Gestionnaires de cookies : quelles solutions responsables ?

Quelques éléments de contexte

Un cookie, c’est un petit fichier contenant du texte stocké sur votre ordinateur (ou autre terminal) par un serveur, et associé à un nom de domaine. Les utilisations possibles des cookies sont nombreuses et variées : enregistrer le panier d’achat d’un utilisateur, savoir quels articles d’un blog sont les plus consultés, afficher de la publicité ciblée selon les centres d’intérêt de la personne, etc.

Parce que cette technologie peut porter atteinte à la vie privée de l’utilisateur, la réglementation a interdit aux éditeurs de déposer et utiliser les cookies sans avoir recueilli au préalable le consentement de l’utilisateur (article 82 de la loi informatique et libertés). Des exceptions sont prévues par la loi : par exemple, les cookies enregistrant la langue de l’utilisateur ou sa connexion à un espace personnel sécurisé peuvent être déposés sans son consentement.

Cette obligation de recueil du consentement a entraîné l’apparition de nombreux modèles de gestionnaires de cookies, plus ou moins conformes à la réglementation, et plus ou moins irritants. Boscop s’est penchée dès 2018 sur les différents modèles existants, avec ce constat : « Beaucoup d’outils existent pour gérer les cookies de son site. Malheureusement, nous n’en avons trouvé aucun de suffisamment accessible aux personnes en situation de handicap. »

Boscop revient aujourd’hui sur les différents modèles de gestionnaires de cookies existant en élargissant l’analyse aux trois thématiques du numérique responsable : écoconception, accessibilité numérique et protection des données.

Gestionnaires de cookies et écoconception

Le simple fait d’ajouter un gestionnaire de cookies impacte les performances d’un site, notamment en termes de ressources transférées (fichiers JavaScript et CSS), ou de métriques de performance (ces dernières pouvant influer sur le référencement).

Nous vous proposons ici plusieurs pistes pour réduire au maximum cet impact.

Ne pas utiliser de gestionnaire

Comme toujours en écoconception, le moyen le plus efficace de réduire l’impact d’une fonctionnalité est de l’éviter totalement.

On peut d’une part se poser la question de l’utilité des différents services tiers ; en effet, il n’est pas toujours nécessaire de disposer d’outils d’analyse d’audience par exemple.

D’autre part, on peut configurer certains services de manière à ne pas nécessiter de consentement des utilisateurs, par exemple en anonymisant la collecte de données statistiques.

Utiliser des technologies plus simples

La quasi-totalité des gestionnaires de cookies fonctionnent grâce à JavaScript, dans le navigateur. Cela implique de charger des scripts supplémentaires et d’exécuter du code au chargement de la page.

On peut néanmoins imaginer des solutions alternatives, par exemple en proposant une page dédiée pour la gestion des cookies, sous forme d’un formulaire HTML natif (par exemple sur gov.uk). Au lieu d’afficher une popup en bordure de fenêtre, on peut également rediriger l’utilisateur sur une page dédiée, avant l’accès au site (solution utilisée sur YouTube par exemple).

Choisir avec soin un gestionnaire peu gourmand en ressources

Si toutefois on souhaite utiliser un gestionnaire JavaScript, on peut s’attarder sur ses impacts potentiels.

Une méthode simple peut consister à en installer plusieurs, et pour chacun tester les performances du site avec des outils automatisés tels que Lighthouse. Il suffira ensuite de comparer les résultats pour trouver lequel a le plus faible impact sur les performances. En général, les principaux gestionnaires du marché sont entre 100 et 150ko avec quelques exceptions jusqu’à 60ko, et seulement 15ko pour Orejime.

Si l’on dispose de compétences plus avancées en développement web, on peut analyser leur code source pour déceler :

• L’import de traductions pour un grand nombre de langues : certains gestionnaires embarquent des traductions pour des dizaines de langues même si l’on en utilise que quelques-unes, ce qui multiplie le poids des scripts.
• L’import de configurations pour un grand nombre de services tiers : de la même manière, certains gestionnaires embarquent des configurations par défaut pour tous les services tiers qu’ils supportent, parfois des centaines.

