Connexion
Abonnez-vous

[T@LC] On a regardé derrière les bandeaux RGPD… et on a eu très peur

1 529 cookies, on frôle l’indigestion !

[T@LC] On a regardé derrière les bandeaux RGPD… et on a eu très peur

Depuis maintenant plusieurs années, le paysage Internet a largement changé en Europe, suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD). Les internautes en ont régulièrement une conséquence directe sous leurs yeux avec les « bandeau RGPD ».

Le 22 janvier à 11h14

Ces bandeaux (qui peuvent prendre de nombreuses formes) servent à informer les utilisateurs et à recueillir leur consentement. La CNIL rappelle ici quelques règles, plus ou moins respectées, mais c’est une autre histoire : permettre à l’utilisateur de consentir par un acte positif clair, de faire un choix par finalité, d’exercer ses choix avec le même degré de simplicité (c’est-à-dire accepter ou refuser) et revenir sur sa décision à tout moment.

Vous cliquez sur « Tout accepter » sans trop réfléchir ?

Les bandeaux se sont tellement fondus dans le paysage qu’il n’est pas rare de cliquer sur « Tout accepter » ou « Tout refuser » si le bouton est facilement accessible et visible, puis continuer à naviguer comme si de rien n’était. Un peu comme lorsque l’on signe/accepte des conditions générales lors d’une inscription à un service, lors d’un achat, d’un paiement en plusieurs fois, etc. Cela ne devrait pas être le cas, mais c’est une réalité.

Mais savez-vous ce qui se cache derrière ces validations en apparence relativement anodines ? Si vous avez répondu des centaines de « partenaires » des sites pour des cookies et autres traceurs publicitaires, c’était la bonne réponse. Mais en quelle quantité et pour quelle durée ? Nous avons relevé quelques chiffres qui pourraient vous surprendre.

Record du jour : 1 529 « partenaires »

Nous n’allons pas dresser une liste de l’ensemble des sites, mais évoquer les grandes lignes avec quelques exemples.

Il reste 84% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (71)

votre avatar
Plus de sujets là-dessus! Que ça guide des signalements, que ça finisse par des plaintes, que ça fasse bouger les (sales) pratiques!
:inpactitude:
votre avatar
Cet article met bien en avant les dérives des différents sites et on voit bien que l'affichage systématique d'un bandeau n'y change pas grand chose et rend la navigation très pénible.

Sur PC passe encore, mais sur mobile c'est insupportable et très souvent il faut revenir en arrière et aller sur un autre site car le bandeau est mal foutu, le bouton "refuser" tout petit, quand ce n'est pas un paywall.

Parfois chercher une simple info sur les forums devient un calvaire, d'abord le cookiewall, ensuite une publicité en plein écran et quand on a réussi à se débarrasser de tout ça qu'on commence à lire le truc qui nous intéresse, BAM une popup d'inscription à une newsletter qui saute à la figure...

Bref Internet en 2025.
votre avatar
Il existe des extensions sur le navigateur web firefox (et sans doute les autres) pour refuser automatiquement les cookies sauf exceptions qu'on peut paramétrer.
votre avatar
je citerai notamment consent-o-matic
votre avatar
J’utilise actuellement I still dont care about cookies. Fonctionne t-elle plus efficacement?
Ça m’intéresse beaucoup
votre avatar
Je me suis toujours demandé avec les extensions qui suppriment les bandeaux RGPD (ou liste à ajouter sur un bloqueur), si ça valait refus vu qu'il n'y avait pas de consentement explicite.
votre avatar
Celle de consent-o-matic semble orientée "vie privée" et tu peux déjà définir dans l'extension les pans de fonctionnalités qui t'intéressent.
votre avatar
Je me suis toujours demandé avec les extensions qui suppriment les bandeaux RGPD (ou liste à ajouter sur un bloqueur), si ça valait refus vu qu'il n'y avait pas de consentement explicite.
En tous cas, du point de vu du RGPD, le consentement doit être explicite.
votre avatar
Même question ! J'utilise I don't care about cookies depuis des années, mais du coup je ne sais pas si ça "refuse" pour moi, ou si ça revient à ne pas répondre. Et quid dans ce cas ?
votre avatar
C'est pourtant facile d'avoir la réponse à ta question.

