Chapitre 7
Les cookies

Dois-tu vraiment les accepter ?
Temps de lecture : 5 minutes
  • website - logo
  • linkedin - logo
  • github - logo


L’Union Européenne, avec la Directive ePrivacy en 2002 et le Règlement Général sur la Protection des Données en 2018, exige que les sites web obtiennent un consentement éclairé et explicite des utilisateurs avant de stocker ou d'accéder à des informations sur leurs appareils.

C’est pour ça que tu vois 40 fois par jour une bannière te demandant d’accepter l’utilisation de cookies.

Qu’est-ce qu’un cookie ?

Depuis la nuit des temps, en informatique, nous avons le concept de “magic cookie”. Ce terme représente une donnée qui est transmise à des programmes sans qu’ils ne la comprennent. Ces programmes ne sont que des intermédiaires qui vont retransmettre cette donnée telle quelle à d’autres.

Exemple :

Tu achètes un abonnement depuis l’application iOS d’une entreprise. L’app envoie au backend du site “Hey, y’a eu un nouvel abonnement sur telle offre et pour info, le client était sur un iPhone 15, il a démarré son parcours d’achat en cliquant sur la page X”.

Le gestionnaire d’abonnements va se servir des informations concernant l’offre pour tout mettre en place. Il n’a par contre aucune utilité du contexte d’achat du client : iPhone 15, page X. Il sait en revanche que les équipes Data ont besoin de cette donnée pour leur tableau de bord. Il va bêtement leur retransmettre.

L’équipe Data elle-même n’analyse pas vraiment ces informations, le tableau de bord se contente de lister les valeurs possibles et de proposer automatiquement des filtres et des regroupements à un directeur marketing.

Le contexte d’achat est passé de l’app jusqu’au directeur marketing sans que les intermédiaires comprennent réellement son contenu. C’est un magic cookie.

En 1994, un ingénieur de Netscape a eu l’idée d’adapter ce concept pour stocker des informations directement dans le navigateur. L’idée était de savoir si un client avait déjà visité le site de Netscape lorsqu’il arrivait sur la page.

  1. Le site transmet une information au navigateur.
  2. Le navigateur la stocke sans se soucier de son contenu.
  3. Le navigateur va retransmettre cette information à chaque requête vers le site.
  4. Le site a donc accès à l’information.

Tu l’as compris, cette information représente ce que l’on appelle plus communément un Cookie.

Les cookies ont de nombreuses utilisations. C’est pourquoi il est presque impossible de naviguer sur le web si tu refuses de les utiliser.

Les sessions

Tu arrives sur un site, tu te connectes avec ton email et mot de passe. Tu reviens 2 jours plus tard et tu es toujours connecté. Tu navigues sur les différentes pages sans qu’on te redemande tout le temps de t’authentifier.

Lors de ta connexion, le site a démarré une session utilisateur. Il place un cookie dans ton navigateur pour la représenter et la maintenir.
Une action de déconnexion consiste majoritairement à supprimer ce cookie.

Sans cookies, pas de session. D’ailleurs certains traduisent en français le terme “cookie” par “témoin de connexion”. C’est pourquoi quand tu passes en navigation privée, et que tes cookies déjà existants ne sont pas disponibles, tu dois te reconnecter partout.

Personnalisation

Tu arrives sur un site qui propose plusieurs langues. La langue par défaut est l’espagnol, mais toi, tu veux la page en anglais. Ce changement de langue sera stocké dans un cookie pour qu’il soit transmis vers le back-end à chaque action de l’utilisateur. Chaque message de succès ou d’erreur résultant de l’action sera personnalisé.

Pour cet exemple, nous aurions pu transmettre manuellement la langue dans chaque requête vers le back-end. Utiliser un cookie a l’avantage de rendre ça automatique et, surtout, le site se souviendra de ta langue si tu reviens plus tard.

Analyse des parcours clients

Tout site digne de ce nom essaie d’optimiser ses parcours en fonction du comportement des clients.
“On perd 60% de nos clients au moment de saisir l’adresse de livraison de la commande.”
“Les clients qui ont vu la variante 100€ pour 12 mois finalisent plus leur parcours que ceux qui ont vu 100€ pour 1 an.”

