Le rôle des cookies “informatiques”

La Commission Nationale de l’Informatique et des Libertés ( CNIL), autorité de régulation française définit le cookie comme : un petit fichier stocké par un serveur dans le terminal ( ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web ( c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web).

Il s’agit donc pas de nos bons gâteaux préférés ! 

En fait, il s’agit de petits fichiers informatiques déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé. Pour comprendre à quoi il sert réellement, une petite virée sur l’histoire du Web s’impose.

En mars 1989, Tim Berners-Lee écrit la première proposition de création du World Wide Web (WWW). Puis, en novembre 1990, l’ingénieur en systèmes belge Robert Cailliau le rejoint. Ils élaborent ensemble le document qui décrit un « projet hypertexte » appelé World Wide Web, dans lequel un « web » (une toile) de « documents hypertextes » peut être vu par des « navigateurs ». Mais, le protocole HTTP ( Hypertext Transfer Protocol) inventé par Tim Berners-Lee ne permettait pas au serveur de lier les requêtes successives venant du même système. Il était donc impossible de garder en mémoire des informations sur un utilisateur.

Au départ du Web, chaque navigation d’une page vers une nouvelle entraînait l’oubli de toutes les actions précédentes. La réponse à cette question va pousser des ingénieurs travaillant chez Netscape à imaginer les cookies en 1994. Comment garder la trace des différents éléments d’une personne qui navigue sur un site web?

L’idée créatrice des cookies

Elle était simple. Il s’agissait de “ permettre au serveur de transmettre un fichier texte au client, celui-ci lui renvoyant ce même fichier à chaque requête subséquente, permettant ainsi d’identifier l’utilisateur et donc, par exemple, de se rappeler du contenu de son panier au niveau du serveur. Le code fut discrètement intégré sur la version 0.9 de Mosaic Netscape, le 13 octobre 1994. Les cookies déposés par des ressources tierces étaient nommés des cookies tiers. Ce mécanisme permettait d’identifier l’utilisateur présent sur le site d’un éditeur.

Ainsi, la création des cookies était motivée par la réponse à une difficulté purement technique. Mais, cette innovation va donner naissance à des idées nouvelles notamment dans le domaine de la publicité.

De l’exploitation des cookies tiers à la montée en puissance de la publicité en ligne

En 1996, la société DoubleClick fut créée pour exploiter ces cookies tiers pour la publicité. Très vite, dans la même année, Le Financial Times dévoile l’usage des cookies au grand public. Il s’ensuit une forte réaction du public qui va provoquer alors la tenue d’auditions par la FTC (Federal Trade Commission). Malheureusement, le manque de technicité de la FTC à l’époque ne permet pas d’aboutir à une régulation. Ainsi, l’industrie qui s’est créée va se développer de façon exponentielle. DoubleClick, pionnier du tracking publicitaire, sera vendu à 1,1 milliards de dollars en 2005 à des investisseurs pour accroître davantage.  Ensuite, en 2007, elle sera rachetée  par Google pour 3,1 milliards de dollars. Cette opération fait l’objet d’une enquête antitrust, certains acteurs comme Microsoft craignant que cela donne trop de contrôle à Google sur le domaine de la publicité en ligne mais l’acquisition est validée en 2008. En 2007, Apple, quant à lui, présentait le premier iPhone pour afficher et suivre la publicité en ligne. Cette technologie va ouvrir la voie à une nouvelle ère d’internet avec la publicité en ligne. Il va s’en suivre le développement de smartphones par d’autres entreprises de la Tech permettant l’affichage et la personnalisation de la publicité en ligne. 

Développement de la publicité en ligne et violation de la vie privée

Avant la venue du web et le développement de nouveaux terminaux plus efficacement, la publicité existait dans le monde des médias traditionnel (Télévision, Presse, radio). La grande particularité de la publicité en ligne réside dans l’extrême personnalisation. Certains modèles permettent de proposer à chaque individu des publicités spécialement choisies pour lui. L’usage de cookies et autres traceurs va permettre de collecter de grandes quantités de données personnelles. Aucune donnée n’est épargnée, de la moins sensible à la plus sensible.

La collecte de données massives en toute discrétion

La grande majorité des internautes ignoraient au départ les collectes massives de données qui se faisaient dans une discrétion totale. L’internaute ordinaire ne savait pas toujours quelles données sont collectées à son sujet, comment, par qui et pour quels objectifs. De toute évidence et paradoxalement, une bonne partie ne se préoccupait pas réellement de ce qui se fait avec les données personnelles. Une étude menée dans 14 pays le démontre parfaitement. Dans cette même étude, la moitié des français interrogés déclarait qu’il ne se souciait pas de ce qui était fait avec leurs données personnelles.

