Bannières omniprésentes, consentements expédiés en un clic, traçage généralisé : l’expérience quotidienne du Web ressemble de plus en plus à un parcours d’obstacles. Trente ans après leur apparition, les cookies ressemblent moins à une commodité technique qu’à une dette d’architecture qui a laissé la vie privée hors champ.
Selon la CNIL, près de six internautes français sur dix acceptent encore les cookies sans lire les options proposées. Cependant, cette technologie, qui a près de trente ans, n’a jamais été conçue pour gérer la protection des données personnelles. Les interrogations que les cookies suscitent aujourd’hui disent beaucoup des limites d’une architecture web qui n’avait pas anticipé les besoins à venir en matière de protection.
Une innovation pragmatique devenue un standard de fait
Au milieu des années 1990, le Web connaît une expansion rapide avec l’arrivée des internautes grand public. Le protocole HTTP, conçu initialement pour consulter des documents, ne prévoit aucun mécanisme permettant de reconnaître un utilisateur au cours d’une visite, et d’une visite à l’autre. Les cookies apparaissent pour répondre à ce besoin simple en enregistrant une petite information dans le navigateur du visiteur afin que le serveur puisse le reconnaître.
Cette technologie des cookies se diffuse très vite, sans processus préalable de standardisation approfondi. Introduits directement par Netscape dans son navigateur en 1994, ils sont adoptés massivement avant d’être analysés et spécifiés par les organisations de standardisation de l’Internet. Lorsque celles-ci les examinent, les risques pour la vie privée sont constatés mais la technologie est déjà partout.
Le cœur du problème : les cookies tiers et le suivi multi-sites
Une page web n’est presque jamais délivrée par un seul serveur. Elle rassemble des ressources provenant de multiples infrastructures appartenant à des acteurs différents. Aujourd’hui la quasi-totalité des sites web font appel à au moins un serveur tiers et les sites les plus visités en sollicitent plusieurs dizaines simultanément. C’est ce fonctionnement qui a permis la prolifération des cookies « tiers » : déposés par des serveurs autres que celui du site visité, ils permettent de suivre un utilisateur d’un site à l’autre. Ce mécanisme est devenu l’un des fondements techniques du ciblage publicitaire en ligne, au cœur d’un marché mondial représentant aujourd’hui plusieurs centaines de milliards de dollars.
Les autorités ont tenté d’encadrer cette situation. En Europe, le RGPD impose aux sites d’informer les utilisateurs et de recueillir leur consentement. Mais ces mécanismes juridiques interviennent après coup. La CNIL elle-même a documenté le phénomène : malgré une prise de conscience sur les cookies par les internautes, le taux d’acceptation reste élevé, à 59 % selon son bilan publié en 2023. Les bannières de consentement reposent sur l’idée que l’utilisateur peut comprendre et maîtriser des interactions techniques complexes et prenne le temps de faire des vérifications fastidieuses, une hypothèse que la réalité des usages infirme chaque jour.
En 2019, Google annonce la suppression des cookies tiers de Chrome d’ici 2022. Après plusieurs reports successifs et le rejet des alternatives proposées, l’entreprise renonce finalement en 2024 sous la pression de l’industrie publicitaire et des revenus liés. Cet épisode illustre la difficulté de réformer par des correctifs ce qui relève d’une décision inhérente à l’architecture.
Repenser l’architecture plutôt que corriger ses effets
Le débat sur les cookies révèle une question plus profonde : peut-on corriger durablement les effets d’un modèle d’architecture sans en repenser les fondements ? Le Web place l’utilisateur face à une multiplicité de fonctionnalités dont il ignore souvent l’existence, sans lui offrir de prise réelle sur les enjeux qui le concernent.
Trois ruptures mériteraient d’être considérées. D’abord, réduire la complexité côté utilisateur en dialoguant avec un seul serveur pour chaque site, rendant l’éditeur seul responsable de la protection des données. Ensuite, d’une visite à l’autre, donner à l’utilisateur le choix d’être reconnu (ou non) site par site, plutôt que lui imposer des mécanismes par défaut difficilement accessibles. Enfin, lorsque plusieurs sites appartiennent à un même ensemble, rendre ce regroupement clairement identifiable et confier la responsabilité de la protection des données à un acteur unique.
Les cookies ont joué un rôle utile dans l’histoire du Web et continuent de rendre possibles certaines fonctionnalités essentielles, notamment les sessions temporaires. Mais leur dérive vers des mécanismes persistants et tiers a transformé une solution pragmatique en un enjeu majeur de gouvernance numérique. Plutôt que de multiplier les correctifs juridiques dans l’usage du Web, le vrai enjeu serait d’inventer un nouveau médium complémentaire intégrant dès sa conception les exigences contemporaines de transparence, de sécurité et de respect de la vie privée.
____________________________
Par Alexis Tamas, cocréateur de Frogans et président de F2R2
____________________________
puis