Image IA copilot

Cookies, traceurs et données personnelles

EmmanuelDiokh
7 min readJul 1, 2024

--

La collecte de données personnelles est considérée comme un traitement selon l’article 4.19 de la loi 2008–12 du 25/01. Parmi les opérations citées par cette disposition, nous avons entre autres, l’action de collecter, d’exploiter et d’enregistrer qui constituent un traitement. Dans la pratique le traitement se manifeste de plusieurs manières, il peut s’agir de la confection d’une base de numéros de contact durant un forum d’orientation pour étudiants ou durant des tests d’entrée pour ceux qui veulent intégrer une école comme l’ESP par exemple. Le traitement peut s’effectuer aussi à travers un site internet via un formulaire mais aussi avec le dépôt des cookies.

La mise en conformité est une exigence légale dès l’instant que des données personnelles sont traitées. Dans la pratique, naviguer sur un site internet peut sembler banale mais il s’agit d’un moment durant lequel, le responsable de la plateforme visitée peut mieux connaitre vos besoins, ce que vous cherchez sur internet, parce qu’il y a une communication qui est établie entre vous, mais savez-vous que vous êtes en train de communiquer ?

Un cookie ou traceur est un des moyens utilisé pour l’établissement cette communication, il s’agit d’un petit fichier texte stocké par un site web, une plateforme, dans votre terminal (ordinateur, téléphone, tablette et récemment smart tv etc.) Il est associé à un domaine web et souvent à l’ensemble des pages contenues dans un site.

Vous ne verrez pas dans la loi de 2008 le terme cookie, le législateur a utilisé des termes assez larges pour englober les deux systèmes de stockage d’information. Pour s’en convaincre nous allons revisiter l’article 61 de la loi en question qui dit :

Toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

1) de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

2) des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement de l’utilisateur :

1) a pour finalité exclusive, soit de permettre ou faciliter la communication par voie électronique ;

2) soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Pourquoi des traceurs, ou cookies

Nous avons différents types de cookies selon les finalités visées par le responsable.

Les cookies session, sont ceux qui permettent aux éditeurs de suivre votre activité dans le site durant votre session de navigation. Ils sont temporaires, et sont supprimés dès que vous fermez votre navigateur. Il y a aussi les cookies persistants qui restent sur votre appareil pendant un temp bien défini, ils sont activés à chaque fois que vous revisitez le site jusqu’à l’expiration de sa durée.

Nous avons aussi les cookies first party qui sont déposés par le site visité. Ces cookies ont souvent pour objectif d’améliorer l’expérience utilisateur en aidant dans la personnalisation pour mieux cerner vos préférences (langue, rubrique ou sujets…). Si c’est dans un univers logué ces cookies peuvent servir pour authentifier une connexion, mémoriser les paniers d’achat ou optimiser l’expérience utilisateur.

Les cookies third-party ou tiers sont installés par un domaine autre que celui du site visité. Une régie publicitaire peut bien déposer un cookie sur un site que vous visitez pour vous cibler. Il s’agit le plus souvent du résultat d’un partenariat, ce qui fait de ces derniers des sous-traitants qui, doivent être dans les clous de la réglementation.

A côté des cookies nous avons le local Storage qui permet aux sites web de stocker directement des données sur votre appareil en passant par le navigateur, ici la capacité de stockage est plus grande que pour les cookies. Environs 5 Mo par domaine et ces données demeurent jusqu’à ce que vous, décidiez de les supprimer, la suppression peut aussi être faite par le responsable de traitement. Le local storage et les cookies ont pour dénominateur commun de permettre le stockage des informations dans votre terminal afin d’y lire ou écrire des informations. Il y a aussi les cookies flash, l’identification par calcul d’empreinte du terminal ou les identifiant générés par le système d’exploitation comme celui de windows pour les besoins de ciblage publicitaire.

Certains traceurs sont cependant exemptés du recueil de consentement, comme les traceurs destinés à l’authentification auprès d’un service. C’est aussi le cas pour les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, et d’autres visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

La mise en conformité de ces outils de collecte

Image IA copilot

En dehors des cookies fonctionnels (obligatoires), le consentement est un élément fondamental pour en déposer sur le terminal des utilisateurs de votre plateforme. Par consentement il faut comprendre toute manifestation de volonté expresse, non équivoque, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou conventionnel, accepte que ses données à caractère personnel fassent l’objet d’un traitement manuel ou électronique.

