La première apparition des cookies informatiques remonte aux années 90. Ils avaient dès le départ vocation à tracer les utilisateurs afin de savoir s’ils étaient déjà venus sur le site qu’ils visitaient. Internet et les expériences qu’il nous offre se sont construits autour de l’utilisation des cookies. Leur approche fonctionnelle est devenue secondaire, au profit d’une agrégation de données vorace qu’il a fallu rapidement raisonner, maîtriser, et réguler. Ultime affront fait aux marques, la CNIL les oblige à récolter le consentement des internautes. Un nouveau casse-tête qui replace la confiance avec le consommateur au centre de la relation.

« Pendant (trop) longtemps, les marques ont considéré que les (données) utilisateurs leur appartenaient. Avec les annonces faites par la CNIL en début d’année, cette époque est révolue. Et c’est tant mieux ! Les utilisateurs reprennent possession de ce qui leur a (en réalité) toujours appartenu. Désormais, la règle est on ne peut plus claire : si ce n’est pas oui, c’est non. Plus d'ambiguïté possible donc. Dès lors, les marques sont confrontées à un tout nouvel enjeu : hier elles interprétaient les données, aujourd’hui elles font en sorte d’obtenir un consentement explicite », Romain Dehaudt, Head of Revenue & Operations chez Emakina.

Les cookies dans nos vies depuis longtemps

Qu’est-ce qu’un Cookie ?

On les appelle cookies, parfois traceurs, de temps à autre témoins. Il s’agit d’un élément laissé par serveur à un client informatique, qui sera réutilisé la prochaine fois qu’il entrera en contact avec ce même serveur. Le cookie est donc stocké dans le navigateur de l’internaute, et non pas sur le site sur lequel on navigue.

Ils permettent plusieurs fonctionnalités dans l’expérience d’un internaute, comme la sauvegarde de son panier d’achat, garder sa session ouverte lorsqu’il reviendra sur le site, ou conserver une préférence renseignée lors de sa dernière visite.

D’où viennent-ils ?

Après un premier test sur Netscape, les cookies ont été jetés dans le grand bain du web avec Internet Explorer 2, en 1995. Ils ont été inventés par Lou Montulli et John Giannandrea alors ingénieurs pour Netscape, en 1994. Leurs premiers essais avaient pour objectif de déterminer si un visiteur était déjà venu sur un site auparavant. Cette invention finira par être brevetée en 1998.

Il faudra attendre le début de l’année 1996 pour que des médias, notamment le Financial Times, s’intéressent au sujet, et soulèvent plusieurs inquiétudes, notamment dans le respect de la vie privée des internautes. Cette couverture médiatique alertera la FTC aux États-Unis, qui lancera très vite deux consultations, une première dès 1996, puis et une autre 1997, sans définir de véritable encadrement. En revanche, de l’autre côté de l’Atlantique, en Europe, un premier texte verra le jour en 2002.

Quel cadre légal ?

Ce premier texte, c’est la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques, ou plus simplement directive 2002/58/CE. Elle vise à encadrer les règles d’utilisation des cookies.

Pour stocker des cookies sur l’appareil d’un internaute, il doit être informé de la manière dont ils sont utilisés. Il peut également refuser le stockage, sauf pour raison technique. Une première notion de consentement naît alors, mais restera une notion, tant elle sera peu respectée.

La directive européenne 2002/58/CE fut mise à jour en 2009, afin de renforcer les obligations des éditeurs sur le placement des cookies. Ainsi, « le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement ».

Depuis le Conseil européen, ces directives sont transposées en droit interne. En France, elles ont contribué à consolider la position de la CNIL. Plus récemment, l’adoption du RGPD en 2016 par le Parlement, puis son application dans les 27 États membres à partir du 25 mai 2018, lui a donné un rôle central, que la CNIL veille à faire respecter. Cette date signe également l’arrivée des plateformes de gestion du consentement, ou CMP pour consent management platform.

Les cookies dans l’histoire moderne d’internet

Le rôle récent des CMP

Le tout premier contact entre un site et un internaute passe désormais par une CMP. Au-delà du caractère légal de la gestion du consentement, leur apparition a placé un premier enjeu d’expérience utilisateur pour les sites internet. Un casse-tête pour combiner interface utilisateur agréable et respect du cadre juridique de la gestion des cookies. Le simple bandeau de cookie s’est transformé en une véritable plateforme requérant l’action du visiteur dès ses premiers instants de navigation.

