🍪 Accepter les cookies : ce que tu signes vraiment
Ou comment tu donnes accès à ta vie privée 12 fois par jour sans le savoir.
Tu viens probablement de cliquer sur un bouton. Peut-être le vert, peut-être le gris. Peut-être même le petit lien quasi invisible en bas. Peu importe lequel — ce qui compte, c'est que tu as cliqué sans vraiment lire.
Pas de jugement. Tu fais ça des dizaines de fois par jour. Tout le monde le fait. C'est précisément pour ça que ces bannières existent sous cette forme : elles sont conçues pour que tu cliques vite et que tu passes à autre chose.
Sauf qu'ici, il n'y avait rien derrière. Pas un seul cookie tiers. Pas un seul tracker. Cette page ne sait pas d'où tu viens, ne sait pas où tu iras, et s'en fout complètement.
Sur les autres sites, c'est une autre histoire.
Ce qui se passe quand tu cliques « Accepter tout »
Sur un site classique — un média, un e-commerce, un site de recettes — voici ce qui se déclenche dans les instants qui suivent ton clic :
Un ou plusieurs cookies tiers sont écrits dans ton navigateur. Chacun contient un identifiant unique — ton numéro de dossier dans le système publicitaire mondial.
Des « pixels de tracking » — des requêtes invisibles de 1×1 pixel — sont envoyés vers Facebook, Google, TikTok, Criteo, et d'autres. Chacun enregistre : tu es là, maintenant, sur cette page.
Ton profil entre dans le système de Real-Time Bidding (RTB). En temps réel, une mise aux enchères se lance : des annonceurs font des offres pour te montrer une publicité. Pour enchérir, ils reçoivent des informations sur toi — ta localisation, ton historique, tes centres d'intérêt estimés.
Des data brokers — Acxiom, Oracle Data Cloud, Lotame, entre autres — croisent ton identifiant cookie avec leurs bases existantes. Ton clic d'aujourd'hui rejoint tes clics d'hier, de la semaine dernière, du mois dernier. Le profil s'épaissit.
L'enchère est gagnée. La publicité apparaît. Mais le vrai produit de cette transaction, ce n'est pas l'annonce — c'est toi. Ton attention, ton profil, ton comportement. Revendus au plus offrant en moins d'un quart de seconde.
Le cookie reste. À chaque site suivant qui utilise le même réseau publicitaire, ton profil est reconnu, mis à jour, revendu. Indéfiniment. Sauf si tu fais quelque chose.
Tout ça s'est passé avant que la page ait fini de charger. Tu n'as rien vu. C'était le but.
Le design qui décide à ta place
Regarde la bannière que tu viens de voir — remontre-la moi si tu veux la revoir avec ce que tu sais maintenant. Elle est conçue exactement comme les vraies. Et comme les vraies, elle utilise des dark patterns — des techniques de design dont le but explicite est de te pousser vers un choix précis.
Le bouton « Accepter » est toujours gros, vert, lumineux — il attire l'œil, il rassure, il dit « c'est le choix normal ». Le bouton « Refuser » est gris, petit, parfois souligné en 10px dans un coin. Et « Gérer mes préférences » ? Encore plus petit. Quasi invisible. Souvent derrière un deuxième écran de toggles incompréhensibles que personne n'a le courage de décortiquer.
Ce n'est pas un accident de design. C'est un choix économique. Chaque utilisateur qui clique « Accepter tout » vaut de l'argent — de la donnée monétisable. Chaque utilisateur qui refuse en vaut moins. Le design est donc optimisé pour maximiser les « Accepter », pas pour informer.
Et le plus pervers : même le texte de la bannière est conçu pour ne rien dire. « Nous utilisons des cookies pour améliorer votre expérience. » Ah bon ? L'expérience de qui ? La tienne, ou celle de l'annonceur qui te revendra demain ? « Technologies similaires » — ça veut dire fingerprinting, local storage, pixels de tracking. Mais pourquoi écrire ça clairement quand un flou juridique fait aussi bien le travail ?
Les data brokers : ceux que tu ne vois jamais
Le cookie, c'est la porte d'entrée. Le vrai business se passe derrière, dans un monde que la plupart des gens ne soupçonnent même pas : celui des data brokers.
Un data broker est une entreprise dont le métier est de collecter, agréger, croiser et revendre des données personnelles. Pas les tiennes en particulier — celles de tout le monde. Des centaines de millions de profils, enrichis en continu par des milliers de sources : cookies, applications mobiles, cartes de fidélité, données publiques, achats en ligne.
Des noms ? Acxiom (maintenant Liveramp) possède des profils sur plus de 2,5 milliards de consommateurs dans le monde. Oracle Data Cloud, l'un des plus grands brokers au monde, a fermé sa division publicitaire en 2024 sous pression réglementaire (règlement de 115M$ pour violation de vie privée). Criteo, une entreprise française, est un des plus gros acteurs du retargeting en Europe. Lotame, Eyeota, Experian — la liste est longue.
Ce qu'ils savent sur toi — ou plutôt, ce qu'ils infèrent — peut être stupéfiant. Catégorie socio-professionnelle estimée. Probabilité de grossesse. Affinité politique. Score de solvabilité. Intention d'achat immobilier. Fréquence de voyage. Préférences alimentaires. Tout ça déduit de tes clics, de tes achats, de tes déplacements, de tes habitudes en ligne.
