Rechercher dans votre base documentaire juridique

Des sites Internet utilisent les données de navigation pour adresser des messages publicitaires ciblés aux internautes, est-ce une atteinte à la vie privée ?

Les cookies sont des informations déposées sur le disque dur d'un ordinateur par le serveur du site que l’internaute visite. Ils contiennent plusieurs données : le nom du serveur qui l’a déposé, un identifiant sous la forme de numéro unique et, en principe, une date d’expiration.

Ils permettent aux exploitants de sites Internet de conserver certaines données des utilisateurs afin de faciliter leur navigation (cookies de navigation) et de permettre certaines fonctionnalités. Par exemple, l’utilisation d’un cookie de navigation peut permettre à un site de conserver certaines informations dans le cadre du renseignement d’un formulaire. Ainsi, si l’internaute se déconnecte du site et souhaite remplir à nouveau ou terminer le formulaire, il n’aura pas besoin de renseigner les informations précédemment communiquées (les champs seront pré-remplis). De même, un cookie de navigation peut permettre à l’internaute de se connecter à son compte pendant un certain délai sans devoir renseigner son mot de passe à chaque connexion.

D’autres cookies vont permettre de suivre les habitudes de navigation des internautes (cookies de pistage). À partir de leurs habitudes, les cookies peuvent déduire leurs centres d’intérêts. Ainsi, les cookies vont permettre aux sociétés de personnaliser la publicité que l’internaute va voir apparaître en fonction des actions effectuées sur le site visité mais aussi sur d’autres sites ayant recours à la même régie publicitaire.

Concernant la protection de la vie privée, une réglementation est venue encadrer l’utilisation des cookies.

Ainsi, une première Directive 2002/58 en date du 12 juillet 2002 relative à la vie privée et aux communications électroniques a exigé que le stockage des données dans l'ordinateur de l'utilisateur puisse seulement être fait à deux conditions : si l’utilisateur est informé de la façon dont les données sont utilisées et s’il est donné à l’utilisateur la possibilité de refuser cette opération de stockage.

Une nouvelle Directive 2009/136/CE datée du 25 novembre 2009 indique que le « stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement ». Cette obligation de recueil du consentement s’impose notamment : aux éditeurs de sites, de systèmes d’exploitation et d’applications, aux régies publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesure d’audience.

L’utilisation des cookies suppose donc le respect de deux conditions :

1. L’obligation d’une information préalable

L’information préalable à l’internaute et le recueil de son consentement peuvent se faire selon plusieurs formes : une zone de demande de consentement en surimpression, des cases à cocher lors de l'inscription à un service en ligne lui permettant d'accepter le dépôt de cookies par catégories de finalité, des boutons permettant d'activer les fonctionnalités d'un service déposant des cookies (par exemple, les plugins des réseaux sociaux).

Généralement, ils se font par le biais d’un bandeau figurant sur le site web visité, selon le modèle suivant, proposé par la CNIL :

« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs ] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [ Par exemple, réaliser des statistiques de visites]. Pour en savoir plus et paramétrer les traceurs. »

Tant que l’internaute ne s’est pas rendu sur une autre page du site ou n’a pas cliqué sur un élément du site, le bandeau ne doit pas disparaître.

Toutefois, le Règlement Général de Protection des données (dit « RGPD ») du 27 avril 2016, numéro 2016/679, ne mentionne qu’une fois le mot « cookies », à son considérant 30.

Il résulte de cette seule mention que lorsqu’un ou plusieurs cookies permettent d’identifier la personne ayant utilisé l’ordinateur, ces cookies sont considérés comme des données personnelles. Par conséquent, pour collecter ces cookies, les sites Internet doivent recueillir le consentement explicite de l’internaute.

Ainsi, s’agissant de ces cookies, le gestionnaire du site Internet ne peut donc plus se limiter au bandeau type indiqué supra, il doit recueillir une action positive de l’utilisateur du site internet comme cocher une case ou cliquer sur un bouton « J’accepte ».

Attention toutefois, ces exigences ne valent que pour les cookies qui permettent d’identifier la personne physique qui utilise un site Internet.

2. Le droit de refus

Les internautes doivent disposer de solutions leur permettant de refuser l’insertion de cookies. Les modalités permettant à l'usager d'exercer ses choix peuvent varier, il peut s'agir :
• d'un mécanisme de paramétrage des cookies directement disponible sur le site ou dans l'application,
• du renvoi vers les outils d'opposition au traçage proposés par les solutions de mesure d'audience, de publicité ou de réseaux sociaux,
• des paramètres du navigateur.

Il n’est pas possible de recueillir des informations relatives à l’internaute si ce dernier n’a pas consenti ou a décidé d’exercer son droit d’opposition.

À noter : le consentement à être suivi par des cookies est limité dans le temps (13 mois au maximum). À l’expiration du délai, le consentement doit être à nouveau recueilli. Par ailleurs, l'internaute a toujours la faculté de supprimer les cookies acceptés depuis son navigateur Internet (Internet explorer, chrome etc.).

La CNIL met à disposition des internautes un outil « CookieViz » permettant de visualiser en temps réel l’ampleur du phénomène des cookies ainsi que le nombre d’acteurs qui interviennent pour analyser leur navigation sur Internet.

Référence(s) juridique(s)

Directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
Directive 2009/136/CE du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques.
Règlement 2016/679/CE, du 27 avril 2016, dit Règlement Général de Protection des Données ou RGPD.

Textes de transposition :
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

LOI n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle (1)

LOI n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (1)

Décret n° 2005-862 du 26 juillet 2005 relatif aux conditions d'établissement et d'exploitation des réseaux et à la fourniture de services de communications électroniques

Publié par Wakam-PJ le - Dernière modification le 02/02/2026

Notre équipe s'efforce de mettre régulièrement à jour le contenu de chacune des fiches. Néanmoins, il est fortement conseillé de vous rapprocher d'un professionel du droit afin de valider la pertinence de votre action.

Vous ne trouvez pas la réponse à votre question ?

Appelez nos juristes au +33 01 86 76 73 13 Du lundi au samedi de 9h à 20h pour l'information juridique et du lundi au vendredi de 9h à 18h pour suivre un dossier (hors jours fériés). Prix d'un appel local. Pensez à vous munir de votre numéro de contrat avant votre appel.

Vous souhaitez signaler un problème sur cette fiche ?

Signaler un problème