Cookies : le grand bug

Par Élie Sloïm, le 16 février 2015, dans .

Soucieuse de préserver la vie privée des utilisateurs, la commission européenne a intégré à sa directive paquet télécom des dispositions concernant les traces laissées par les internautes sur les sites Web. Cette directive impose entre autres aux propriétaires de sites web de demander leur consentement express aux utilisateurs avant d’installer des cookies. Comme dans les autres pays européens, la loi s’applique progressivement. Est-ce vraiment une bonne nouvelle pour les utilisateurs du Web, pour les professionnels du Web, pour le Web en général ? Si vous n’avez pas le temps de lire ce billet, la réponse est non.

Des effets néfastes

Commençons par nous pencher sur les conséquences en termes d’expérience utilisateur. Sur les sites Internet, de nouvelles fenêtres d’avertissement retardent la navigation. Des clics supplémentaires sont imposés à l’Internaute. Les contenus sont plus difficiles à voir et plus longs à atteindre.

À chaque fois que la mise en place de ces demandes de validation sont mal faites ou invasives, c’est à dire très souvent, c’est l’accessibilité des contenus qui trinque. Le confort de la navigation en contexte mobile se dégrade de manière considérable, puisque des messages viennent masquer ou repousser une partie des contenus et nécessitent une opération de fermeture quelquefois pas simple (oui, vous aussi vous avez certainement cliqué sur un lien en essayant de cliquer sur la petite croix de fermeture).

L’affichage de ces avertissements impose le chargement de scripts, de styles et de contenus supplémentaires. En conséquence, les pages sont plus lourdes et plus longues à charger.

Même si tout le monde se divise à peu près entre ceux qui l’ignorent et ceux qui s’en moquent complétement, sur le Web, chaque requête supplémentaire à un coût énergétique. Rapporté à l’échelle européenne, le bilan énergétique des avertissements liés aux cookies n’est certainement pas négligeable (EDIT : argument très discuté et très discutable, retenez simplement que l’impact énergétique de la conception Web est loin d’être neutre) . Et puisque l’on parle beaucoup de productivité en ce moment, le temps perdu globalement par les internautes au travail serait également intéressant à tracer.

Dans le même temps, les internautes qu’on souhaitait protéger sont sollicités à chaque visite de site ou presque. Les cookies s’affichent plusieurs fois pour le même site, souvent à chaque fois que l’utilisateur revient sur un site après avoir fermé son navigateur.

En effet, pour mémoriser le choix d’un internaute concernant les cookies, vous pouvez lui faire ouvrir un compte sur chaque site, mais ce n’est pas toujours possible ni souhaitable. L’autre solution simple permettant d’éviter de multiples affichages d’un même avertissement est la mise en place d’un cookie qui mémorise que la personne accepte les cookies (!). Bien sûr, pour l’installer il faut un consentement (EDIT : non, en fait, ici, ça rentrerait certainement dans la catégorie des cookies techniques, et donc, pas forcément de consentement voir le site de la CNIL). Nous pourrions très bien imaginer un avertissement du type : “En poursuivant votre navigation, vous acceptez l’installation de cookies nous permettant de mémoriser votre choix d’accepter les cookies“. Quelqu’un a t-il de l’aspirine ?

Mais le désastre ne s’arrête pas là. Les internautes étant sur-sollicités, ils deviennent aveugles à ces avertissements et les acceptent machinalement. Il serait intéressant de mesurer quelle proportion d’internautes validerait directement un message du type : “En naviguant sur ce site, j’accepte que mes données personnelles et celles de tous mes héritiers pendant sept générations soient stockées dans des cookies et revendues à n’importe qui OK“. Astuce de pro : le seul mot important pour obtenir un bon taux de validation du message précédent est COOKIE ;).

Continuons du côté des professionnels : les agences web et les créateurs de sites professionnels ne savent pas comment traiter le problème car ils utilisent presque tous des cookies permettant la mesure de l’audience de leurs clients. Ils essayent de se débrouiller comme il peuvent et installent deux choses sur les pages : un avertissement demandant la validation de l’utilisation les cookies et un cookie de mesure d’audience. Autrement dit, bien avant que les utilisateurs n’aient accepté les cookies, certains d’entre eux sont d’ores et déjà placés sur leurs ordinateurs.