Comme le dit son nom, tu l'utilises pour dire que tu t'en fiches que l'on te traque avec des cookies, pas pour refuser que l'on que traque.

Ça accepte soit tous les cookies, soit les cookies nécessaires suivant ce qui est le plus facile pour l'extension. C'est comme si tu cliquais sur un des boutons "accepter" proposés.

Quelle drôle d'idée d'utiliser un outil depuis des années sans savoir ce qu'il fait !
votre avatar
En fait il tente en premier lieu de faire sauter la fenêtre ou de la masquer, donc on ne donne pas de réponse. C'est aussi ce qui fait qu'il faut ajouter de nombreux sites liste blanche, car cela peut créer des dysfonctionnement, ou amener au paywall.
(Enfin je pense !)
Je l'utilise pas mal en pro pour ne pas perdre de temps, avec cookie Autodelete juste derrière :roll:
votre avatar
j'utilise ghostery qui refuse les cookies et refuse les traceurs et bloque les pubs, et il est très efficace, parfois même un peu trop il lui arrive de bloquer des scripts considérés de pub qui sont nécessaire au fonctionnement du site, ou alors le script contient de la pub et du code nécessaire au fonctionnement du site ce qui du coup est assez malin de leur part car pour utiliser le site il faut autoriser ce fichier.
Et sur next vous mettez qui n'y a pas de traceur mais il y a celui de podlove.org depuis qu'il y a les podcasts.
votre avatar
tu as oublié le "identifiez vous avec google en un clic".
votre avatar
Pire que ça, par exemple sur iOS quand je fais une recherche google sous Safari, souvent j'ai une popup de google qui me propose de passer par l'app ou de rester sur safari. Franchement insupportable ça aussi...
votre avatar
Ah la popup d'authentification avec Google, quelle calamité ! Elle prend le focus, et on ne peut plus croller la page au clavier avant de l'avoir fermée.
votre avatar
Il faut ajouter
||accounts.google.com/gsi/iframe/select$subdocument
Dans ublock pour ne plus avoir cet ifram
votre avatar
Oh ! je ne connaissais pas. Je viens d'ajouter. Si ça marche, sois béni, toi, tes enfants, les enfants de tes enfants et les enfants des enfants de tes enfants !
votre avatar
Bref Internet en 2025.
J'avais vu ce GIF une fois adapté où chaque personne était "acceptez les cookies", "la newsletter", "installez notre appli", etc :D

Ça résume bien comment naviguer sur le Web de nos jour :D
votre avatar
Pour que certains comprennent, je complète le mot partenaires avec sexuel(le)s, ou passé un certain nombre, c’est une orgie de viols collectifs.
Il nous faudrait une bonne loi interdisant le profilage publicitaire et les algorithmes de recommandations. :8
votre avatar
A la lecture de l'article, j'aimerais une suite, qui indique finalement ce que cela impacte d'accepter ces cookies? C'est de la revente de données? Des pubs ciblées? Est-ce que toutes les infos qu'on donne sur un site peuvent être réutilisées et revendue du genre adresse et téléphone? Merci
votre avatar
Et vous ne parlez pas des sites qui même sur refuser tous les partenaires, gardent un énigmatique "intérêt légitime", et ce pour chaque partenaires...
votre avatar
Effectivement, c'est très courant (dont pour igen / macg) de laisser activé par défaut les "intérêts légitimes" lorsque l'on refuse les cookies, hormis en désactivant ça de façon spécifique, soit en bloc, soit avec obligation de la faire un par un.

