Les cookies

Le web n'est pas un espace privé. Grâce à des cookies, il est en effet possible de suivre l'activité des utilisateurs et utilisatrices sur un ou même plusieurs sites.

Les sites web suivent l'historique des utilisateurs et utilisatrices pour améliorer les services qu'ils proposent. Pour nous, qui utilisons et créons des logiciels, il est important de comprendre comment ces données sont tracées et dans quelle mesure nous pouvons contrôler ce suivi.

Un cookie HTTP est un petit morceau de texte qui permet à un site web de suivre vos informations à travers les différentes pages du site, pour ensuite personnaliser votre expérience d'utilisation. Si vous êtes déjà connecté à un site web, un cookie vous permet de le rester au fil des pages.

Intéressons-nous à la création des cookies. (Si le concept de protocole HTTP vous semble flou, c'est le moment idéal pour consulter nos articles HTTP & HTML.)

Prenons un exemple : un utilisateur se rend sur un site web pour la première fois, ou du moins, pour la première fois à partir d'un navigateur en particulier. Ce dernier envoie alors une requête HTTP au serveur qui héberge le site web.

Le serveur envoie une réponse HTTP, qui comprend la ligne Set-Cookie.

Le cookie contient un nom (sessionId) et une valeur (abc123), ainsi qu'une date d'expiration, date à laquelle le navigateur doit effacer ce cookie de sa mémoire.

Si le navigateur souhaite générer plusieurs cookies, il suffit d'ajouter davantage de lignes Set-Cookie à la réponse.

Le navigateur enregistre les informations fournies par le cookie, en les stockant sur le disque dur de l'utilisateur ou utilisatrice. De cette façon, les données resteront en mémoire même après le redémarrage du navigateur ou de l'ordinateur. C'est pourquoi ce type de cookie est appelé "cookie permanent".

Il existe également des "cookies de session" : des cookies qui n'ont pas de date d'expiration et qui sont automatiquement supprimés lorsqu'on ferme le navigateur.

Lorsque l'utilisateur ou l'utilisatrice surfe sur une autre page du site web, le navigateur accompagne chaque requête HTTP des cookies stockés.

Lorsque le serveur reçoit la requête HTTP, il examine les cookies et comprend que cette requête provient d'un utilisateur dont le nom (sessionId) lui est connu. Il peut ensuite chercher cet identifiant de session dans sa base de données et utiliser toutes les informations disponibles pour personnaliser la réponse.

Pour personnaliser une expérience grâce aux cookies, un site web dispose d'un éventail de possibilités. Un moteur de recherche peut les utiliser pour se souvenir du nombre de résultats que vous souhaitez voir s'afficher sur chaque page. Un site d'actualité peut les utiliser pour recommander des articles semblables à ceux que vous avez déjà lus. Toutes sortes de sites peuvent utiliser des cookies pour déterminer des données statistiques, comme le temps que vous avez passé sur une page ou les boutons sur lesquels vous avez cliqué.

Tout site qui requiert une connexion utilise un cookie pour vous permettre de rester connecté sur chaque page. Lorsque vous vous déconnectez de ce site, il désactive le cookie et ne le rétablit que lorsque vous vous connectez à nouveau.

🔍 Vous pouvez vous-même voir quels cookies sont envoyés d'un navigateur vers un site web en suivant les étapes expliquées ici : Tutoriel wikiHow.

Voici une capture d'écran montrant une partie des cookies utilisés par Khan Academy :

Les cookies qui commencent par "KA" permettent tous d'identifier l'utilisateur actuel, tandis que les cookies intitulés "_ga" sont utilisés par Google Analytics.

Il ne s'agit pas vraiment des cookies de mon compte ; vous ne devriez en effet jamais partager vos cookies puisque d'autres pourraient les utiliser pour pirater votre compte. En revanche, n'hésitez pas à partager tous vos cookies aux pépites de chocolat. 🍪

Chaque cookie stocké par un navigateur est associé à un domaine et à un chemin. Lorsque vous consultez un site web et que son serveur renvoie une réponse HTTP accompagnée d'un cookie, le navigateur associe ce cookie au domaine du serveur. C'est ce qu'on appelle un cookie interne.

Toutefois, un site web peut aussi contenir des ressources provenant d'autres domaines, comme une image, une iframe ou un script. Lorsque le navigateur demande ces ressources, les serveurs dont elles dépendent peuvent aussi envoyer des cookies avec leur réponse, et ces cookies seront désormais associés à leur domaine. C'est ce qu'on appelle des cookies tiers.

Une étude menée en 2016 a permis de découvrir qu'un site générait en moyenne 20 cookies tiers, et qu'un site d'actualité en générait en moyenne deux fois plus.

Mais que font-ils de tous ces cookies ? La plupart des cookies tiers sont utilisés à des fins publicitaires. Prenons l'exemple d'une utilisatrice qui visite un blog culinaire et consulte une recette pour des biscuits sans gluten. Ce blog comprend une publicité Facebook avec un cookie. L'utilisatrice se rend ensuite sur facebook.com et remarque une soudaine avalanche de publicités à propos de produits sans gluten. Il ne s'agit pas d'une coïncidence, cela vient des cookies !

Puisque les cookies tiers ont un but très différent des cookies internes et qu'ils portent davantage atteinte à la vie privée des utilisateurs et utilisatrices, les navigateurs offrent désormais la possibilité de les désactiver totalement. Vous pouvez le faire vous-même en suivant les étapes mentionnées ici : article CNIL.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Vous avez des questions à ce sujet ? Nous vous répondrons volontiers ! Posez simplement votre question dans l'espace ci-dessous !