Cookies : la protection des données personnelles en France et en Allemagne

A chaque ouverture d’une page internet, vous devez les accepter ou les refuser. Mais à quoi servent tous ces cookies ? Faut-il les accepter, les supprimer ou les désactiver ?  Qui protège vos données personnelles ? Qui sanctionne les abus ?

Du Règlement Général de la Protection des données (RGPD) à l’ePrivacy en passant par la CNIL, le CEC vous explique tout sur ces petits traceurs et sur les lois applicables en France et en Allemagne les concernant.

Qu'est-ce qu'un cookie ?

Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), « un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur ». Il est associé à un domaine web (c’est à dire à l’ensemble des pages d’un même site web) »

Ainsi, un cookie enregistre vos données et vos préférences lors de votre première visite sur un site.

Qu'est-ce que tous ces cookies ?

Les cookies sont comme une grande famille. Ils sont nombreux et ne se ressemblent pas tous. On en reconnaît certains mais sans jamais se souvenir de tous les noms. 

Leur durée de vie est très courte. Dès l’instant où vous quittez votre navigateur ou que vous fermez la page, ils seront supprimés. C’est pourquoi, on les appelle également les « cookies temporaires ».

Pas de panique, en dépit de leur appellation, ils ont bien une durée de vie déterminée ! Les permanents sont enregistrés dans un fichier de votre appareil (téléphone, tablette, ordinateur et même sur console) et sont supprimés à leur date de péremption.

La législation européenne concernant la durée de vie des cookies n’est pas très précise. C’est le Règlement Général sur la Protection des Données (RGPD) qui traite ce sujet. Il précise que leur durée de vie doit être la plus courte possible.

Vous trouverez, sur tous les sites, des cookies conservés quelques minutes et d’autres plusieurs années. Les cookies enregistrant votre connexion au site web, par exemple, vont généralement vivre quelques heures seulement. 

En France les cookies de performance internes (renvoi para) sont supprimés 13 mois après leur création par les sites respectant les recommandations de la CNIL. Les informations récoltées devront l’être aussi après 25 mois. Le choix d’accepter ou de refuser les cookies, à votre arrivée sur un site, est conservé pendant 6 mois, si le site suit correctement les recommandations de la CNIL.

En Allemagne, il n’y a aucune précision sur la durée de vie des cookies.

Exemple : la bannière cookie sur le site cec-zev.eu

Sur notre bannière de cookies, vous pouvez voir, par exemple, que votre identifiant reste stocké 13 mois, ou encore que votre choix de cookies est conservé 6 mois.

Les cookies internes sont déposés par le site sur lequel vous vous trouvez. La majorité de ces cookies permet le bon fonctionnement du site, en plus de rendre votre navigation fluide.

Les cookies internes permettent, par exemple, de conserver le contenu de votre panier d’achat lorsque vous changez de page ou de site.

Bon à savoir :

Les cookies internes sont également connus sous le nom de « cookies de première partie », de l’anglais « first-party cookies ».

Généralement appelés « cookies tiers », ces derniers sont générés par un autre site que celui sur lequel vous êtes.

La grande majorité d’entre eux sont des cookies de ciblage.

Régulièrement appelés « les essentiels » voire « les obligatoires », ces cookies sont primordiaux pour avoir une navigation facilitée sur un site internet.

Ce sont eux, qui, par exemple, vont garder en mémoire votre choix concernant les cookies de la page d’accueil.

Mais ils ne servent pas qu’à ça. Cette catégorie de cookies va vous permettre d’ajouter des éléments dans votre panier lors d’achats en ligne, et d’empêcher celui-ci de seréinitialiser, de se vider, à chaque changement de page

Les cookies essentiels sont jugés si utiles qu’ils n’ont pas besoin de votre consentement pour être activés

Comme pour les cookies nécessaires, ces cookies n’ont pas besoin de votre approbation pour être activés. Ils sont eux aussi importants pour le bon fonctionnement des sites sur lesquels vous naviguez.

Les cookies fonctionnels vont permettre au site web de conserver des informations qui auront déjà été saisies comme par exemple les données d’authentification.

Ils permettent de mesurer le trafic sur chacune des pages d’un site ainsi que de déterminer lesquelles sont les plus populaires. 

Les autorités de protection des données estiment qu’il n’est pas nécessaire de demander votre consentement pour ce type de cookies, si et seulement si, ce sont des cookies internes. Dans ce cas, ils sont exemptés d’approbation. 

Les législations peuvent cependant varier d’un pays à un autre.  En France, la CNIL a édicté des règles strictes concernant ce type de cookies. La CNIL liste de manière exhaustive les logiciels autorisés à exploiter les cookies de performance.