Ça mérite un coup de lance flamme sur les personnes responsables (en général pas les dév) de cette horreur…
votre avatar
Bien vu.

Moi, ceux là, quand c'est trop difficile de s'opposer à l'intérêt légitime qui n'en est probablement pas un vrai, je passe mon tour et je vais ailleurs.
votre avatar
C'est un intérêt légitime.. pour le site 😈
votre avatar
De toute façon mon niveau de confiance dans le fait que tout refuser ait un quelconque effet est assez faible.
Les plus mauvais élèves ne doivent certainement pas se gêner pour inonder de cookies les navigateurs consentement ou pas.
votre avatar
Et la CNIL qui pense qu'il est encore temps de ne faire que de la pédagogie... :pleure:
votre avatar
Toi, tu cherches à nous énerver @aeris22 ? 😅
votre avatar
Et toi, tu cherches à énerver la CNIL ? :D
votre avatar
Ne suffit-il pas de supprimer les cookies pour obtenir de nouveau le bandeau de consentement ?
votre avatar
Le pire pour les paywall, c'est que si tu acceptes tu arrives souvent sur un article... inaccessible si tu n'es pas abonné 🤪

Si on paye les 2€ pour ne pas accepter les cookies, comment savent-il que tu as déjà payé ensuite ?
Car sur certain navigateur, les cookies ne restent pas longtemps.

J'aimerai trop avoir le système d'une sort de liste blanche :
- cookie du site : possibilité de choisir d'accepter ou de refuser par défaut (afin de pouvoir rester authentifié)
- cookie tier : refus par défaut si absent de la liste
votre avatar
C’est possible via l’extension CookieBro sur Firefox, je l’avais utilisé un moment, mais j’ai lu que même en faisant ça, ils te créé un profil publicitaire justement parce que tu n’accepte pas ces cookies.
votre avatar
mais j’ai lu que même en faisant ça, ils te créé un profil publicitaire justement parce que tu n’accepte pas ces cookies.
Et est-ce que ce que tu as lu est vrai ? Où l'a lu ? As-tu un lien ?

Parce que ça serait en ce serait contraire au RGPD dans lequel le mot cookie(s) apparaît une seule fois pour expliquer "témoins de connexion", ce dernier terme n'étant lui-aussi présent qu'une seule fois dans le considérant (30), donc pas dans la partie réglementaire du texte. En clair, le RGPD réglemente les traitements de données personnelles quelle que soit la façon d'identifier une personne, les cookies n'étant qu'une possibilité.

Donc si la pratique que tu décris est vraie et connue, les CNIL des différents pays s'y seraient attaquées.
votre avatar
arkenfox indique qu'utiliser des extensions pour effacer les cookies est une mauvaise idée dans le sens où ça donne un faux sentiment de confidentialité : github.com GitHub
votre avatar
Dit comme cela et en lisant ce qu'il dit lui-même je suis d'accord. Mais ce n'est pas ce que tu disais dans ton premier commentaire.
Remarque : il parle entre autre d'IP tracking et ce qu'il dit est vrai dans l'absolu, mais c'est interdit par le RGPD sans consentement ou une des 5 autres raisons valables donc on ne devrait pas y être confronté dans l'UE. Attention quand même certains prétendront (à tort) qu'il font ça dans leur intérêt légitime.
votre avatar
en effet c'est confusion que j'ai faite au regards de ce que j'ai pu lire concernant les scripts de tracking avancés vis à vis des scripts de tracking naifs évoqué ici github.com GitHub qui sont plus en raccord avec l'empreinte des calculs de canvas et les mesures d'aléatoire qui peuvent être employées pour les mitiger
votre avatar
Pour aider sur le site d'une association, le bandeau des cookies était activé. Aucune raison, mais les fournisseurs/créateurs de sites ont intégrés que cela était obligatoire mais sans lister les partenaires fournissant les cookies.