Pour leur faciliter la vie, des extensions de CMS (pour WordPress, SPIP, je vous laisse chercher pour les autres) permettant de mettre en place l’affichage de ces fenêtres sont apparues. Mais bien entendu, au même titre qu’il existe des systèmes de blocage des publicités, du type adblock, il existe maintenant des systèmes de blocages de ces fenêtres.

Sinon, en ce moment même, d’autres acteurs inventent des technologies bien plus dangereuses pour pister les internautes et leur proposer de la publicité ciblée. Autrement dit, de nouvelles technologies de ciblage et de flicage vont apparaitre (fingerprinting, par exemple), les cookies seront bientôt dépassés et bien sûr, le spam se porte comme un charme, merci.

Pour quels effets bénéfiques ?

Alors, que nous a apporté cette directive ? Des usagers qui savent ce que sont des cookies ? Non, pas vraiment, car pour les fracturés du numérique, les cookies sont toujours des gâteaux. Des pratiques marketing ou de ciblage qui sont maintenant sous contrôle ? Non plus. Un début de régulation d’Internet ? Non plus. La loi aurait même pu induire la possibilité pour les internautes qui refusent ou ne cliquent pas sur le bouton OK de naviguer sans cookies ? Même pas.

Non. Ce qui a vraiment changé, c’est que les personnes chargées de la régulation d’Internet au niveau européen peuvent dire qu’ils ont fait quelque chose de concret pour les utilisateurs. Ils peuvent le dire mais j’affirme que c’est faux. En fait, pour toutes les raisons que nous avons vues plus haut, je pense que c’est un désastre.

Ce qui a vraiment changé, c’est que les créateurs de sites aux pratiques douteuses peuvent dire qu’ils ont la conscience tranquille car ils ont pris soin d’obtenir l’accord éclairé des utilisateurs pour poser des cochonneries.

Si je caricature, la loi oblige des personnes généralement bien intentionnées à travailler moins bien et permettent à des personnes inutiles ou mal intentionnées d’ouvrir un très joli parapluie qui les met à l’abri de toute remise en cause ou de toute poursuite. Beau travail.

Alors que faire ?

Chez Temesis, nous sommes engagés pour la qualité du Web depuis 2000. Et la qualité Web c’est avant tout la défense des usagers. C’est pour cela que dès la première version du référentiel Opquast sortie en 2004, nous avions déjà proposé plusieurs bonnes pratiques sur les cookies. Vous allez voir, c’est instructif :

  • Les limitations de consultation ou d’utilisation inhérentes au refus des cookies sont indiquées.
  • La présence et l’objectif des cookies sont indiqués sur le site.
  • La durée de vie des cookies est indiquée sur le site.
  • Les cookies portent un nom explicite qui permet d’identifier sans équivoque le site sur lequel ils ont été émis.

Dans la deuxième version du référentiel (2010), nous n’avons gardé que la règle suivante :

Comme vous le voyez, nous n’avons pas attendu la loi pour demander l’application volontaire d’actions concrètes, pratiques, utiles, réalistes et vérifiables. Et nous continuerons.

Quant à nos propres pratiques, nous sommes réticents à dégrader l’expérience de nos utilisateurs. Voilà pourquoi nous n’avons pas encore mis en place de fenêtre de validation de cookies. Voilà pourquoi nous veillons à la mise à disposition d’informations sur les cookies. Car il est bien entendu fondamental d’expliquer ce que sont les cookies et à quoi il servent.

À ce propos, il me semble qu’au même titre que la page mentions légales, une page cookies ou plus largement protection des données personnelles ou vie privée devrait être rendue obligatoire sur tous les sites. Celle-ci devrait comporter au minimum les informations suivantes :

  • Qu’est-ce qu’un cookie ;
  • Objectif des cookies ;
  • Mode opératoire pour désactiver les cookies dans les navigateurs ;
  • Possibilité ou pas de naviguer sans cookie ;
  • Nature des données personnelles collectées ;
  • Conditions d’utilisation des données collectées ;
  • Droit de rectification et de suppression pour les données collectées.

