A un peu plus de 12 mois de l'entrée en vigueur du Règlement général de protection des données, comment les sites français gèrent-ils les cookies ? Éléments essentiels d'une politique de gestion des données personnelles efficace, ces derniers sont également au cœur des enjeux commerciaux et marketing des grands sites web.
Cet article a pour vocation de présenter notre méthodologie d’étude de la gestion des cookies par les sites Internet français. A titre d’exemples, nous avons choisi quatre sites emblématiques dont les politiques de gestion des données personnelles et les stratégies data sont bien différentes : Le Bon Coin, La Poste, Google et Le Monde.
Notre méthodologie comporte quatre étapes :
- La première consiste à regarder comment l’annonce de la dépose des cookies est faite aux internautes,
- La deuxième a pour but d’étudier comment l’information sur l’utilisation des cookies est communiquée aux visiteurs d’un site,
- La troisième se penche sur comment les modalités de refus des cookies sont présentées aux internautes,
- La quatrième concerne les préférences d’utilisation, notamment les possibilités de personnalisation des publicités thématiques (diffusées en fonction des centres d’intérêt supposés des internautes).
Pour chacune de ces étapes, nous avons donné une note sur 10. Notre démarche et nos analyses sont détaillées plus bas dans cet article.
[table id=5 /]
La Poste fait figure de bon élève, facilitant les démarches de ses visiteurs pour personnaliser l’acceptation ou le refus des cookies. Le Bon Coin et Le Monde ont eux aussi mis en œuvre une démarche, certes moins poussée, mais qui fait preuve de bonne volonté.
Google, quant à lui, noie la gestion des cookies dans une démarche plus globale d’information sur les données personnelles.
1) Dépose des cookies : annoncer clairement la couleur
LeMonde.fr et Laposte.fr ont tous deux choisi d’afficher le message de manière très visible, tout en haut de la page, dans une couleur orangée qui attire l’œil. Le Monde.fr propose en plus une consultation de ses conditions générales de vente dans ce message.
L’annonce faite par Google.fr et Leboncoin.com est plus discrète, située en bas de l’écran dans une couleur moins attractive : texte noir sur fond gris pour Leboncoin.com et texte noir sur fond blanc pour Google.fr, deux options qui se fondent davantage dans le décor que celles prises par le Monde et La Poste.
Google.fr procède d’ailleurs comme s’il s’agissait d’une mise à jour de logiciel ou d’une alerte d’agenda : on peut consulter immédiatement l’annonce ou se la faire rappeler plus tard (« Me le rappeler plus tard »).
Cette méthode peut être source de confusion. On ne perçoit en effet pas au premier coup d’œil qu’il s’agit d’une annonce importante concernant les données personnelles par les cookies. On a plutôt l’impression qu’il s’agit d’une simple option de navigation que l’on peut reporter.
Qui plus est, Google met en avant dans son message une approche très globale : « cookies et autres données collectées » en parlant d’un « rappel concernant les règles de confidentialité » alors que les trois autres sites mettent uniquement en avant l’acception des cookies.
2) Informer sur l’utilisation des cookies
La deuxième étape de notre analyse porte sur l’explication donnée aux internautes sur l’utilisation des cookies. Les quatre sites étudiés communiquent tous sur les différents types de cookies qu’ils déposent ou que leurs partenaires déposent.
Ces cookies de répartissent en quatre grandes familles :
- Les cookies techniques, également appelés cookies fonctionnels: ils permettent d’identifier un utilisateur, de personnaliser les pages en fonction de ses préférences, de mémoriser des informations saisies dans un formulaire…
- Les cookies de mesure d’audience: ils collectent des données statistiques anonymes de fréquentation (pages et rubriques visitées)
- Les cookies de publicité ciblée: ils permettent de personnaliser les contenus publicitaires en fonction du comportement des internautes et de leurs centres d'intérêt.
- Les cookies de bouton de partage sur les réseaux sociaux: ces cookies proviennent des plugin de réseaux sociaux installés sur les sites étudiés (boutons de partage, de commentaire, de « Like »…).
Tous les sites étudiés gèrent donc tous les types de cookies. Il faut cependant préciser que pour Google, les cookies « sociaux » ne sont pas des cookies tiers mais correspondent à ses propres plateformes sociales (Google+…).
Le site de La Poste propose cette information depuis le lien suivant : http://www.laposte.fr/particulier/information-sur-les-cookies
Le site du Bon Coin depuis ce lien : https://www2.leboncoin.fr/dc/cookies/0
Le site du Monde depuis ce lien : http://www.lemonde.fr/service/donnees_personnelles.html
A noter que le site du Monde porte une attention toute particulière aux cookies techniques qui lui permettent de mettre en œuvre son Paywall (péage), dispositif de limitation du nombre de pages visibles gratuitement.