En clair, pas intégré l'esprit du texte.
votre avatar
Seulement 1529 ? Petits joueurs ... J'ai déjà eu un compte dépassant les 3000 ...
votre avatar
Tu te souviens où ?
votre avatar
Des cookies valables pendant… 15 ans !

Sur la capture d'écran de l'AFP il y a un joli 6120 jours de durée de vie pour youtube.com, soit la bagatelle de 17 ans.

Record battu ? :D
votre avatar
Pour moi qui refuse systématiquement les cookies, sauf dans certains cas très précis et maitrisés, je confirme que la navigation web est devenue catastrophique. À vue de nez, la moitié des sites webs qui dysfonctionnent (en dehors de toute mécanique de connexion), certains me refusent même l'accès car soit je tombe dans une boucle (site A me redirige vers site B qui me redirige vers site A), soit carrément me considèrent comme un bot.
votre avatar
ceux qui me considèrent comme un bot utilisent captcha-delivery[.]com
votre avatar
J'avais déjà faite cette démarche par curiosité à mon niveau.
Le palier suivant, que je n'ai pas passé, et de savoir comment ces partenaires s'insèrent auprès des sites (marchants pu non) et génèrent leurs profits.
Comment la multiplicité avec des centaines d'organismes peut elle être admise par un site de presse et générer du revenu mutuel en accords avec les principes affichés du RGPD.
Quid de la gestion de ces listes de partenaires avec l'administrateur du site?

Car théoriquement en cas de consentement à révoquer on devrait aller vers chacuns d'eux pour demander effacement et/ou rectifications des données.

Plus en sus la question du profilage qui ne se termine absolument pas une fois le cache à cookie vidé côté navigateur...
votre avatar
Mes enfants n'ont pas accès à mon téléphone, mais un jour, je les vois en train de voir des photos de chatons...
Ils venaient d'activer la fonction "carrousel" sur un téléphone Xiaomi.
Un simple slider pour activer, sans avoir besoin de s'authentifier sur le téléphone... Et une galère sans nom pour désactiver tout ce que cette "saloperie" avait activé.
Entre l'envoi des données gps aux partenaires, l'activation de "fonctions" additionnelles, la désactivation s'est avéré être un vrai chemin de croix.
En gros, il fallait aller dans les paramètres, désactiver une 20ne d'options, puis dans une de ces fonctions, dans les options il y avait un lien, là j'arrivais sur un site (toujours en restant dans la partie paramètres d'Android...) il fallait scroller tout en bas, il y avait un autre lien, là tu voyais que tu avais autorisé une quantité phénoménale de partenaires, les désactiver un à un, cliquer encore sur un lien
et désactiver l'application...
votre avatar
Xiaomi niveau surcouche c'est imbuvable! Un Chopper un Google pixel voire même installer lineage OS dessus c'est le bonheur pour maîtriser tout cela. Zéro surcouche et on n'installe que le minimum.
votre avatar
Une sauvegarde et un reset usine n'aurait pas été + rapide et + simple??
votre avatar
Pas vraiment vu que l'application aurait toujours été activable par la suite. Là elle ne l'est plus ;)
votre avatar
Pour les Paywall, je passe FF en mode incognito, si vraiment je veux lire la page. Puis ferme le tout.
Bonus pour actu.fr: derrière le paywall, quand on l'accepte, il y a un autre bandeau d'acceptation de cookie et je ne sais quoi qui se cache derrière :bocul: (celui-là, il est refusable sans paiement)
votre avatar
Idem, le mode discret est bien utile dans ce cas.
Il ne faut pas oublier non plus que lorsque l'on refuse les cookies tiers, à chaque "nouvelle" visite, on se retape le bandeau...
votre avatar
Il n'y a que moi qui acceptent systématiquement tous les cookies ? Je me dis que l'internet gratuit n'existe pas et que les sites doivent bien se payer. En acceptant les cookies, ça permet aux sites d'afficher des publicités mieux rémunérés. Ou je vis dans le monde des Bisounours ?
Mais j'ai quand même un bloqueur de pub parce que la navigation est quand même pénible dans beaucoup de sites. Donc finalement, ça ne sert peut-être à rien d'accepter les cookies ?!?
votre avatar
Le problème, c'est la gestion de la valeur que tu maîtrises pas.
* Autoriser les cookies pour afficher une publicité à côté de ton contenu sur un site que tu fréquentes régulièrement
* Autoriser 25 cookies tiers pour afficher une page, une fois
* Autoriser 1529 partenaires avec des cookies valables 15 ans pour afficher un article de journal verrouillé derrière un paywall