Et ces données ne disparaissent pas. Elles sont stockées, recroisées, revendues. Le cookie que tu as « accepté » sur un site de recettes il y a six mois nourrit encore ton profil aujourd'hui. Le broker ne t'a jamais demandé la permission directement. Il n'a pas besoin de le faire — le site l'a fait pour lui, via cette bannière que tu n'as pas lue.
Et quand il n'y a même plus besoin de cookies
Les cookies, au fond, c'est la méthode « polie » de tracking. Au moins, ils existent dans ton navigateur — tu peux les voir, les supprimer. Il y a une bannière qui te prévient (même mal).
Le browser fingerprinting, c'est autre chose. Pas de cookie, pas de bannière, pas de consentement. Ton navigateur transmet en permanence des dizaines de signaux techniques : résolution d'écran, polices installées, version du navigateur, plugins actifs, fuseau horaire, langue, caractéristiques du GPU. Pris individuellement, chaque signal est anodin. Combinés, ils forment une empreinte unique — ton fingerprint — qui te suit de site en site sans jamais rien stocker sur ta machine.
Des études ont montré que cette empreinte est unique pour plus de 90% des navigateurs. Pas besoin de cookie. Pas besoin de compte. Ton navigateur te trahit juste en existant.
Ça veut dire que même si tu refuses tous les cookies, même si tu vides ton cache tous les jours, certaines entreprises peuvent quand même te suivre. Le consentement devient une formalité quand la technologie le contourne.
« Moi je m'en fous, j'ai rien à cacher »
C'est l'argument qu'on entend le plus. Et il est circulaire.
« J'ai rien à cacher » présuppose que la surveillance n'est un problème que pour ceux qui font quelque chose de mal. Mais la vie privée, ce n'est pas un cache-misère pour activités louches. C'est un droit fondamental — au même titre que la liberté d'expression. Tu ne dis pas « je m'en fous de la liberté d'expression, j'ai rien à dire ». Alors pourquoi le dire de ta vie privée ?
Et surtout : tu ne sais pas ce qu'on fera de tes données demain. L'algorithme qui te montre des pubs pour des chaussures aujourd'hui utilise la même infrastructure que celui qui pourrait, demain, ajuster ta prime d'assurance, filtrer ta candidature à un emploi, ou cibler de la propagande politique. Les données ne connaissent pas la différence entre un usage commercial et un usage abusif. Seule la politique de ceux qui les possèdent fait la différence.
Et moi, je fais quoi ?
Pas besoin de devenir expert en cybersécurité. Trois gestes suffisent pour reprendre le contrôle de 90% de ce qui se passe dans ton navigateur.
Installe uBlock Origin.
C'est une extension de navigateur, gratuite, open-source, et c'est le geste le plus efficace que tu puisses faire en 30 secondes. uBlock Origin bloque les trackers, les pixels de tracking, les requêtes RTB, et la majorité des publicités invasives — avant qu'ils ne se chargent. Pas « après ». Avant. Ton navigateur ne contacte même jamais les serveurs de tracking.
Disponible sur Firefox, Chrome, Edge. Installe-le maintenant. Tu ne verras aucune différence sur les sites — sauf qu'ils chargeront plus vite.
Clique sur « Gérer mes préférences ». Toujours.
C'est le seul bouton honnête d'une bannière de cookies. C'est là que tu peux désactiver les cookies publicitaires et analytiques, et ne garder que les cookies strictement nécessaires (session, panier, langue). Oui, ça prend 10 secondes de plus. Mais ces 10 secondes, c'est la différence entre donner ton profil à 47 entreprises et ne le donner à personne.
Et si le site ne te laisse pas refuser facilement ? C'est illégal au regard du RGPD. Et c'est aussi un signal que ce site ne mérite pas ta confiance.
Choisis un navigateur qui ne vit pas de tes données.
Chrome est développé par Google — le plus gros vendeur de publicité au monde. Ton navigateur, c'est la fenêtre par laquelle passe tout ce que tu fais en ligne. Si cette fenêtre appartient au même business model qui te track, tu pars avec un handicap structurel.
La question à se poser est simple : de quoi vit l'entreprise qui fait ton navigateur ? Si la réponse est « de publicité ciblée », ton navigateur n'est pas ton allié. Cherche ceux qui vivent de dons, d'abonnements, ou de services — pas de la revente de ton attention. Firefox, Vivaldi, et d'autres existent. Teste, compare, choisis celui qui colle à ton usage. L'important n'est pas la marque — c'est le modèle économique derrière.
Ces trois gestes ne te rendent pas invisible. Mais ils ferment la porte principale — celle que tu ouvrais 12 fois par jour sans le savoir.
La prochaine bannière
La prochaine fois qu'un site t'affiche une bannière de cookies avec un gros bouton vert et un petit lien gris, tu sauras ce qu'elle te demande vraiment. Pas « d'améliorer ton expérience ». Pas « de personnaliser le contenu ». Elle te demande l'autorisation de te vendre.
Et maintenant, tu as le choix de dire non.