Gestionnaires de cookies et accessibilité

L’intérêt des gestionnaires de cookies est de permettre aux utilisateurs de choisir quels cookies ils souhaitent autoriser ou non. Il est donc nécessaire que chaque utilisateur ait la capacité d’effectuer ce choix en connaissance de cause.

L’accessibilité est à prendre en compte sur tous les écrans de choix utilisables par l’utilisateur, que ce soit l’écran de consentement général ou l’écran de personnalisation de gestion des cookies.

Présentation du choix

Le choix d’acceptation ou de refus des cookies est présenté en deux grandes catégories :

Les modales

La présentation en modale consiste à afficher l’information sur les cookies dans une fenêtre en superposition du contenu et tant que cette fenêtre est affichée l’utilisateur ne peut pas interagir avec le reste de la page.

Malheureusement, lorsque ces modales ne sont pas correctement implémentées, les utilisateurs peuvent avoir des problèmes de navigations. Dans l’exemple du Huffingtonpost, la navigation au clavier se fait d’abord sur le contenu en arrière-plan avant d’accéder à la modale. L’utilisateur naviguant uniquement au clavier peut donc avoir une grande gêne pour se déplacer dans la page et enfin accéder à l’option d’acceptation ou de refus des cookies.

Les bandeaux

En ce qui concerne les bandeaux de présentation, l’erreur qu’on remarque le plus souvent est l’ajout de ce contenu en fin de page. Pour les utilisateurs naviguant avec un lecteur d’écran, ils pourront donc naviguer dans la page sans être averti qu’une gestion des cookies est active dans la page.

Pour ce genre de contenu, il est donc préférable de l’implémenter au début du contenu de la page pour que l’utilisateur puisse en être averti dès son arrivée sur le site.

Dans tous les cas, il est important de vérifier d’autres éléments comme :

• Les contrastes entre les textes et leurs arrière-plans
• L’implémentation des textes dans des balises appropriées
• La bonne implémentation des boutons et liens

En ce qui concerne les bandeaux de présentation, l’erreur qu’on remarque le plus souvent est l’ajout de ce contenu en fin de page. Pour les utilisateurs naviguant avec un lecteur d’écran, ils pourront donc naviguer dans la page sans être averti qu’une gestion des cookies est active dans la page.

Pour ce genre de contenu, il est donc préférable de l’implémenter au début du contenu de la page pour que l’utilisateur puisse en être averti dès son arrivée sur le site.

Dans tous les cas, il est important de vérifier d’autres éléments comme :

• Les contrastes entre les textes et leurs arrière-plans
• L’implémentation des textes dans des balises appropriées
• La bonne implémentation des boutons et liens

Gestion des cookies

Dans les modales de gestion des cookies tout comme pour l’affichage du choix de consentement, on peut parfois rencontrer des problèmes de navigation dans la modale (si celle-ci n’est pas correctement implémentée).

Toutefois, ce qui est spécifique à cet écran concerne plutôt l’indication de choix.

En fonction des solutions utilisées, l’activation des boutons d’autorisation ou de refus peut être indiqué uniquement par la couleur. L’option est généralement présentée sous forme de bouton switch ou de deux boutons activables, mais souvent leur comportement n’est pas correctement géré et restitué aux technologies d’assistance ce qui rend leur utilisation complexe. Si l’activation d’un bouton n’est pas correctement indiquée par l’attribut aria-pressed, le lecteur d’écran ne pourra pas correctement restituer l’état à l’utilisateur et celui-ci sera dans l’incapacité de savoir s’il a accepté ou refusé un cookie.