Ces cookies ont pour but de récolter des informations sur vous afin de créer un profil détaillé. Ils déterminent vos centres d’intérêts, dans le but de vous proposer des annonces sur lesquelles vous êtes susceptible de cliquer. L’exploitant du site sur lequel vous vous trouvez peut décider de les partager, voire de les revendre à d’autres organismes et entreprises. Ces cookies ne sont pas obligatoires. Ils ne sont donc pas présents sur tous les sites. Le site du CEC n’en exploite pas, par exemple.

Attention !

Les sites n’ont jamais la main mise sur l’intégralité des cookies tiers, certains d’entre eux dépendent de navigateurs ou de réseaux sociaux

Quelles données sont tracées par les cookies ?

Généralement, les cookies vont suivre de près tout ce que vous les autoriser à regarder, et notamment:

  • L’heure à laquelle vous faites vos recherches ;
  • Vos options de confidentialité ;
  • Votre adresse IP ;
  • Vos informations de connexion ;
  • Le pays depuis lequel vous faites vos recherches ;
  • Le contenu de vos paniers d’achats ;
  • Le navigateur et le moteur de recherche que vous utilisez ;
  • Le temps que vous passez sur chacune des pages, celles que vous consultez et dans quel ordre ;
  • Le nombre de personnes présentes simultanément sur le site.

Faut-il activer ou désactiver les cookies ? Qu’est-ce que ça change ?

Les cookies essentiels, fonctionnels et certains de performance ne représentent pas une menace pour vos données grâce aux législations en vigueur. Les désactiver n’est pas nécessaire et peut même compliquer votre navigation.

En ce qui concerne les cookies tiers, c’est différent. La CNIL recommande de les refuser par défaut. Vos données vont être transmises à des entreprises pour vous proposer des publicités ciblées. Si vous souhaitez qu’ils soient tous refusés, pensez bien à les désactiver dans votre navigateur et dans votre moteur de recherche.

Comment se protéger des cookies ?

En France comme en Allemagne, deux boutons sont obligatoires sur une bannière de cookies.

  • Pour donner son consentement à l'utilisation de cookies :  "tout autoriser" "accepter tous les cookies", "tout accepter" ou une formule analogue
  • Pour refuser les cookies : "refuser", "tout refuser", "continuer sans accepter" ou une formule analogue

Si un site vous remarquez qu'un de ces boutons manque, cela signifie que le site internet ne respecte pas la réglementation. Vous pouvez donc porter plainte auprès de la CNIL pour un site français et du BfDI pour un site allemand. D'ailleurs, vous l'avez peut-être remarqué, le bouton pour refuser les cookies est encore absent d'un grand nombre de sites allemands.

Par ailleurs, vous trouvez également un troisième bouton pour faire une sélection de cookies que vous souhaitez accepter : "configurer", "personnaliser", "paramétrer", "accepter les préférences" ou une formule analogue

Désactiver ou supprimer les cookies

Solution peu connue mais efficace, plusieurs extensions de navigateurs fiables vous permettent de paramétrer les cookies. Si vous choisissez cette option, faites attention à ne pas limiter ou interdire les cookies essentiels et fonctionnels nécessaires pour une navigation fluide et agréable.

CookieViz : L’innovation de la CNIL

CookieViz est un logiciel téléchargeable françaisentièrement gratuit disponible sur Windows, Linux et Mac Os.

Outil d’analyse, il vous permet de voir précisément et en temps réel si le site sur lequel vous naviguez envoie des informations et quels sites tiers déposent des cookies. Vous pourrez en apprendre davantage sur la page de la CNIL dédiée.

L’essor des bannières et des « walls »

Vous l’avez sans doute remarqué ces dernières années, à chaque ouverture d’une page internet, une bannière apparait pour vous proposer de paramétrer les cookies. Si vous ne les acceptez pas, vous n’avez parfois pas accès aux informations ou vous devez vous identifier ou payer un certain montant.

Ces bannières sont les suites du RGPD de 2018 qui impose un consentement « libre, spécifique, éclairé et univoque ». De plus, le traitement des données personnelles doit être précisé, afin de pouvoir l’accepter ou le refuser en connaissance de cause.

Attention : Parfois, vous ne ferez pas face à une bannière, mais à un "mur de cookies", un "cookie wall". Ces derniers vous force à accepter les cookies pour pouvoir naviguer sur le site web. Ils sont parfois accompagné d'un "pay wall", une alternative payante qui fait que vous n'aurez pas de cookies pour un temps donné.

Exemple: "Cookie wall" et "pay wall" combinés

Sur cet exemple, vous pouvez apercevoir la présence simultanée d’un mur de traceurs et d’un paywall.

C’est un choix qui s’offre à vous.

