En octobre, la CNIL à publié ses recommandations futures sur l’avenir et l’utilisation des cookies. On a vu paraître beaucoup d’article indiquant alors que les cookies allaient disparaître, ou que la CNIL supprimait les cookies. Est-ce vraiment le cas ?

Les cookies, des fichiers servant à stocker des données sur le poste du client sur sa navigation, ont été longtemps utilisé à la discrétion des sites internet et des entreprises les régissants. Initialement créés à des fins logistiques pour mémoriser l’état de session de l’utilisateur, les administrateurs ont vite compris que ces fichiers accessibles devenaient une vraie mine d’information. Des habitudes de l’utilisateur à ses sensibilités, les publicitaires et autres services aux besoins marketing ont utilisé de toutes les façons les informations pour proposer dans le meilleur des cas des services personnalisé, mais aussi de manière plus agressive de la publicité ciblée allant jusqu’au traçage complet de l’utilisateur. L’information se monnaye, au profit des libertés individuelles. L’argent justifie les abus et les pouvoirs politiques l’ont bien compris.

En 2018, la Commission européenne a adopté les lois RGPD visant à redonner la main sur la gestion des cookies à l’utilisateur. Il est alors demandé à l’utilisateur son consentement pour pouvoir déposer et utiliser des cookies sur son navigateur. Libre à lui d’accepter ou de refuser. Suite à cela, les bandeaux d’acceptation des cookies, parfois forcés sous peine de non-utilisation des services sont apparus, avec plus ou moins de dérives.

Après un retour d’usage de deux ans, la CNIL à décidé de publier en octobre 2020 une mise a jour des recommandations et de la réglementation relative aux cookies. Il s’est avéré qu’un grand nombre d’acteurs usaient d’astuces visant a forcer le consentement de l’utilisateur, par des moyens graphiques, en réduisant les possibilités de refus, ou en noyant l’utilisateur d’informations parfois parasites.

Dans la mise à jour (disponible ici sur le site de la CNIL) il est indiqué que le consentement doit être recueilli par un acte positif clair, facilement réversible, que la possibilité de refus doit être symétrique et tout aussi aisé. De même, l’identité de tous les acteurs utilisant ces cookies doit être signalée pour que l’utilisateur pour accepter en tout état de cause. Et enfin les organismes exploitant les traceurs doit être en mesure de fournir la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Toutefois, et ce point est important, certains traceurs sont cependant exemptés du recueil de consentement. Ainsi les cookies destinés à l’authentification auprès d’un service, de gestion de panier e-commerce, ceux visant à générer des statistiques de fréquentation, ou encore ceux visant à limiter l’accès gratuit à un échantillon de contenu (comme pour les articles de journaux) sont considéré vitaux et implicites.

Les entreprises ont jusqu’à fin mars 2021 pour s’assurer de la conformité de leurs pratiques aux nouvelles exigences RGPD et de la directive ePrivacy. 

Les cookies sont la principale source d’informations numérique pour les services de marketing. Et les mesures prises par la CNIL mettent à mal cette source. Plus encore, les navigateurs, en concurrence les uns envers les autres, annoncent et appliquent des solutions de limitation de cookies. Google à annoncé que son navigateur chrome, qui équipe la majorité des équipement de navigation ordinateurs ou mobiles, supprimerait les cookies tiers pour 2022.

Résultat : les cookies seront plus rare, mais aussi moins pertinent car vidé de leur substance commercialement exploitable. Bien que les cookies de tracking seront en théorie épargnés par la loi, le zèle dont font preuve les éditeurs de logiciel de navigation va trancher comme un couperet. 
Plusieurs experts du Digital se sont demandé quel serait réellement les conséquences de la disparition des cookies tiers. D’un point de vu marketing, les publicités personnalisée, les actions de retargeting, et les statistiques comportementales ne pourront plus être proposé de la même manière. Les démarches d’AB testing (la proposition de deux versions du site à deux publics différents pour comparer les impacts) seront faussé, un même utilisateur ayant potentiellement accès aux différentes versions. Plus propres à l’usage, l’expérience utilisateur et la personnalisation des services web ne seront plus possibles si les habitudes de navigations ne peuvent pas être mémorisées.

Non.

Internet, et les domaines IT en général, sont des domaines qui évoluent très vite. Les services qui reposaient sur les cookies et les données commerciales vont s’adapter pour proposer une offre internet équivalente en terme de qualité, de contenus et de possibilités. Pour qu’un groupe comme Google, dont la richesse s’est bâtie sur l’information et les cookies, décide de supprimer cette gestion technologique de son navigateur avant ses concurrents, c’est qu’ils ont prévu de s’adapter. Par l’analyse des flux sur les portions de réseaux leurs appartenant, le comportement prédictif de l’utilisation des logiciels, ou autre chose, Google doit déjà avoir sa propre solution pour contourner le problème des cookies. Si Google l’a, d’autres l’aurons aussi. D’autant plus qu’avec l’usage de vpn et d’add blockers, la qualité et la quantité des informations recueillis avait déjà perdu de sa pertinence.

Quant aux autres services qui nécessitaient les cookies, cela va juste changer le fonctionnement de certaines pages, voir l’émergence de nouveau langages, standards et protocoles web. Voir même créer une nouvelle économie : l’AB testing physique existe déjà, avec les tests des produits par des panels de consommateurs représentatifs des populations cible. Nous allons voir apparaître des groupes proposant des offres similaires avec des panels d’utilisateurs volontaires. Les entreprises investiront plus pour obtenir des données pertinentes. Mais internet ne changera pas, il continuera d’évoluer, de s’adapter à l’utilisateur. Quant aux cookies, ils redeviendront de simples éléments techniques temporaires, et non plus des outils de datamining.