Le site Google.fr complique quant à lui sérieusement les choses pour parvenir rapidement à l’information souhaitée. Depuis le site https://www.google.fr/, il faut cliquer en bas à droite sur le bouton « Consulter maintenant » pour ouvrir la pop-up suivante : https://www.google.fr/#cns=1.
Dans cette pop-up, il faut ensuite cliquer sur le texte « Découvrez comment Google utilise les données pour vous offrir une meilleure expérience utilisateur » puis, en bas de cette rubrique, un lien (non cliquable !) apparaît : www.google.com/policies.
Ce lien renvoie vers une page intitulée « Règles de confidentialité et conditions d’utilisation » où l’information sur les cookies n’est toujours pas proposée directement. Il faut cliquer sur l’onglet « Technologies et principes » pour accéder à une page où un lien dans le menu de gauche propose de découvrir « Comment Google utilise les cookies ».
Dans cette section (https://www.google.com/policies/technologies/cookies/), Google explique finalement ce qu’est un cookie et propose, graal ultime, en colonne de gauche, de « consulter une liste des types de cookies utilisés par Google » (https://www.google.com/policies/technologies/types/) :
Il aura fallu au total six clics (dont un sur un lien non cliquable) pour parvenir à la même information fournie en un clic et sur une page unique par les autres sites étudiés.
3) Les modalités de refus
Une fois les deux premières phases de notification et d’information passées, l’internaute est en droit de savoir comment refuser tout ou partie des cookies qui sont enregistrés sur son terminal. Bien entendu, s’il accepte tous les cookies, il n’a rien à faire, ces derniers ont une durée de validité de 13 mois maximum au terme desquels ils sont supprimés par le navigateur.
En revanche, s’il décide de n’en accepter que certains, voire de tous les refuser, les sites que nous avons étudiés mettent plus ou moins de zèle à lui expliquer comment procéder.
a) Refus via le navigateur
Toujours à partir des pages consacrées aux cookies, les quatre sites de notre panel expliquent à leurs visiteurs comment paramétrer leur navigateur pour personnaliser leur gestion des cookies.
Les sites du Monde et du Bon Coin donnent à leurs visiteurs les URLs menant vers le mode d’emploi fourni par les principaux navigateurs du marché pour supprimer les cookies existants mais aussi pour bloquer tout ou partie des cookies à venir. Il est dommage que, sur le site du Monde, ces liens ne soient pas cliquables pour accéder aux pages concernées.
- Microsoft Internet Explorer : http://windows.microsoft.com/fr-FR/windows-vista/Block-or-allow-cookies
- Google Chrome : http://support.google.com/chrome/bin/answer.py?hl=fr&hlrm=en&answer=95647
- Safari : http://docs.info.apple.com/article.html?path=Safari/3.0/fr/9277.html
- Firefox : http://support.mozilla.org/fr/kb/Activer%20et%20d%C3%A9sactiver%20les%20cookies
- Opéra : http://help.opera.com/Windows/10.20/fr/cookies.html
Le Monde propose aussi des liens expliquant comment activer le mode « Do not track » qui, en théorie, signale aux sites visités qu’on ne souhaite pas être suivi. Mais il n'existe encore aucune contrainte légale obligeant les sites Web à respecter cette option qui n’est pas encore standardisée par le W3C. Peu de sites la respectent donc :
- Internet Explorer : http://windows.microsoft.com/fr-fr/internet-explorer/use-tracking-protection#ie=ie-11
- Safari : http://support.apple.com/kb/PH11952
- Chrome : https://support.google.com/chrome/answer/114836?
- Firefox : https://support.mozilla.org/fr/kb/comment-activer-option-ne-pas-pister
- Opera : http://help.opera.com/Windows/12.10/fr/notrack.html
Le site de la Poste propose sur sa page dédiée les mêmes liens mais en y ajoutant un résumé du mode d’emploi, résumé bien pratique pour les visiteurs pressés.
Quant à Google, c’est la (mauvaise) surprise : seul le mode d’emploi pour Chrome (son propre navigateur) est fourni (sur la page suivante : https://www.google.com/policies/technologies/managing/). Cette page est accessible toujours depuis le menu de gauche de la page où nous étions restés à l’étape précédente (https://www.google.com/policies/technologies/types/).
Google ne s’aventure donc pas à donner le mode d’emploi des navigateurs concurrents au sein. Les services fournis par Google ne peuvent-ils être utilisés que sur un seul navigateur ? Rien n’est moins sûr.
b) Aide au paramétrage depuis le site visité
Aujourd’hui, certains sites Web permettent aux internautes d’accepter ou de refuser certains cookies (et pas d’autres) directement depuis leur page d’information sur les cookies. Sur les quatre sites que nous avons étudiés, seul celui de la Poste a initié une démarche dans ce sens.
