurs, ou « cookies ».
Google Analytics est une plate-forme qui collecte des données à partir des sites web consultés et applications utilisées, afin de créer des rapports qui fournissent des insights sur votre activité.
Aujourd’hui, Google Analytics est en principe interdit dans plusieurs pays européens et en France (par la CNIL), car il est géré par une société américaine qui traite des données européennes pour les transférer aux Etats-Unis, ce qui pose un problème de sécurité et de privatisation des données. Toutefois, 60% des sites web français sont sous Google Analytics.
Ce logiciel sert à faire des statistiques de visite de page en collectant diverses informations : adresse IP, localisation géographique, navigateur utilisé, de quelle page un internaute vient, etc. Ces data remplissent alors les bases de données utilisées par les professionnels, qui les gardent ou se les échangent.
Google Analytics a également une intelligence artificielle capable d’analyser un comportement derrière une adresse IP. On distingue alors plusieurs comportements de navigation possible, qui laissent par exemple deviner combien de personne habitent au même endroit. Avec Google Tag Manager, le logiciel peut même analyser le comportement des navigateurs sur les pages web. On peut y voir sur quels liens et boutons il a cliqué, quelles vidéos il a regardé, comment il a déroulé la page, etc. Cette analyse de la complexité du parcours client sur le web s’appelle le tracking. Le tracking se base donc sur les cookies, et sont une source d’insight précieux et plus ou moins détaillé pour les marketers.
La clause de consentement dans le RGPD
Comme nous l’avons expliqué, l’un des moyens les plus courants de collecter des données personnelles est de recourir aux cookies internet. Le RGPD définit des règles spécifiques quant à la collecte et au traitement des cookies. Parmi ses clauses juridiques, celle du consentement aux cookies est la plus fréquemment utilisée pour permettre aux sites web de traiter des données personnelles et d’utiliser des cookies. Pour se faire, le site web a obligation de ne recueillir les données personnelles des utilisateurs qu’après que ceux-ci aient donné leur consentement explicite aux fins spécifiques de leur utilisation.
Selon la définition globale du RGPD, le consentement, pour être valable, doit être libre, positif, spécifique et éclairé. Il est donc illégal de déposer un cookie avant d’avoir obtenu le consentement. Normalement, tout ce que fait un internaute avant de donner son consentement ne peut pas être tracé et enregistré. Toutefois, cette clause de consentement n’est pas toujours respectée.
Une efficacité moindre : un traitement pas toujours consenti ?
La protection des données par le RGPD peut cependant être remise en cause à la suite de différents cas lors desquels les entreprises ne respectent pas la réglementation concernant le consentement des utilisateurs.
Nous pouvons notamment évoquer le cas de Google qui a dérogé à un article de la loi Informatique et Libertés. Le 7 décembre 2020, la CNIL condamnait les sociétés Google LLC et Google Ireland Limited à une amende de 100 millions d’euros, pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information claire et transparente.
On peut constater que la hauteur de cette amende n’est pas adaptée au chiffre d’affaires d’une multinationale comme Google, ce qui fait que les sanctions ne sont pas incitatives à ne pas recommencer à violer les règles établies. Ainsi, les utilisateurs ne peuvent être totalement protégés.
Sécurité et protection
Enfin, le traitement des cookies internet présente un danger pour les internautes, qui peuvent difficilement protéger leurs informations personnelles, collectées à leur insu. D’autant que par exemple, Google Analytics donne les informations récoltées à d’autres sites, parfois sans l’accord des concernés.
Ainsi, c’est pour protéger toutes ces données que les gouvernements mettent en place des lois de protection de la vie privée, comme le RGPD en Europe ou le Privacy Act aux USA.
Etant donné que cela ne suffit pas toujours, des logiciels de Consent management platform sont créés, permettant d’inclure une page sur un site web, présentant la politique des cookies et demandant un consentement pour la récolte de cookies de l’utilisateur sur ledit site.
Sources :