Pour respecter cette exigence il faut permettre à l’utilisateur de choisir, en dehors des cookies fonctionnels, les cookies ou traceurs pouvant lire ou écrire des informations sur son terminal. C’est ce qui justifie le bandeau cookies que vous trouvez dès la page d’accueil de certains sites qu’on pourrait qualifier de privacy by design. Ainsi, vous avez la possibilité de paramétrer, accepter ou refuser les cookies non fonctionnels.

Il faut aussi avoir la maitrise de la collecte que les partenaires viendront faire sur votre site et s’assurer qu’ils sont conformes à la législation sénégalaise sur les données personnelles. Ils doivent faire la mise en conformité de leur traitement en tant que sous-traitant par le canal de votre plateforme. Depuis 2019 la CDP exige que les sous-traitant soient en conformité avec les textes. Notez aussi que le bandeau qui annonce l’utilisation des cookies et donne la possibilité à l’usager de paramétrer est obligatoire aux yeux de la Commission des données personnelles.

Ces éléments de conformités doivent être intégrés dès le design du site, il faut alors consulter un juriste en la matière, ce dernier pourrait être très utile au designer, au développeur et au marketeur. Maitriser la chaine des collecteurs de données via les cookies tiers permet d’assurer une bonne mise en conformité et de fixer les responsabilités en cas de fuite de données.

Dans le domaine du marketing digital nous voyons souvent l’usage de cookies ou boutons de redirection vers Google Facebook Yahoo sur les plateformes des entreprises. Il s’agit des techniques pouvant aider les marketeur à mieux comprendre les visiteurs et orienter le ciblage ou proposer des solutions pour convertir en vente ou abonnement.

Le droit, n’interdit pas ces pratiques comme beaucoup le pensent mais il l’organise pour le respect des droits des personnes concernées. Il faut au moins qu’elles soient informées. En 2004, la CNIL avait condamné Microsoft à propos de l’utilisation du service « DidTheyReadIt ». C’est à votre insu que ce service permettait d’informer un expéditeur que vous avez ouvert le mail envoyé.

En Suède, L’Integritetsskyddsmyndigheten (IMY), l’agence suédoise de protection des données, l’équivalent de la CDP au Sénégal a sanctionné la banque Avanza Bank AB. Cette banque avait utilisé l’outil d’analyse Pixel Meta de Meta ex Facebook, pour optimiser sa stratégie marketing.

Du 15 novembre 2019 au 2 juin 2021 la banque faisait remonter vers Meta des informations confidentielles comme les numéros de sécurité sociale, les montants des prêts, les titres détenus et leur valeur, et les numéros de compte bancaire de ses clients.

Ainsi, l’autorité de protection a prononcé une amende administrative de 15 000 000 SEK (environ 1,3 millions d’euros) pour infractions aux articles 5.1(f) et 32.1 du RGPD. La banque a été jugée seule responsable de traitement en raison du fait que l’utilisation de l’outil fourni par Meta restait sous son contrôle et que c’est par sa faute que l’outil a été mal configuré.

Dans le cas ci-dessus, Il s’agit des principes gouvernant le traitement des données personnelles (licéité, collecte non frauduleuse…) et de l’obligation de sécurité article (34 et 71) de la loi de 2008 sur les données personnelles. Si vous êtes responsable marketing d’une banque ou d’une entreprise de fintech ou d’un secteur sensible, il faut bien vérifier les données que vous partagez avec les sous-traitants.

Ce qui a conduit l’autorité suédoise à prononcer une sanction pareille peut conduire la CDP à faire la même chose, sur la base des mêmes principes. Elle peut décider du retrait définitif ou temporaire de l’autorisation de traitement, elle peut aussi prononcer une amende pécuniaire d’un (1) million à cent (100) millions de F CFA.

--

--

EmmanuelDiokh

LAW MANAGER TMT (technologies-medias-telecoms) & IP/IT (intellectual property-information technology)