Chapitre 7.2 — Cookies & traceurs (ePrivacy)
⏱️ TL;DR — Surprise juridique : les cookies ne sont pas régis d’abord par le RGPD, mais par la directive ePrivacy 2002/58/CE, transposée en France à l’article 82 de la loi Informatique et Libertés. Le RGPD n’intervient qu’ensuite, pour définir ce qu’est un consentement valable et encadrer les données personnelles qui en découlent. Règle centrale (recommandation CNIL 2020) : lire ou écrire une information dans le terminal de l’internaute exige son consentement, sauf deux familles d’exemptions (traceurs strictement nécessaires ; mesure d’audience configurée — chapitre 7.4). Il faut donc trier ses traceurs par finalité, et ne pas confondre l’axe « technique / non » avec l’axe « première partie / tiers ».
🎯 Objectifs
- Identifier le bon fondement juridique des cookies : ePrivacy / art. 82, pas le RGPD seul.
- Distinguer ce qui exige un consentement de ce qui en est exempté.
- Classer un traceur par finalité à l’aide d’une typologie claire.
- Ne plus confondre cookie technique et cookie tiers (deux axes différents).
Le cadre : ePrivacy, pas (seulement) le RGPD
C’est le point que 90 % des devs ratent. Le dépôt et la lecture de traceurs relèvent d’un texte spécial : la directive ePrivacy 2002/58/CE (dite « vie privée et communications électroniques »), transposée en droit français à l’article 82 de la loi Informatique et Libertés. Le principe de cet article : toute action consistant à accéder à des informations déjà stockées dans l’équipement terminal, ou à y inscrire des informations, doit faire l’objet d’une information et d’un consentement préalables — sauf exemptions.
Le RGPD ne disparaît pas pour autant : il se superpose. C’est lui qui dit ce qu’est un consentement valable (chapitre 7.1) et qui s’applique aux données personnelles collectées via les traceurs (finalités, durées, droits). Résumé de la répartition :
📚 Le texte — Le fondement des cookies est la directive ePrivacy 2002/58/CE, transposée à l’article 82 de la loi Informatique et Libertés. La CNIL a précisé son application avec des lignes directrices et une recommandation (recommandation CNIL 2020) : information claire, « refuser » aussi simple qu’« accepter », et exemptions strictement délimitées. Le règlement ePrivacy censé remplacer la directive est toujours bloqué (chapitre 7.5) — c’est donc bien la directive de 2002 qui s’applique aujourd’hui.
Deux axes à ne jamais confondre
« Cookie technique » et « cookie tiers » ne s’opposent pas : ce sont deux questions différentes sur le même objet.
- Axe finalité — à quoi sert le traceur ? Est-il strictement nécessaire au service demandé (dit « technique ») ou sert-il une finalité additionnelle (publicité, réseaux sociaux, mesure d’audience) ? C’est cet axe qui décide s’il faut un consentement.
- Axe origine — qui le dépose ? Est-il posé par le domaine visité (première partie, ou first-party) ou par un autre domaine appelé dans la page (tiers, ou third-party : régie pub, bouton social, lecteur vidéo externe) ? Cet axe renseigne sur les destinataires des données, pas directement sur le besoin de consentement.
Un cookie technique peut être tiers (ex. un service anti-DDoS/équilibrage de charge externe strictement nécessaire), et un cookie de première partie peut être non essentiel (un tag analytics posé par ton propre domaine mais non exempté). Ce qui déclenche le consentement, c’est la finalité, jamais l’origine à elle seule.
Typologie des traceurs
| Type de traceur | Exemples | Consentement requis ? |
|---|---|---|
| Strictement nécessaire (technique) | Session, authentification, panier, sécurité/CSRF, équilibrage de charge, mémorisation du choix cookies lui-même, préférence de langue exprimée par l’utilisateur | Non (exempté — chapitre 7.4) |
| Mesure d’audience exemptée | Statistiques anonymisées, finalité limitée à l’audience du site, pas de recoupement ni de suivi inter-sites, configurée selon les critères CNIL | Non si les critères sont réunis (chapitre 7.4) |
| Mesure d’audience non exemptée | Analytics classique avec recoupement, suivi entre sites, partage à un tiers | Oui |
| Publicité / ciblage | Retargeting, enchères publicitaires, profilage marketing | Oui |
| Réseaux sociaux | Boutons « J’aime » / partage, widgets, vidéos intégrées (lecteur externe) | Oui |
| Personnalisation non essentielle | Recommandations de contenu fondées sur le comportement, A/B testing marketing | Oui |
⚠️ Piège — Croire qu’un outil de mesure d’audience est exempté « par nature ». Il ne l’est que s’il est configuré pour respecter les critères CNIL (finalité limitée, pas de recoupement, pas de suivi inter-sites, durée limitée — chapitre 7.4). Le même outil, laissé en réglages par défaut avec partage de données, bascule dans la colonne « consentement requis ». L’exemption tient à la configuration, pas au logo du produit.
💡 Réflexe — Avant tout bandeau, dresse l’inventaire : liste chaque traceur, son domaine (1re partie / tiers), sa finalité, sa durée, et coche « exempté / consentement ». Ce tableau est la matière première de la CMP (chapitre 7.3) et une pièce de ton registre (accountability). Sans inventaire, tu configures un bandeau à l’aveugle.