Dès lors, ils n’ont pas la possibilité de “tout refuser”. Ils peuvent soit sélectionner les familles de cookies qu’ils autorisent, soit tout accepter. D’autre part, un premier signe de navigation, en cliquant en dehors de la fenêtre, ou en glissant vers le bas est considéré comme une confirmation. Il faudra attendre le 1er avril 2021 pour que cela change.

Quelles nouvelles règles de la CNIL ?

Le délai accordé aux entreprises pour mettre en conformité leurs sites et leurs applications mobiles a désormais pris fin. Ces nouvelles règles doivent permettre aux visiteurs d’exercer un « meilleur contrôle sur les traceurs ».

Ce qui cristallise le réel impact de ces nouvelles mesures, c’est une nouvelle fois le consentement. Un internaute doit consentir au dépôt de traceurs par un « acte positif clair ». Surtout, « son silence, qui peut passer par la simple poursuite de la navigation, doit dorénavant s’interpréter comme un refus ».

La pratique auparavant utilisée, consistant à ne laisser le choix qu’entre “paramètres” et “tout accepter” est désormais contraire aux exigences du RGPD. Ainsi, les taux de refus de dépôt de cookies ont déjà grandement augmenté, laissant entrevoir un futur et une économie sans cookie.

Un nouveau contrat de confiance pour les marques

Pendant longtemps, les marques ont pensé qu’elles pouvaient jouir des données comme bon leur semblait. Le RGPD, surtout la notion de consentement, les a poussé à opérer un changement de paradigme. Désormais, leur relation avec un internaute, démarre soit par un “oui”, soit par un “non”. Il n’est légalement plus question de fausser cette première approche.

Cette responsabilité pour les marques se traduit par un nouveau contrat qu’elles passent avec le consommateur. Une certification qu’elles respectent leur vie privée et la protection de leurs données personnelles. Un accord dès lors mis au centre de l’expérience utilisateur.

Cet engagement est donc matérialisé par la CMP. Derrière tout cela, ressort une nouvelle métrique, un nouveau KPI : le taux de consentement. Voir ce taux augmenter demandera du temps, de la pédagogie, et surtout de la confiance entre une marque et son client.

Est-ce que cela transforme pour autant la façon dont les sites e-commerce doivent fonctionner ? Pas le moins du monde. Les sites bien conçus marchent d’eux-mêmes. Ils sont un espace de confiance au sein duquel une marque se connecte avec une audience. Il lui reste également de multiples options pour engager cette audience, à travers une animation saisonnière, ou des interstices dédiées à la publication de contenus.

Vues comme une catastrophe par certains, trop addicts au tracking du moindre pixel, ces nouvelles règles sont une occasion rêvée pour renouer une vraie intimité avec les consommateurs. Dans une relation non plus dépendante de la donnée qu’ils veulent bien laisser, mais au-delà du consentement, de l’expérience que les marques leur permettent de vivre.

« Ce serait une erreur de penser que ces dernières annonces n’ont d’impact que sur le bandeau de gestion des cookies présenté à l’arrivée d’un site. Dit autrement, il faut dépasser l’enjeu légal et s’intéresser à ce qui est réellement à l’origine du consentement (ou non) : l’expérience utilisateur. Pour continuer de collecter des données relatives aux utilisateurs, interpréter ces données et en tirer des leviers d’optimisation business, il s’agit désormais d’investir dans l’expérience pour que le pacte proposé par la marque aux utilisateurs soit à la hauteur de la confiance qu’ils accordent », Romain Dehaudt, Head of Revenue & Operations chez Emakina.

La “cookieless economy” est en marche

En parallèle des mesures imposées par la CNIL, d’autres grands acteurs opèrent une transition visant à faire disparaître les cookies de leur fonctionnement. Ils se concentrent notamment sur les pratiques publicitaires des marques. D’un côté, Google, pour son navigateur Chrome veut couper l’utilisation des cookies tiers. Récemment, c’est Apple qui, avec son App Tracking Transparency, qui requiert l’accord d’un utilisateur pour qu’une application puisse le suivre lorsqu’il navigue sur la toile.

Entre cadre juridique européen, et géants du numérique prenant des mesures pour limiter le traçage des utilisateurs, une économie sans cookie se profile. Derrière elle, la cristallisation d’un constat : la confiance du consommateur prévaut dans sa relation avec une marque. Nouvel atout stratégique, elles doivent d’ores et déjà comprendre comment la créer à travers un environnement médiatique décentralisé, constitué de dizaines de points contact.