Dans ces écrans, il est également nécessaire de vérifier d’autres éléments comme :

• L’ordre des contenus pour que celui-ci soit compréhensible
• L’utilisation de titres pour les intitulés des cookies
• La bonne structuration des titres

Gestionnaires de cookies et protection des données

Si un site web intègre un gestionnaire de cookies, c’est avant tout pour respecter une obligation légale, comme nous l’avons vu dans l’introduction. Alors lorsque les éditeurs tentent de contourner les règles au moyen de subterfuges plus ou moins grossiers, le résultat est parfois pire que s’ils n’avaient pas recueilli le consentement.

Pay or consent : où est la liberté du consentement ?

« Le droit fondamental à la protection des données n’est pas une fonctionnalité pour laquelle les individus doivent payer » indiquait Anu Talus, présidente du CEPD, dans son avis du 17 avril 2024 sur les modèles « pay or consent ».

Cet avis, qui n’est pas exclusif aux gestionnaires de cookies, vient relancer le débat sur ces gestionnaires proposant deux alternatives : accepter les cookies ou payer.

Déjà en 2019, la CNIL avait tenté d’interdire la pratique, mais avait dû revoir sa position suite à un arrêt du Conseil d’État. D’une interdiction générale, nous passions à une analyse au cas par cas de la légalité de ces systèmes. Ainsi, pour que le consentement soit valide, le tarif doit être raisonnable, ne « pas être de nature à priver les internautes d’un véritable choix ».

Mais payer ou accepter les cookies, est-ce un véritable choix ?

La CNIL appelait de ses vœux un positionnement européen : c’est chose faite en 2024, avec l’avis du Comité Européen à la Protection des Données, dans la lignée d’un arrêt de la CJUE en juillet 2023 (META). Dans la majorité des cas, les modèles proposés actuellement par ces grandes plateformes sont illégaux. Nous restons sur une approche au cas par cas de ces mécanismes, mais la position se clarifie, et se durcit.

Le CEPD a annoncé l’élaboration de lignes directrices sur les systèmes de « pay or consent », avec un périmètre plus large que cet avis du 17 avril (grandes plateformes). Nous espérons que ces lignes directrices auront pour effet de limiter largement (voir de supprimer) cette pratique !

Intérêt légitime : une erreur d’interprétation à bannir

Certaines plateformes ont commencé à classer les cookies dans deux catégories : ceux dont le dépôt est basé sur le consentement de l’utilisateur et ceux dont le dépôt se fonde sur l’intérêt légitime de l’éditeur. Comprendre : le consentement n’est pas obligatoire, mais l’utilisateur peut s’y opposer (souvent difficilement).

Concrètement, après que l’utilisateur a refusé le dépôt de cookies, les cookies basés sur l’intérêt légitime sont tout de même déposés sur son terminal.

Cette pratique est interdite. L’intérêt légitime est une notion du RGPD, l’une des six bases légales pouvant justifier l’utilisation de données personnelles (Article 6), tout comme le consentement. Mais le fondement légal du consentement au dépôt des cookies n’est pas le RGPD, c’est l’article 82 de la loi informatique et libertés et la directive ePrivacy, comme nous l’avons déjà évoqué en introduction de cet article, et ces textes ne prévoient pas l’intérêt légitime comme alternative au consentement !

Il s’agit donc d’une erreur (volontaire ?) d’interprétation de la réglementation, qui a été dénoncée par la task force des autorités de contrôle européennes dédiée aux bannières de cookies (« cookie banner »).

Dark patterns : attention au design de l’interface.

En quelques mots, les pratiques en termes de design qui ont pour but de tromper l’utilisateur, les « dark patterns », sont interdites puisqu’elles ont pour effet de fausser son consentement. « Toute pression ou influence inappropriée exercée sur la personne concernée l’empêchant d’exercer sa volonté rendra le consentement non valable. » (CEPD, lignes directrices sur le consentement).

Exemple 1 : Culpabilisation des utilisateurs par le choix des expressions utilisées (bonus : mise en valeur d’une option par le choix des couleurs et du contraste).