Le régulateur européen conscient de cette collecte n’est pas resté insensible. Le 12 juillet 2002, l’Europe adopta la directive 2002/58/CE, dite directive e-privacy. Elle fut modifiée le 25 novembre 2009. Il s’agit du texte actuellement applicable au niveau européen matière de cookies ( au moment où nous écrivons cet article) en attendant le projet du règlement général en la matière. Ainsi, le dépôt sur un terminal et l’usage des cookies doivent se faire au regard de cette règlementation (COOKIES et traceurs : leur usage et dépôt sont réglementés). 

Conclusion

 Sur la toile, nous produisons des masses de données chaque jour. Certaines entreprises, ayant investi dans les technologies du numérique, mettent en place des outils pour capter toutes ces données afin d’alimenter leur business modèle.

La licéité des traitements des outils de captation de la donnée doit être placée au rang des grandes décisions à toutes les échelles de la société. Dans ce contexte, l’assainissement des pratiques de captation de la donnée doit donc être l’affaire de tous.

Les entreprises du numérique doivent placer le respect de la vie privée de leurs utilisateurs au centre de leur business modèle. De toute évidence, la survie du modèle d’affaires basé sur la captation de la donnée dépend aussi de la survie et du bien-être de l’utilisateur. Tout simplement parce que l’utilisateur constitue à la fois la clientèle ( vente de service) et la matière première ( données récoltées) de ces technologies. A vouloir trop puiser dans les ressources premières, les investisseurs risqueraient de voir tout le système s’effondrer.

Du côté de l’utilisateur, il ne peut pas non plus continuer à se victimiser en attendant qe les choses s’améliorent d’elles-mêmes. Il tire aussi profit de ces technologies. Il lui revient donc d’exiger la licéité des traitements de ses données. Cocher ou décocher simplement des cases ne doit plus être considéré comme une perte de temps. Lire les conditions générales d’utilisation ou la politique de gestion de cookies doit être un effort du quotidien. A condition que les professionnels jouent réellement leur rôle de transparence en la matière.  Ainsi, dans un monde dominé par le numérique, l’utilisateur doit s’autodéterminer, décider de ce qu’il accepte ou refuse sur la toile en se cultivant davantage. La protection de ses données personnelles et sa privée ne doit plus être une option mais un combat du quotidien.

Quant au législateur, il doit faire un effort d’uniformisation des textes encadrant la vie numérique. Il doit créer un cadre juridique plus contraignant et dissuasif des mauvaises pratiques sur la toile. Les sanctions pécuniaires par exemple doivent être plus conséquentes par rapport à ce que l’exploitation abusive des données procurent aux géants du Net tout comme les plus petits. Les textes doivent être plus explicités, plus spécifiés, pour permettre aux professionnels de se mettre en conformité par rapport à l’usage des cookies et traceurs, ou tout autre outil permettant de capter la donnée personnelle.

Quant aux Etats ou gouvernements, ils doivent allouer des budgets conséquents aux autorités de contrôle pour mener efficacement leurs missions. Ils doivent mener des politiques visant à encourager l’indépendance vis-à-vis des grandes plateformes en reprenant la maîtrise des missions régaliennes. Sinon, à minima, contrôler leur mise en œuvre pour rattraper le retard vis-à-vis des Géants du numérique. A défaut de création d’Etat plateforme, maître des technologies et de la gouvernance de la donnée, il doit exister une réelle collaboration avec les entreprises existantes, du moins, celles qui s’inscrivent réellement dans une démarche de traitement licite des données des citoyens.

Enfin, les autorités de contrôle doivent sensibiliser davantage le grand public. Elles ne doivent pas s’arrêter à l’adoption des lignes directrices ou recommandations et autres textes. Elles doivent se rapprocher davantage à la fois des professionnels mais aussi des utilisateurs par de réelles campagnes de sensibilisation. Elles pourraient associer davantage les associations, ONG et autre organismes indépendants à la mise en place de réelle campagne de sensibilisation.

Pour aller plus loin

Bibliographie

• Un cookie : qu’est-ce que c’est ? | CNIL
• Une petite histoire du cookie | LINC
• Praxis Cyberdroit | Dalloz
• Cookies et autres traceurs : la nouvelle doctrine de la CNIL , Next Inpact, 1 octobre 2020
• Netter, Emmanuel. « E-Privacy ou la poursuite de la guerre contre la publicité ciblée par d’autres moyens ».
• Dubois, Lorette, et Florence Gaullier. « Publicité ciblée en ligne, protection des données à caractère personnel et ePrivacy : un ménage à trois délicat ». LEGICOM N° 59, no 2 (2017): 69‑102.
• Rees, Marc. « Cookie walls et autres tracking walls : légal, pas légal ? », 12 avril 2021