Cookies internet : comment le Règlement général sur la protection des données (RGPD) est détourné par « l’intérêt légitime » ?

Lorsque vous surfez sur internet, les sites consultés demandent votre consentement pour que vos données personnelles soient enregistrées et réutilisées à des fins de marketing. Il s’agit d’accepter ou pas des « cookies ». Les cookies sont des programmes qui enregistrent vos données sur votre ordinateur afin de faciliter votre prochain passage. Mais ces données se revendent très bien à des entreprises de marketing ou de publicité… 

Pour de nombreux internautes, le réflexe est d’accepter afin de passer cette formalité et d’aller au plus vite au fond du sujet. Il faut savoir que vos données peuvent être transmises à des centaines d’organismes dans le monde entier : adresse et type de votre ordinateur, email, produit ou service recherché, transaction effectuée, etc. Si vous acceptez systématiquement, ne vous étonnez pas de recevoir plus tard des spams ou des notifications publicitaires !

En général, les sites vous proposent trois options :

Souvent, le refus des cookies est bien caché, sous la forme d’un bouton à peine visible ou d’une petite ligne « Continuer sans accepter » qu’il faut chercher. Le RGPD (Règlement Général sur la Protection des Données) impose la présence visible d’un moyen de refus et que les cases de consentement soient décochées par défaut.

Certains sites, ce n’est pas illégal, acceptent le refus, à condition que vous vous abonniez ou que vous payiez (avec un abonnement ou un paiement). Il s’agit souvent des sites de presse, par exemple les journaux d’annonce de programmes de télévision. 

Vous pouvez en chercher d’autres, gratuits, ils existent.

D’autres sites n’offrent que 2 options : 

Ces sites ne sont pas conformes au RGPD. 

La gestion des préférences devrait en principe vous permettre d’accepter ou de refuser. Mais beaucoup de sites contournent le RGPD en proposant une liste interminable d’options. Si le refus du consentement est bien décoché, il vous est aussi proposé d’accepter par défaut de nombreux cookies en raison de « l’intérêt légitime ». Un exemple tiré d’un site de travaux de plomberie :

Si vous affichez les détails, une explication vous est donnée … qui n’explique rien.

Dans ce cas, le refus de tous les cookies de marketing nécessite de parcourir toutes les options et de décocher tous les « intérêts légitimes ». 

Lorsqu’il s’agit de sites commerciaux, notre recommandation est de fuir ces sites, de passer à un autre conforme au RGPD et ainsi ne pas encourager ces détournements.

Mais qu’est-ce que l’intérêt légitime ?

La définition, affichée sur le site de la Commission Nationale Informatique et Libertés, est la suivante :

Pour fonder un traitement sur ses intérêts légitimes, l’organisme traitant les données doit respecter certaines exigences. Il doit opérer une pondération entre son intérêt et les « intérêts ou libertés et droits fondamentaux des personnes » et doit également intégrer les « attentes raisonnables » de ces personnes. Cette « mise en balance » des droits et intérêts en cause doit être réalisée pour chaque traitement fondé sur l’intérêt légitime, au regard des conditions concrètes de sa mise en œuvre.

En d’autres termes, est-ce que le traitement ne peut être fait autrement qu’en collectant vos données ? Pour un site bancaire ou d’assurance, une mutuelle, peut-être, mais pour les sites commerciaux ordinaires dont les exemples de cet article sont tirés, on peut en douter.