Au final, tu trouves normal de valider dans les 3 scénarios ?
votre avatar
C'est vrai que 1500 cookies, c'est abusé. Mais finalement quel est le bon nombre, 10 ? 100 (ça me paraît déjà beaucoup et tous les sites gratuits atteignent ce nombre) et 1000 ? J'imagine que plus il y en a, moins c'est "vendu" cher à l'unité
votre avatar
C'est bien ce que je dis. Hélas, personne ne peut évaluer au moment de valide, ou pas, si c'est raisonnable ou non.

Alors du coup, on peut juste miser sur la confiance. Autant dire que c'est plus sain de faire "Continuer sans accepter" :8

Perso je préfère faire ça qu'avoir un adblocker, car j'estime que l'éditeur du site a une solution pour se financer.
votre avatar
Un petit mot sur les cookies banner où «  intérêt légitime » est coché par défaut et il faut plusieurs clics pour désactiver ? 🤬
votre avatar
Vous en pensez quoi, de la protection renforcée contre le pistage ?
Est-ce que ça diminue le nombre de cookies correctement, ou généralement pas assez efficace ?
votre avatar
J'ai beaucoup aimé la modification subtile de vos confrères de Clubic, qui font désormais apparaître le "Continuer sans accepter" après quelques secondes. :cbon:
votre avatar
L'obligation du RGPD est-elle pour le traçage ou spécifiquement les cookies? J'ai vu il y a deux jours, mais je ne me rappelle plus où, un bandeau qui disait explicitement qu'ils utilisaient des systèmes de traçage améliorés avec l'accord de mon FAI (empreinte numérique??)

Quand je vais sur Google News en navigation normale et que je clique sur un lien en l'ouvrant en navigation privée de Mozilla, je suis très souvent mais pas toujours contraint de prouver ensuite que je ne suis pas un robot, avec une escalade de la difficulté (normalement je demande ensuite à Google de ne pas me tracer et j'accepte le "cookie wall" tout en me disant que ce n'est pas une bonne pratique, car le lien lui-même permet sans doute mon traçage). Si j'ouvre Google news en navigation privée, plus de test inversé de Turing mais la proposition d'article est alors plus restreinte.

Et comme le dit plus haut @ecatomb on risque d'arriver à un paywall après avoir passé le cookies wall. Ceci devrait être interdit puisque en acceptant les cookies, j'ai payé !
votre avatar
Le RGPD parle de traitement de données personnelles quel que soit le moyen. Donc, Cookies ou autre système, les règles sont les mêmes.

Sur l'accord de ton FAI, je ne comprends pas bien : c'est à toi et pas au FAI d'accepter le traitement s'ils s'appuient sur le consentement comme raison légale du traitement (il y a 6 raisons possibles dans le RGPD).
En l'absence d'autres informations de ta part, difficile d'en dire plus.
votre avatar
Ça s'appelle Utiq.
Opt in caché au milieu des consentements.
Opt out général possible mais valable qu'un an.
https://consenthub.utiq.com/
votre avatar
Merci pour l'info. Et dommage que Next n'en ait pas encore parlé ici.