Exemple 2 : Utilisation des couleurs à contre-emploi

Exemple 3 : Le bouton « refuser » est remplacé par un lien dans le texte de la bannière de cookies

Exemple 4 : Le bouton « refuser » est remplacé par un lien « continuer sans accepter » à l’extérieur de la modale de cookies (bonus : le contraste rend le lien illisible).

Ces exemples sont issus du rapport de la task force « cookie banner » dans lequel vous retrouverez d’autres exemples de design d’interface trompeurs à bannir.

Collecter une trace du consentement : une fausse bonne idée ?

Il s’agit ici d’un avis plus personnel, sur un système qui n’est pas interdit en principe, mais qui nous laisse extrêmement perplexe au regard du principe de minimisation : les Consent Management Platform (CMP) ou « plateforme de gestion du consentement ».

Parce que le consentement doit pouvoir être prouvé à tout moment, ces systèmes ont décidé d’enregistrer les choix des utilisateurs sur une plateforme tierce. En cas de plainte ou de contrôle, la preuve du consentement de l’utilisateur peut ainsi être facilement mobilisée.

Le problème, c’est que le consentement peut être prouvé sans collecte de données supplémentaires avec une modale de cookies classique, comme Orejime, tout simplement en prouvant que la modale est paramétrée de manière conforme.

Alors faire le choix de collecter plus de données, transmises à plus de destinataires, entraînant une surface de risque plus importante… ne nous apparaît pas la solution la plus cohérente. Consommatrice de ressources, la solution est également absurde du point de vue de l’écoconception !

L’absence de gestionnaire : un choix adapté… à certains contextes

Face aux nombreuses problématiques soulevées par les gestionnaires de cookies au regard du numérique responsable, ne pourrait-on pas se passer de ces gestionnaires ?

Cette solution alternative n’est possible qu’à la condition que l’ensemble des cookies déposés soient exemptés de consentement (loi informatique et libertés). L’option est par exemple inenvisageable si l’éditeur dépose des cookies publicitaires.

Mais si nous abordons cette hypothèse, c’est que l’absence de gestionnaire de cookies devient une option attrayante depuis que la CNIL a validé le principe de l’exemption de consentement des cookies de statistiques anonymisés. Ainsi, vous ne trouverez pas de modale de cookies sur le site cnil.fr ou sur notre site boscop.fr, alors que ces sites web collectent des statistiques d’audience (en l’occurrence via l’outil Matomo).

Cette solution présente plusieurs avantages majeurs :

1. Elle règle les problèmes d’accessibilité, d’éco-conception et de conformité évoqués dans cet article ;
2. Elle améliore l’expérience utilisateur en réduisant la « fatigue du consentement » (l’agacement des utilisateurs vis-à-vis des modales de cookies) ;
3. Elle oblige l’éditeur du site à opter pour des solutions moins intrusives pour la vie privée des utilisateurs.

Mais attention : assurez-vous que l’ensemble de vos cookies et autres traceurs utilisés soient bien exemptés de consentement ! Dès lors que vous utilisez des cookies de statistiques non-anonymisés (comme Google Analytics) ou des cookies publicitaires, assurez-vous d’utiliser un gestionnaire de cookies.

La meilleure option reste de ne pas mettre de gestionnaire de cookies si c’est possible. Un Matomo bien paramétré peut suffire et vous exempter du bandeau de gestion de cookies.

Si vous n’optez pas pour une absence de gestionnaire de cookies, plusieurs critères seront à prendre en compte pour choisir et paramétrer votre gestionnaire de cookies.

• Définir vos besoins
• Choisir une solution responsable
• Réfléchir à l’implémentation

Chez Boscop, nous avons créée un gestionnaire de cookies accessible et éco-conçu. Avec Orejime, vous respectez les exigences du RGAA et celles du RGPD ; enfin vous faites le choix d’une solution sobre et éco-conçue avec un poids de moins de 15ko.