Pour faire ça, il faut donc comprendre de qui vient quelle requête, alors que le client n’est pas forcément authentifié sur le site. C’est un peu le même concept que les sessions sauf qu’au lieu d’authentifier le client, on veut identifier son navigateur.

Lorsque tu arrives sur la première page d’un site, il crée un cookie en t’attribuant un identifiant. Ce cookie étant automatiquement renvoyé vers le back-end, toute ta chaine d’action pourra être pistée.

Publicité

Si on rend multi-sites l’analyse des parcours clients, on est capable de montrer au client des produits qui l’ont récemment intéressés.

Pour faire ça, les sites intègrent dans leur code front-end des solutions de régies publicitaires. Tout au long de tes visites, ces sites posent leurs propres cookies et déclenchent en même temps des requêtes vers les régies pour qu’elles posent elles-aussi leurs cookies. On appelle ça des cookies tiers.

Fais le test

  1. Ouvre chrome, mets-toi en navigation privée (ctrl + shift + n) et ouvre deezer.com. Appuie sur F12 pour ouvrir les DevTools. Va dans l’onglet “Application” en haut, puis dans “Cookies” dans le menu de gauche.

    Pour le moment, il n’y a pas grand-chose à voir.
  2. Accepte l’utilisation des cookies sur la page Deezer. Instantanément, tu vas voir la création de cookies Snapchat, Pinterest, Google Ads etc…
Si vous ne payez pas pour cela, vous n'êtes pas le client ; vous êtes le produit qui est vendu. <Andrew Lewis / blue_beetle>

Les GAFAM et principaux réseaux sociaux sont parmi les plus grosses régies publicitaires.

Maintenant qu’ils savent que tu utilises Deezer, ils pourront t’afficher des pubs avec des promotions sur les abonnements sur tous tes réseaux et tous les sites de leurs clients.
En fournissant du contexte, les développeurs peuvent leur indiquer qu’un client est par exemple déjà abonné. Les régies peuvent ainsi mieux cibler et ajuster leur pression marketing.

Techniquement, intégrer leurs solutions signifie inclure sur ta page du code développé par ces entreprises. Ton navigateur va l'exécuter comme s'il s'agissait de ton propre code. Il aura les mêmes contraintes, mais surtout les mêmes pouvoirs.
Si un seul de tes partenaires n'est pas fiable, tu peux te retrouver à injecter du code malicieux sur ta page. Dans le meilleur des cas, il casse tout l'affichage de la page et tout le monde s'en rend compte très vite. Dans le pire des cas, il peut intercepter les valeurs dans les formulaires, les frappes au clavier et tout un tas d'autres trucs pas cool. C'est pourquoi nous évitons d'inclure ce type d'outils directement sur les pages de paiement.

Surtout que les régies externes peuvent, elles aussi, inclure indirectement d'autres solutions. Retourne sur la pop-up d’acceptation des cookies sur Deezer, ils donnent la liste explicite de leurs 773 partenaires 😱.

La protection des données personnelles

Maintenant que tu as vu à quel point les cookies pouvaient être intrusifs, tu devrais mieux comprendre pourquoi différents acteurs comme la CNIL et l’Union Européenne tentent d’éviter les abus.
Dans la liste des partenaires de Deezer, tu peux d’ailleurs voir que certains, notamment Facebook, ne jouent pas le jeu à 100%.

Plusieurs solutions s’offrent à toi : désactive les cookies tiers dans ton navigateur, fais le tri sur chaque site avant d’accepter les cookies, utilise la navigation privée ou paie le service premium du site…

Depuis décembre 2023, Google a mis en place dans Chrome une fonctionnalité “Do not Track”. Ils vont la déployer au fur et à mesure à tout le monde. En attendant, tu peux l’activer manuellement dans “Paramètres” > “Confidentialité et sécurité” > “Cookie tiers”.


Fun fact : Quand tu refuses les cookies, le site doit le garder en mémoire pour ne pas t’afficher la bannière sur chaque page. Devine dans quoi est stocké ton refus… 😄