Si je comprends bien, il faut avoir accepté le traitement chez leurs clients et chez l'opérateur. Ils s'appuient donc sur le consentement. L'opérateur ne permet que de récupérer un identifiant de l'utilisateur qui sert ensuite au traçage. Ils mettent en avant l'anonymat, mais celui-ci existe tout autant avec un autre moyen de traçage. C'est autant intrusif à mon avis.

Si la rédaction pouvait creuser le sujet, ça serait bien.
votre avatar
Non, consentement sur le site uniquement.
A un moment, il y avait la notion de double consentement, une seconde popup devait s'ouvrir après celle des cookies, pour bien séparer les 2. On dirait que ce principe n'est plus appliqué (Numérama a mélangé Utiq au milieu des autres cookies).
https://www.usine-digitale.fr/article/publicite-les-defis-qui-attendent-utiq-l-adtech-des-operateurs-telecoms.N2144497

Quand j'ai fait l'optout, c'était sans limitation de durée, maintenant, il y a une limitation de durée.
On dirait bien qu'il y a volonté d'"enshitification" du process.
votre avatar
Mais que fait la CNIL ?

Spoiler alert : rien.
votre avatar
Un exemple "amusant" : le site canal +, refuser les cookies fait que cela affiche un écran noir !
Après les cookies maintenant ce n'est que moyennement un soucis, entre l'isolation effectuée par Firefox et le paramétrage qu'ils sont effacés à la fermeture, le niveau de traçage par ce biais est limité.
votre avatar
Non car tes patern de navigation sont tracé par les cookies durant ton interaction avec le web durant ta sessions. Le tracking se fait inter-sites
, tes mouvements de souris temps de réaction taille de dalle d'écran réolution infos matérielles etc etc ....
De ce point de vue seul le mode fenestré sur Tor peut te masquer ou surtout obsfusquer un peu plus ton suivit
votre avatar
On peut s'appuyer sur ces informations pour relativement identifier un internaute : https://amiunique.org/fr/fingerprint
votre avatar
Ce que me fait haluciner, c'est lorqu'on fait le choix de tout refuse mais qu'on regarde la listes de partenaires il se trouvent que bcp sont encore valide avec l'entrée "essentiels), mais le plus drôle c'est que c'est desactivable.
Donc alors ça confirme bien que ce n''atait des éléments indispensable.
votre avatar
1 529 cookies, on frôle l’indigestion !
C'est une réimplémentation de cookie clicker en fait :francais:
votre avatar
le truc le plus insupportable dans la presse :
- etape 1 : acceptez les cookies ou abonnez-vous pour lire cet article
- etape 2 : clic sur "accepter"
- etape 3 : après 6 lignes d'article : "cet article est réservé aux abonnés"
votre avatar
C'est courant ?

Je n'accepte jamais les cookies une arme sur la tempe, je vais ailleurs.
votre avatar
Bonjour !
Merci beaucoup pour cet état des lieux !

@SébastienGavois Moi, la question dont j'aurais voulu avoir la réponse est la suivante : est-ce que le bouton "Tout refuser" est respecté, c'est-à-dire est-ce que les sites ne déposent effectivement pas de cookie quand il est cliqué ?
votre avatar
C'est facile à contrôler en allant voir les cookies déposés par le site. À part des cookies techniques, il ne doit pas y en avoir.

[T@LC] On a regardé derrière les bandeaux RGPD… et on a eu très peur

  • Vous cliquez sur « Tout accepter » sans trop réfléchir ?

  • Record du jour : 1 529 « partenaires »

  • Entre 100 et 300 cookies en général

  • Des cookies valables pendant… 15 ans !

  • Tout accepter en gros, tout refuser en plus petit

  • Refuser les cookies contre quelques euros

  • « 1 partenaires » chez Meetic : le « s » est bon, pas le chiffre « 1 »

  • Modifier son consentement n’est pas toujours simple

Fermer