🔒 Côté personne concernée — La distinction 1re partie / tiers compte pour l’internaute : un traceur tiers signifie qu’un autre acteur que le site visité (une régie, un réseau social) reçoit des informations sur sa visite, souvent à des fins de profilage sur plusieurs sites. C’est précisément ce que la personne a le droit de refuser en un clic — et pourquoi un simple lecteur vidéo « embarqué » n’est pas anodin.
🧭 Sur FormaCampus — Sur son site vitrine, l’inventaire donne : cookies de session et de choix cookies (strictement nécessaires, exemptés), un outil de mesure d’audience (à configurer en mode exempté, sinon consentement — chapitre 7.4), et une vidéo YouTube intégrée en page « Nos formations » : celle-ci charge un traceur tiers (domaine du lecteur), donc consentement requis. Trois lignes, trois régimes différents : c’est tout l’enjeu du tri.
✏️ Exercices
Exercice 1 — Quel texte, quel régime ? Un collègue affirme : « Les cookies, c’est du RGPD pur, comme n’importe quelle donnée. » Corrige-le en une phrase précise, puis explique le rôle résiduel du RGPD.
✅ Solution
Correction : le dépôt et la lecture de traceurs relèvent d’abord de la directive ePrivacy 2002/58/CE, transposée à l’article 82 de la loi Informatique et Libertés — c’est elle qui pose l’exigence de consentement. Le RGPD intervient en complément : il définit ce qu’est un consentement valable (libre, spécifique, éclairé, univoque) et encadre les données personnelles issues des traceurs (finalités, durées, droits). Les deux textes se superposent, ils ne s’excluent pas.
Exercice 2 — Trie les traceurs. Classe chacun en « exempté » ou « consentement requis » : (a) cookie de session qui garde l’utilisateur connecté ; (b) tag de retargeting publicitaire ; (c) lecteur vidéo YouTube intégré ; (d) cookie mémorisant le choix fait dans le bandeau ; (e) analytics configuré avec partage des données à un tiers.
✅ Solution
(a) Exempté — strictement nécessaire à l’authentification. (b) Consentement — finalité publicitaire. (c) Consentement — le lecteur intégré dépose un traceur tiers (réseau social / plateforme vidéo). (d) Exempté — mémoriser le choix cookies est strictement nécessaire au respect de ce choix. (e) Consentement — dès qu’il y a partage à un tiers / recoupement, la mesure d’audience sort de l’exemption. Note : (a) et (d) sont techniques ; (c) est tiers ; (e) peut être de 1re partie et pourtant non exempté — la finalité prime sur l’origine.
Exercice 3 — Technique ou tiers ? Vrai ou faux : « Un cookie de première partie n’a jamais besoin de consentement, un cookie tiers en a toujours besoin. » Justifie.
✅ Solution
Faux dans les deux sens. Un cookie de première partie peut être non essentiel (ex. un tag analytics non exempté posé par ton propre domaine) → consentement requis. Un cookie tiers peut être strictement nécessaire (ex. un service externe d’équilibrage de charge ou anti-fraude indispensable au service) → exempté. Ce qui déclenche le consentement, c’est la finalité (axe « strictement nécessaire ou non »), pas l’origine (axe « 1re partie / tiers »). Les deux axes sont indépendants.
🧠 Quiz de révision
1. Quel texte fonde l’exigence de consentement pour les cookies ?
La directive ePrivacy 2002/58/CE, transposée à l’article 82 de la loi Informatique et Libertés. Le RGPD s’y superpose pour la qualité du consentement et les données personnelles collectées, mais le déclencheur « cookies » est ePrivacy.
2. Quelle est la règle générale de l’article 82 ?
Lire une information déjà stockée dans le terminal, ou y inscrire une information, exige une information et un consentement préalables — sauf exemptions (traceurs strictement nécessaires et mesure d’audience configurée). Précisée par la recommandation CNIL 2020.
3. « Cookie technique » et « cookie tiers », est-ce la même opposition ?
Non. « Technique » relève de l’axe finalité (strictement nécessaire ou non) ; « tiers » relève de l’axe origine (posé par le site visité ou par un autre domaine). Les deux sont indépendants — c’est la finalité qui décide du consentement.
4. Une vidéo externe intégrée dans une page nécessite-t-elle un consentement ?
Oui, en général : le lecteur intégré charge un traceur tiers (plateforme vidéo / réseau social) à finalité non essentielle. Il faut donc le consentement, ou une solution « sans cookie » / au clic (chapitre 7.4).
5. La mesure d’audience est-elle toujours exemptée ?
Non. Elle n’est exemptée que si elle est configurée selon les critères CNIL (finalité limitée à l’audience, pas de recoupement, pas de suivi inter-sites, durée limitée). En réglages par défaut avec partage à un tiers, elle exige un consentement (détaillé au chapitre 7.4).
Chapitre suivant : La CMP & le bandeau conforme — comment recueillir le consentement sans dark pattern : « Tout refuser » au même niveau qu’« Tout accepter », choix par finalité, preuve conservée, et pas un octet déposé avant le choix.