Le site de la Poste propose en effet à ses visiteurs, depuis sa page explicative, de cocher s’ils acceptent la dépose du cookie « Module de gestion de compte » :
Il s’agit d’un cookie géré directement par la régie publicitaire du groupe. On peut donc qualifier ce cookie de cookie interne.
c) Gestion des cookies tiers
La question se pose aussi de savoir comment refuser les cookies dits « tiers », gérés par des sociétés différentes de l’éditeur du site visité. Le site de la Poste, bon élève comme on vient de le voir, n’a pas encore développé de telles fonctionnalités. Il propose néanmoins des liens vers les pages explicatives des sites concernés :
Vers les sociétés Weborama : http://www.weborama.com/fr/e-privacy/our-commitment/ et Xiti : http://www.xiti.com/fr/optout.aspx.
Le Bon Coin propose lui aussi une série de liens vers les pages d’information de ses sites partenaires :
- Google (Adsense, DoubleClick Adexchange)
- Critéo
- Real Media
- Taboola
- Quantum
- Weborama
- Rubicon
- Outbrain
- Appnexus
- Tealium
- Adyoulike
- Sublimskinz
- AB Tasty
- ADventori
Le Monde quant à lui propose des liens (toujours non cliquables) vers les prestataires suivants :
- Xiti : http://www.atinternet.com/politique-du-respect-de-la-vie-privee/
- Google Analytics : https://tools.google.com/dlpage/gaoptout
- Boutons de partage Facebook : https://www.facebook.com/help/cookies/
- Boutons de partage Twitter : https://support.twitter.com/articles/20170518-utilisation-des-cookies-et-des-technologies-similaires-par-twitter
- SmartAdserver : http://www.smartadserver.fr/privacy-policy
- Outbrain : http://www.outbrain.fr/legal/privacy-713/#Four
Quant à Google, fidèle à lui-même, il ne donne qu’une information centrée sur son propre navigateur : https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=fr).
Dans les faits, la fenêtre se présente de la manière suivante et permet aux utilisateurs de Chrome, de manière simple et efficace, d’autoriser ou de bloquer un ou plusieurs sites en particulier. Il est également possible de supprimer les données en fin de session, c’est-à-dire de supprimer les cookies après fermeture du navigateur.
4) Les préférences d’utilisation
La dernière étape de notre évaluation concerne la possibilité offerte ou non à l’internaute de personnaliser (mais aussi de refuser) les annonces thématiques. Les annonces thématiques sont des publicités qui sont personnalisées en fonction des centres d’intérêt supposés des visiteurs (centres d’intérêt définis à partir de leur navigation, des contenus lus, des vidéos regardées, etc.).
Google, de par sa très forte activité dans le domaine de la diffusion d'annonces, consacre bien évidemment une importante section à cette thématique. Depuis la rubrique « Gérez vos annonces Google » (https://www.google.com/settings/u/0/ads/authenticated?hl=fr), Google permet aux internautes (qu’ils soient connectés ou non à ses services) d’activer / désactiver ces annonces thématiques :
…mais aussi (dans le cas d’une activation) de les personnaliser :
Les trois autres sites,nous l’avons vu dans l’étape 3, traitent eux aussi ce sujet (mais de manière beaucoup moins approfondie) en indiquant les liens de leurs partenaires spécialisés en publicité comportementale (publicité qui tient compte de la navigation et donc des centres d’intérêt des internautes).
Ils mentionnent également tous les trois l’existence du site http://www.youronlinechoices.com qui, comme l’explique très clairement le Bon Coin, est une plateforme proposée par l'association européenne EDAA (European Digital Advertising Alliance) et gérée, en France, par l'IAB France (Interactive Advertising Bureau France).
Cette plate-forme offre la possibilité de refuser ou d'accepter les cookies de nombreux professionnels de la publicité digitale ciblée. Dans la rubrique « Contrôler ses cookies » (http://www.youronlinechoices.com/fr/controler-ses-cookies/), un script se lance et analyse pour plus d’une centaine de sites si ces cookies ont été déposés.
Il est ensuite possible, pour chaque acteur, de refuser de recevoir des cookies :
Le site Youronlinechoices.com rappelle néanmoins que si l’on décide de refuser la publicité comportementale en utilisant son outil, cela ne signifie pas qu’on ne verra plus de publicité mais que celle qui nous sera proposée sera générique et non pas « conçue » en fonction de nos centres d’intérêt.