Soit :

  • Vous vous abonner de manière payante et vous n’aurez ainsi pas de cookies nécessitant votre consentement laissés par le site, la contribution payante faisant office de contrepartie au non-dépôt de cookies ;
  • Vous acceptez les cookies et n’avez rien à débourser.

Dans ce genre de situation, le seul moyen de ne pas avoir de cookiestiers est de choisir l’option payante.

Qui protège les consommateurs en cas d’abus en France et en Allemagne ?

L’Union Européenne s’est saisie de la question des cookies et impose un cadre commun aux États membres, dont l’Allemagne et la France.

Ce cadre commun est composé :

  • Du Règlement Général sur la Protection des données (RGPD) (ou « Datenschutz-Grundverordnung » (DSGVO) en allemand) ;
  • De la directive « vie privée et communications électroniques », appelée « ePrivacy ».

Le RGPD régit le traitement des données personnelles. Applicable depuis 2018, il impose notamment que les cookies doivent faire l’objet d’un consentement « libre, spécifique, éclairé et univoque ».

ePrivacy est une directive européenne adoptée en 2002. Comme dans le RGPD, il y est précisé que le consentement préalable de l’utilisateur est nécessaire pour avoir accès à ses informations ainsi que pour pouvoir les stocker.

Cependant, ce consentement n’est pas obligatoire si ces données récoltées sont nécessaires pour la fourniture d’un service ou pour faciliter une communication par voie électronique.

Lorsqu’elle est saisie, la Cour de justice de l’Union européenne peut préciser le champ et les modalités d’application du RGPD et de la directive ePrivacy. Avec l’arrêt Planet 49, en octobre 2019, le juge de la Cour de Justice a considéré que devoir décocher des cases pré-cochées ne permet pas d’exprimer un consentement clair.

Le cadre européen s’applique à toutes les entreprises, situées en Europe ou ailleurs (USA, Asie…), qui dirigent leurs activités sur le marché européen. 

Bon à savoir :

Le consentement n’est pas non plus considéré comme étant clairement exprimé quand celui-ci est présent dans les conditions générales d’utilisation.

Les institutions européennes peuvent également décider de lignes directrices afin que l’application soit plus uniforme. Elles permettent de connaître la position de la Commission Européenne sur un point précis. Les États membres sont libres de les transposer ou non dans la loi nationale.

Un nouveau réglement ePrivacy 2.0 devrait rentrer en vigueur en 2023. Malgré cela, il faudra attendre la fin de la période de transition de 24 mois, ce qui signifie que les pays européens auront deux ans pour mettre leur loi en conformité avec le réglement.  Elle ne sera donc pas applicable avant 2025.

Ce nouveau règlement ePrivacy prévoit notamment un renforcement de la protection des données des utilisateurs, par le biais de règles plus strictes. Plus d’informations sur le futur règlement sur notre article Protection de vos données personnelles (europe-consommateurs.eu).

La CNIL pour protéger les internautes français

En France, la loi Informatique et Libertés, adoptée le 6 janvier 1978, réécrite et simplifiée en 2019 afin d’être conforme avec le RGPD règlemente les données personnelles. C’est cette même loi qui est à l’origine de la Commission nationale de l’informatique et des libertés (CNIL).

En plus des lois françaises et européennes, la CNIL se réserve le droit d’émettre des recommandations qui devront être respectées par les sites internet dirigés vers les internautes Français.

La CNIL a 4 missions :

  • Contrôler et sanctionner ;
  • Informer et protéger ;
  • Anticiper et innover ;
  • Accompagner la conformité/conseiller

Vous pouvez déposer plainte auprès de l’organisme de protection des données français, et ce, de plusieurs façons :

Pour savoir quels documents fournir et dans quels cas adresser une réclamation, consultez le lien suivant : Adresser une réclamation (plainte) à la CNIL : à quelles conditions et comment ? | Besoin d'aide | CNIL

Quelle protection si vous surfez sur Internet depuis l’Allemagne ?

La loi allemande réglementant les cookies et traceurs apparentés porte le nom de Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Adoptée en mai 2021, cette loi est entrée en vigueur en décembre de la même année.

La TTDSG est, en quelque sorte, la fusion de deux anciennes lois, la Telemedien Gesetz (TMG) et la Telekommunikationsgesetz (TKG).

Le problème qui se posait avec ces deux lois, c’est qu’en plus de devoir vérifier dans deux textes différents, il fallait consulter le RGPD. Et plus il y a de textes à croiser, plus l’interprétation de la loi sera difficile.

La TTDSG et le RGPD sont complémentaires.

Alors que le RGPD (DSGVO en allemand) a pour but de protéger les données à caractère personnel, la TTDSG, vise à protéger l’intégrité des appareils et de les prémunir contre l’accès par d’autres sites.

À Noter :

La Bundesdatenschutzgesetz (BDSG) est la loi fédérale sur la protection des données. Celle-ci s’applique lorsque le RGPD n’est pas suffisamment clair.

