Cookie
Un cookie est un petit fichier texte stocké sur le terminal de l'utilisateur (ordinateur, téléphone ou tablette) par un site web, puis renvoyé automatiquement lors de visites ultérieures sur le même domaine.
Définition simple : que signifie le mot cookie ?
Un cookie est un petit fichier texte stocké sur le terminal de l'utilisateur (ordinateur, téléphone ou tablette) par un site web, puis renvoyé automatiquement lors de visites ultérieures sur le même domaine. Ce mécanisme technique permet au site de mémoriser certaines informations liées à la navigation : choix de langue, contenu d'un panier d'achat, identifiant de session ou préférences d'affichage.
Définition technique du cookie HTTP
D'un point de vue technique, un cookie HTTP est un fichier texte de petite taille, identifié par un nom, qu'un serveur transmet au navigateur via un en-tête Set-Cookie lors d'une requête HTTP. Le navigateur conserve ce cookie pendant une certaine durée et le renvoie automatiquement au domaine concerné lors de contacts ultérieurs, ce qui permet au site de reconnaître un contexte antérieur ou de retrouver une information déjà enregistrée.
Les types de cookies sur internet
Il faut distinguer les "cookies internes" et les "cookies tiers". Les cookies "internes" sont déposés par le site que l'internaute visite directement ; les cookies "tiers" sont déposés par un domaine différent, généralement appelé par le site consulté, souvent pour des fonctions de mesure, de publicité, d'intégration de contenus ou de suivi.
Le mot « cookie » est aussi souvent utilisé comme raccourci pour désigner l'ensemble des traceurs. Or, juridiquement et techniquement, cette catégorie est plus large : elle inclut aussi, par exemple, les "pixels espions", certains identifiants générés par les systèmes, ou encore des techniques de "fingerprinting" permettant de reconnaître un terminal.
Cookie de session et cookie persistant
La distinction entre cookie de session et cookie persistant repose sur la présence d'une "date d'expiration". Un cookie de session ne contient pas de date d'expiration : il est stocké en mémoire et supprimé automatiquement à la fermeture du navigateur. À l'inverse, un cookie persistant comporte une date d'expiration définie par le serveur ; il est conservé sur le disque du terminal jusqu'à cette échéance, ce qui lui permet de survivre à plusieurs sessions de navigation.
Les cookies de session sont typiquement utilisés pour maintenir une connexion active ou mémoriser un panier d'achat temporaire. Les cookies persistants servent à conserver des préférences utilisateur ou à suivre la navigation sur une période plus longue. Il existe aussi des "cookies zombies", cas particuliers de cookies persistants qui se reconstituent automatiquement après suppression.
Enjeux et cadre juridique : le rôle de la CNIL
Protection des données et consentement
Le principal enjeu de l'utilisation des cookies est celui du suivi de la navigation et de la protection des données personnelles des utilisateurs. Certains cookies sont purement techniques et permettent le bon fonctionnement d'une page web, tandis que d'autres servent à mesurer l'audience, personnaliser l'expérience ou cibler l'utilisateur à des fins publicitaires.
En droit français, l'usage des cookies est principalement encadré par l'article 82 de la loi Informatique et Libertés, qui transpose la directive ePrivacy. Ce cadre juridique s'inscrit également dans le règlement général sur la protection des données (RGPD), applicable dans l'Union européenne depuis 2018. Le principe est le suivant : l'utilisateur doit être informé et, pour certains traceurs, donner son consentement avant le dépôt ou la lecture du cookie sur son terminal.
Pour les sites publics des collectivités, ces obligations s'imposent avec la même rigueur que pour les acteurs privés. La CNIL rappelle régulièrement aux organismes publics la nécessité d'auditer leurs sites web et applications mobiles pour garantir la conformité de leurs pratiques.
Cookies sécurisés et bonnes pratiques
Tous les cookies ne nécessitent pas un consentement. Les traceurs "strictement nécessaires" à la fourniture d'un service expressément demandé par l'utilisateur peuvent être dispensés de consentement préalable. À l'inverse, les cookies publicitaires ou certains traceurs de mesure d'audience non exemptés nécessitent un consentement libre, spécifique et éclairé.
Au-delà du cadre légal, la configuration technique des cookies constitue un enjeu de sécurité pour les sites des collectivités. L' attribut Secure, par exemple, garantit que le cookie ne sera transmis que via une connexion sécurisée HTTPS, protégeant ainsi les données contre les interceptions. Les sites publics doivent également mettre en place un module de gestion des cookies accessible à tout moment, permettant aux citoyens de retirer leur consentement aussi facilement qu'ils l'ont donné.
Exemples et cas d'usage des cookies en informatique
Cookies dans les services publics en ligne
Les portails de démarches administratives utilisent des cookies techniques pour garantir le bon fonctionnement de leurs applications web. Par exemple, service-public.fr s'appuie sur des cookies de session pour maintenir la connexion d'un usager pendant qu'il remplit un formulaire ou consulte plusieurs pages sans avoir à se réauthentifier. Ces cookies de session permettent de mémoriser les identifiants de connexion temporaires et d'assurer la sécurité de la navigation.
Un site de collectivité territoriale peut également déposer des cookies pour mémoriser la langue d'affichage choisie par l'utilisateur ou conserver les préférences d'accessibilité.
Cookies et mesure d'audience des sites territoriaux
De nombreuses collectivités françaises utilisent des solutions de mesure d'audience exemptées de consentement, telles que Matomo Analytics. Configuré conformément aux recommandations de la CNIL, cet outil libre permet de mesurer la fréquentation d'un site, d'identifier les pages les plus consultées et d'améliorer l'ergonomie sans transférer de données à des tiers. Les développeurs web en charge de ces plateformes configurent Matomo pour anonymiser les adresses IP et limiter la finalité des traceurs à la seule mesure d'audience.
Les navigateurs des visiteurs acceptent ces cookies de mesure sans bandeau de consentement, dès lors que les données collectées restent sous le contrôle exclusif de l'éditeur du site et ne sont pas croisées avec d'autres traitements. Cette approche permet aux collectivités de piloter leurs services numériques tout en respectant la vie privée des usagers.
| Type de cookie | Finalité | Consentement requis | Exemple concret |
|---|---|---|---|
| Cookie de session | Maintenir la connexion pendant la navigation | Non | Identifiant temporaire sur service-public.fr |
| Cookie de mesure | Analyser l'audience et améliorer l'ergonomie | Non (si configuré selon CNIL) | Matomo sur un site de collectivité |
| Cookie publicitaire | Diffuser des annonces ciblées | Oui | Traceur tiers pour régie publicitaire |
| Cookie de personnalisation | Mémoriser préférences utilisateur | Selon finalité | Choix de langue ou thème d'affichage |