Si le législateur s’ennuie, j’ai même des bonnes pratiques supplémentaires s’il veut vraiment rendre service aux internautes. En voici une belle :

Oui, oui, ce serait très utile. C’est ce qui vous permettrait de vous rendre sur n’importe quel site où vous avez ouvert un compte et de fermer ce compte aussi simplement que vous l’avez ouvert. Pas mal, non ? Et d’ailleurs, si vous ne connaissez pas encore les bonnes pratiques Opquast, c’est très bon, mangez-en, nous en avons plein d’autres comme ça, et c’est unique au monde 😉

En conclusion, je veillerai également à faire passer ce billet à la CNIL, ils me connaissent depuis longtemps et j’ai bon espoir que ce billet venant à l’évidence de professionnels soucieux de la qualité du Web les interpelle. Je ne suis pas sûr qu’ils puissent grand chose à la situation, mais sait-on jamais.

Pour aller plus loin :

15 commentaire(s)

  1. L’idée de la loi a bien été détournée, mais la vrai solution serait plutôt de se passer de ces cookies de mesure d’audience …

    On supprime le poids et les problèmes liés aux bandeaux de cookies et on supprime les appels supplémentaires vers Google analytics et autres joyeusetés …

    Est-ce que tous les sites ont vraiment besoin de toutes ces stats ?
    Est-ce normal d’inclure Google Analytics sur http://www.elysee.fr ?

  2. Bonjour,

    En fait, il suffit tout simplement d’abandonner Google Analytics pour utiliser un outil satisfaisant nativement aux recommandations de la CNIL : Piwik, que mon agence met maintenant systématiquement en place depuis deux ans. J’avais d’ailleurs écrit un petit article sans prétention à ce sujet il y a quelques temps : http://couic.fr/j8t

    Problème résolu, je ne vois pas ce qu’il avait de compliqué 😛
    Si, ce qui est compliqué en fait c’est de convaincre les commanditaires et prestataires à abandonner Google Analytics pour utiliser un service respectueux des données privées, qui n’envoie pas les données de vos utilisateurs sur des serveurs externes (pour quelle réutilisation ?) et qui permet de se situer dans une réelle démarche qualité puisque l’ensemble est paramétrable de façon assez précise. De plus, une API vous permet de récupérer vos stats en tableau de bord, etc. Parfait 🙂

    Bien à vous,
    Jean-Baptiste

  3. @JB Audras : effectivement, pour la partie audience et google analytics, la solution est de basculer vers Piwik. Pour le reste des cookies et notamment les cookies techniques, il n’y a pas de problème. En revanche, il reste encore l’énorme problème que représente les cookies liés à la publicité et franchement, là, je ne vois pas trop comment on va pouvoir s’en sortir.

  4. Si au moins le consentement aux cookies était implémenté, non pas au niveau de chaque site, mais au niveau de chaque service concerné, ça aurait un côté plus reposant sur le long terme.

    En attendant, AdBlock Plus, Ghosthery, I don’t care about cookies sont nos amis.

  5. @Elie “En revanche, il reste encore l’énorme problème que représente les cookies liés à la publicité et franchement, là, je ne vois pas trop comment on va pouvoir s’en sortir.”

    Alors là, tu marque un point. Un point effectivement essentiel, mais que je n’abordais pas, tout simplement car je n’ai jamais eu l’occasion de travailler sur la production de site embarquant des encarts publicitaires. Je n’ai pas cette expérience, mais il me semble évident que cela complique extrêmement les choses, en tout cas si l’on souhaite une démarche un tant soit peu universelle (et c’est bien ce vers quoi les checklist Opquast et la démarche qualité web en général doit tendre).

    Bref pour ce point c’est la galère… et en effet, je ne vois aucune solution idéale correspondant à la solution citée plus haut pour les mesures et qualifications de visites :

  6. >[…] le bilan énergétique des avertissements liés aux cookies n’est certainement pas négligeable.

    Au contraire ! Il est probablement négligeable.

    C’est dommage de commencer comme ça car la suite de l’article est intéressante.

