Chrome 80 : Des cookies conformes au RGPD
En ce février 2020, Google Chrome met à jour sa version pour passer à Chrome 80 et n’autorisera plus les cookies tiers à être envoyés entre les sites par défaut, sauf si le cookie est signalé à l’aide de la norme “SameSite” et sécurisé via HTTPS.
Cette nouvelle version du navigateur web est désormais disponible pour tous les systèmes d’exploitation de bureau pris en charge - Windows, Linux, Mac - ainsi que les systèmes d'exploitation mobiles.
Cependant, cette démarche qui a commencé en février, s’étalera sur une durée de 2 ans, ce qui impactera certaines entreprises.
Malgré la fin du cookie annoncée, il reste du temps pour l’utiliser, d’où l’importance de prendre en compte le RGPD dans son utilisation.
Quel est l’impact du RGPD sur les cookies ? Quels changements vous devez entreprendre avant cette mise à jour pour être aux normes ? On vous dit tout dans cet article !
Une brève explication des cookies
Avant de débuter, parlons brièvement des cookies.
Les cookies sont une ressource très précieuse d’informations que les entreprises exploitent, et qui permettent d’identifier les internautes et leurs comportements afin d’établir des stratégies marketing plus pertinentes.
Ce sont des informations (un fichier texte plus exactement) déposées sur votre navigateur et qui retracent votre interaction avec certains services ou sites, et chaque cookie est associé à un domaine.
Lors de votre navigation, ces derniers se déplacent d’un site à un autre, ce mouvement peut être classé comme un mouvement entre des sites propriétaires et des sites tiers.
C’est ici que la loi RGPD intervient en protégeant les données personnelles des individus et leur vie privée.
L’impact du RGPD sur les cookies
Le RGPD suit 3 objectifs, renforcer le droit des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation. Depuis l’entrée en vigueur de cette réglementation, il est obligatoire pour les organismes de se montrer transparents sur toutes les actions concernant le traitement des données, et d’obtenir le consentement des visiteurs.
La notion de transparence est primordiale quant à l’usage de ces cookies, afin d’instaurer un climat de confiance entre l’entreprise et ses consommateurs.
L’information doit être visible, complète et compréhensible pour tous les utilisateurs, et cela afin de connaître la raison de la collecte de data et d’en comprendre l’utilisation.
Obtenir le consentement des visiteurs
Chaque utilisateur doit pouvoir être capable d’accepter ou de refuser le dépôt des cookies, sans que son choix puisse avoir des conséquences négatives sur la prestation proposée.
Les cookies soumis au RGPD sont généralement ceux enregistrant votre comportement et sont de puissants instruments de marketing, et ne proviennent généralement pas du même site que vous visitez, mais de sites tiers.
Que sont les sites tiers ?
Les sites tiers sont ceux où la valeur de la barre d'adresse ne correspond pas au domaine associé au cookie. Bien que l'envoi de cookies à des sites non liés puisse sembler étrange, c'est assez courant; en particulier dans les widgets tiers, la publicité et le partage de contenu. Il est également courant que des acteurs malveillants en profitent via des attaques de contrefaçon de requêtes inter-sites, exploitant les victimes via des cookies pour exécuter des actions indésirables telles que des transferts de fonds ou la modification d'une adresse e-mail.
SameSite Lax, None ?
C’est là que l’attribue SameSite fait son apparition, c’est une clé valeur que les développeurs peuvent ajouter aux cookies que leurs sites créent. Celle-ci vous permet d'indiquer votre utilisation prévue des cookies. Avec 3 options configurables : Strict, Lax et None.
Strict: définit l'attribut de cookie SameSite sur des limites strictes en termes de destination du cookie. Plus précisément, il limite les sites au seuls sites que vous visitez actuellement. C'est très bien lorsque vous avez des pages qui exécutent des fonctions telles que la réinitialisation de mot de passe ou d'autres fonctions de service protégées.
Lax: la définition de l'attribut SameSite sur Lax permet aux cookies d'accéder aux sites propriétaires et tiers à l'aide de méthodes HTTP sécurisées. Cela signifie que si vous étiez sur une page (par exemple, site1) et qu'un cookie a été créé pour vous, vous cliquez sur une autre page (par exemple, site2) qui vous ramène au site 1, puis des cookies sont envoyés. Ceci est idéal dans les situations où vous devez simplement afficher du contenu tel que des flux publicitaires.
Bien que Strict et Lax puissent couvrir la plupart des cas d'utilisation, ils ne couvrent pas tous les scénarios. SameSite None vous permet d'indiquer que si un cookie n'est pas du même site, il doit être inter-site, mais uniquement lors de l'utilisation de l'option sécurisée, par exemple HTTPS.
Quels changements apporter ?
Pour entrer dans l’ordre, nous vous recommandons d’activer la préférence de sécurité HTTPS, afin que le serveur puisse ajouter l'attribut Secure aux cookies et configurer le paramètre SameSite=None.
Tester ensuite l’impact du nouveau comportement de chrome sur votre site ou les cookies que vous gérez.
En testant vos cookies, déterminez la valeur SameSite la plus sécurisée qui fonctionne avec chaque cookie. Si un cookie est conçu pour être accédé uniquement dans un contexte interne, vous pouvez appliquer SameSite=Lax ou SameSite=Strict afin d'empêcher tout accès externe. En définissant explicitement SameSite=Lax, vous ne dépendez pas du comportement par défaut du navigateur.
Bien entendu, tous les cookies de sites tiers existants sur votre site doivent faire l’objet d’une analyse pour se conformer à cette nouvelle mise à jour.
Des questions sur Google Chrome 80, les cookies de suivi tiers et ce qu’il faut mettre à jour sur votre site ? Contactez-nous !