Les cookies, ces petits fichiers texte stockés sur les appareils des utilisateurs lors de leur navigation sur Internet, ont été conçus en 1994 par Lou Montulli, ingénieur chez Netscape, pour pallier l’absence de mémoire du protocole HTTP. Initialement destinés à faciliter des fonctionnalités comme les paniers d’achat en ligne, ils ont rapidement été détournés pour le suivi des utilisateurs à des fins publicitaires. Au fil des années, l’usage des cookies s’est intensifié, notamment avec l’essor de la publicité ciblée et du commerce en ligne. Aujourd’hui, les cookies représentent un enjeu majeur dans la protection de la vie privée, car ils permettent de suivre les comportements des utilisateurs à travers plusieurs sites web, souvent à leur insu. Cette pratique, bien qu’utile pour les entreprises, a suscité de nombreuses critiques et a conduit à l’instauration de cadres réglementaires stricts.
En France, l’utilisation des cookies est encadrée par l’article 82 de la loi Informatique et Libertés, qui transpose la directive européenne « ePrivacy ». Cette législation impose une information claire et un consentement préalable de l’utilisateur avant le dépôt de cookies, sauf exceptions spécifiques. Le Règlement général sur la protection des données (RGPD) renforce ces dispositions en exigeant que le consentement soit libre, spécifique, éclairé et univoque.
Malgré ce cadre juridique strict, la CNIL a constaté que certains éditeurs de sites web ne respectent pas ces obligations. Des pratiques trompeuses, telles que des bannières où le bouton « Accepter » est mis en avant tandis que l’option « Refuser » est moins visible ou accessible, rendent le refus des cookies plus complexe que leur acceptation. Cette asymétrie contrevient au principe selon lequel le refus doit être aussi simple que l’acceptation.
En réponse à ces manquements, la CNIL a adressé des mises en demeure à plusieurs éditeurs, leur enjoignant de se conformer aux exigences légales. Les entités concernées disposent d’un délai pour rectifier leurs pratiques, sous peine de sanctions pouvant aller jusqu’à 2 % de leur chiffre d’affaires annuel. La non-conformité aux règles sur les cookies peut entraîner des conséquences économiques et réputationnelles importantes pour les entreprises.
Les utilisateurs doivent être informés de manière transparente sur les finalités des cookies utilisés, les données collectées, la durée de conservation et l’identité des responsables de traitement. Cette information doit être présentée de manière intelligible et aisément accessible.
Avant tout dépôt de cookies non essentiels, le consentement explicite de l’utilisateur est requis. Ce consentement doit être obtenu par une action positive claire, telle que cocher une case non pré-cochée.
Les mécanismes permettant de refuser les cookies doivent être aussi simples que ceux permettant de les accepter.
La CNIL, en collaboration avec le Comité européen de la protection des données (CEPD), a également travaillé sur l’harmonisation des pratiques en matière de bannières cookies au niveau européen. Un rapport final a été adopté pour lutter contre les « dark patterns », ces interfaces conçues pour manipuler les choix des utilisateurs en matière de consentement.
Consultez le site de la CNIL pour en savoir plus sur le sujet.
Retrouvez toutes les actualités de la protection des données ici .