  7. Personnellement je me dis que la loi, c’est la loi !
    Elle est discutable mais elle est là à cause de nous (au sens large) les pro du web, je suis d’accord sur le côté intrusif du bandeau mais la cnil a pensé à tout “[…] ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton ” rechercher “).”, le scroll en fait parti aussi (information validée par la cnil), donc dès que l’internaute navigue sur le site, en général il clique ou scroll on peut donc masquer ce bandeau disgracieux.

    Parler du bilan énergétique, ok, mais loi est la loi (encore), on peut se poser la même question de la page de mention légale sur l’ensemble des sites mondiaux… Pour moi c’est un “faux” argument.

  8. @yann : ok avec toi sur le fait que l’aspect énergétique est un argument fort discutable et d’ailleurs, il est fort discuté. Pour le reste, ce que dit cet billet, c’est que cette loi est mal fichue.

  9. En effet, cette loi ne sert pas franchement, surtout qu’elle est actuellement détournée : quels sont les bandeaux qui empêchent la pause de cookies de tracking avant d’avoir obtenu le consentement de l’internaute ET qui lui permettent de continuer à surfer en refusant les cookies (y compris ceux de webanalyse) ?!

    Cf. la solution proposée par 55, la seul à être en conformité avec la loi à ma connaissance : https://www.youtube.com/watch?v=cEP… (sur le site ferrero par exemple : http://www.ferrero.fr/).

    Avec ces bandeaux d’information, on s’achète de la bonne conscience pour pas cher : personne ne les lit, personne ne va modifier les paramètres de tracking. Une autre option plus radicale et autrement plus efficace aurait été d’imposer aux boites de marketing (analytics, pub, social…) le respect strict du signal ‘Do Not Track’, et d’informer correctement les internautes là-dessus. C’était en voie de standardisation à la W3C mais le lobbying des boites de marketing a été trop fort

  10. Honnêtement, cet article laisse à désirer. Pas un seul mot sur les cookies tiers. Le terme n’apparaît même pas. Ça n’est pas sérieux.

    La définition de base d’un cookie, c’est un bloc d’information qu’un serveur sauvegarde chez un client pour diverses raisons et qui normalement ne regardent qu’eux.

  11. @Schmorgluck : le sujet est immense, et oui, l’article laisse certainement à désirer, j’en suis bien conscient. Pour ma défense, je suis allé voir sur le site de la CNIL, qui est quand même la référence absolue sur le sujet de l’application de cette loi, et il n’est nullement question de cookie tiers. Vérifiez par vous-même. Je sais ce qu’est un cookie tiers, mais ce n’est pas la question. Si l’on veut quelque chose qui s’en rapproche, la CNIL liste ceux-ci :

    http://www.cnil.fr/vos-obligations/
    Sont exemptés du recueil du consentement les traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. Ainsi, par exemple, les traceurs suivants ne requièrent pas de consentement :

    les cookies de ” panier d’achat ” pour un site marchand ;
    les cookies ” identifiants de session “, pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas ;
    les cookies d’authentification ;
    les cookies de session créés par un lecteur multimédia ;
    les cookies de session d’équilibrage de charge (” load balancing “) ;
    certaines solutions d’analyse de mesure d’audience (analytics) ;
    les cookies persistants de personnalisation de l’interface utilisateur.

    Je n’ai vu nulle part quelque chose de discriminant concernant le fait que ces cookies soient déposés par un tiers ou pas.

  12. « Les cookies sont de délicieuses gourmandises » après tout. J’aime assez l’approche de 55 mais il serait bon qu’au niveau de son navigateur on puisse définir un comportement par défaut qui pourrait être intégré dans chaque requête HTTP et, le cas échéant, passer outre la fameuse bannière puisque les critères seraient connus.

  13. Merci pour cet article, cela me fait penser que je n’ai toujours mis à jours mon site internet vis vis de cette loi. Existe-il un JavaScript tout prêt pour le faire ?

    @JB auras Le problème avec Piwik c’est que contrairement à Google Analytycs on se doit de l’héberger sur son serveur.
    En tous cas à ma connaissance il n’existe pas de solution en mode SaaS

    Pierre

Les commentaires sont fermés.