L’Allemagne ne dispose pas d’un organisme de protection des données, mais d’un commissaire fédéral à la protection des données, le « Bundesbeauftragte für den Datenschutz und die Informationsfreiheit » (BfDI). Fondé en janvier 1978, ses pouvoirs restent limités malgré que ceux-ci aient été étendus avec le RGPD.

 

Chaque Land allemand dispose de son propre office de protection des données, appelé Landesbeauftragte für den Datenschutz und die Informationsfreiheit. Vous pouvez leur adresser vos réclamations, et en cas de non-réponse ou si l'office n'est pas suffisamment compétent, vous pouvez vous adresser au Bundesbeauftragte für den Datenschutz und die Informationsfreiheit .

Le Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), l'équivalent allemand de la CNIL, a les mêmes missions qu'elle, s’y soustrait juste l’anticipation et l’innovation.

Pour adresser une réclamation au BfDI, vous devez avez la possibilité :

  • D’adresser une plainte concernant le traitement des données par les entreprises américaines, en remplissant et renvoyant le formulaire disponible ici ;
  • D’adresser directement tout autre type de plainte ici. Attention, vous avez 30 minutes pour remplir la page !

N’oubliez pas de vérifier à l’adresse BfDI - Telekommunikation - Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) que c’est bien le BfDI l’autorité compétente dans le cadre de votre plainte.

Bon à savoir :

  • La CNIL est très active en termes de communication et de prévention. Elle est aussi connue des Français, par les amendes parfois salées qu’elle distribue. Le BfDI est plus discret et moins sollicitée que la CNIL. 
  • Cela se traduit dans les chiffres. La CNIL a traité près de 14 000 plaintes en 2021, contre seulement 2 500 pour le BfDI. Même constat avec les appels téléphoniques reçus : 160 000 pour la CNIL, 7 100 pour le BfDI.
  • La CNIL et son alter égo allemand sont tous deux des organismes indépendants et jouent un rôle de conseil auprès des de leur État respectif.
  • Aucun des deux ne peut donner des amendes à l’État ainsi qu’aux administrations ! Mais ils peuvent leur demander de se conformer à la règlementation en matière de cookies. Les sommes perçues au titre des amendes sont intégrées au budget de l’Etat, c’est pour cela que l’Etat ne peut se voir infliger d’amende.
  • Le BfDI n’a pas encore prononcé de sanction concernant les cookies, contrairement à la CNIL qui a infligé une amende record de 150 millions d’euros à Google. La CNIL avait jugé que refuser les cookies n’était pas aussi simple que de les accepter.

Vers la fin des cookies tiers ?

Un cookie tiers est un fichier qui va être déposé par un site autre que celui sur lequel vous êtes en train de naviguer. Un type de cookies que Google veut supprimer d’ici 2024 (originellement 2022). Et ce n’est pas le premier à vouloir y mettre fin.

Plusieurs navigateurs utilisent d’ores et déjà des dispositifs pour bloquer par défaut les cookies tiers, quand ils ne sont pas directement programmés pour. Safari avec son Intelligent Tracking Prevention (ITP), Mozilla avec le Total Cookie Protection (TCP) sont des exemples parmi tant d’autres.

Un changement sous surveillance

Cette fin des cookies tiers annoncée par Google déplaît fortement à la Commission européenne, qui estime que cela pourrait être considéré comme un abus de position dominante de la part de Google. Cette suppression lui donnerait avantage concurrentiel indéniable.

Les différents acteurs publicitaires jugent cette fin programmée des cookies comme étant « prématurée ».

À l’abri de tout suivi ? Pas vraiment

Les acteurs publicitaires ont une épée de Damoclès au-dessus de la tête car ils savent qu’ils ne pourront pas éviter la fin des cookies tiers. Ils sont donc à la recherche d’alternatives.

Parmi ces alternatives, quatre se démarquent aux yeux de la CNIL :

  • Les « identifiants uniques », qui vous suivront durant votre navigation sur un site web. Cette alternative s’effectue de pair avec la « prise d’empreinte » ;
  • Le « fingerprinting », ou « prise d’empreinte », qui vise à vous identifier sur un site web ou une application mobile 
  • Le « ciblage publicitaire par cohorte », qui cible à constituer et cibler un groupe d’individus aux centres d’intérêts similaires ;
  • Le « Single Sign-On », abrégé en « SSO », ou « authentification unique », qui vous permettra de vous connecter à plusieurs sites différents avec un même compte utilisateur ;

À ces quatre alternatives grandissantes vient s’ajouter l’initiative de Google qui se veut être une alternative aux cookies tiers, Privacy Sandbox. Le but est de créer des technologies alliant protection de l’utilisateur et publicité ciblée.