La question de la propriété d'un cookie risque d'occuper quelques juristes pendant longtemps.
Illustration par un exemple à trois acteurs : l'annonceur, l'adserver, le site. Et rien que dans cette version simplifiée, c'est déjà un peu le bordel...
Dans cet exemple, l'annonceur achète de l'espace publicitaire sur le site, et la publicité est diffusée par l'adserver. Jusque là tout va bien.
Le cookie en lui-même est déposé sur le poste de l'internaute soit par le site, soit par l'adserver. Supposons (encore une fois pour simplifier) que ces cookies ne contiennent qu'un identifiant unique (un pour le site et un autre pour l'adserver). La propriété de ce cookie ne pose pas de problème : il appartient à celui qui l'a déposé.
Ecartons la question du cookie du site (trop simple pour en parler ici) : il permet de compter les visiteurs uniques du site, il est déposé par le site, il appartient au site. L'affaire est close.
Le cookie de l'adserver, lui n'est pas seul. Il est lié à une information qui n'est pas (habituellement) enregistrée sur le poste du visiteur (dans son cookie), mais dans les ordinateurs de l'adserver. Et c'est cette information liée qui pose problème.
L'adserver doit enregistrer (pour rendre son service) le fait que "le cookie a été exposé à la campagne de l'annonceur sur le site".
En fait, c'est ce lien entre un cookie et une information de nature différente qui détient toute la valeur, et qui mérite d'être regardée d'un peu plus près.
Le site dit "cette information a été collectée en affichant une pub dans mes pages, donc elle m'appartient ; elle ne peut pas être réutilisée".
L'annonceur dit "c'est moi qui ai payé cette publicité, donc l'information m'appartient".
L'adserver dit "c'est moi qui ai géré cette information, donc j'ai mon mot à dire".
En fait, cette information devrait être découpée :
- le cookie a visité le site
- le cookie a été exposé à la campagne de l'annonceur.
Ces deux informations sont de nature différente, et devraient pouvoir être exploitée différemment.
"Le cookie a visité le site" est une information que le site est en droit de pouvoir contrôler. Il serait facile de cibler ses visiteurs pour leur vanter les mérites d'un site concurrent.
Mais le site ne devrait pas avoir de droit sur l'information "le cookie a été exposé à la campagne de l'annonceur".
En effet, cette information ne concerne pas uniquement le site : une campagne tourne sur plusieurs sites. D'autre part, cette information ne contient aucune référence au site, il n'est donc pas possible de l'utiliser pour cibler ses visiteurs par exemple.
Donc cette information appartient à l'annonceur, et elle devrait pouvoir être utilisée librement par ce dernier, qui délèguerait ce travail ingrat à l'adserver.
L'adserver, lui, doit demander l'autorisation à l'annonceur et au site pour utiliser l'une ou l'autre information. Mais comme l'adserver est détenteur des deux informations, il est facile de le soupçonner d'utiliser de l'information qu'il détient.
Une solution peut être qu'un tiers enregistre uniquement une information du type "le cookie a été exposé à la campagne", sans aucune information concernant le site. Dans ce cas, cette information seule devrait pouvoir être utilisée sans l'accord du site... Quant à savoir quoi en faire, je garde encore un peu le suspens...
En conclusion, c'est l'information liée à un cookie qui a de la valeur, et cette information doit être clairement découpée de façon à pouvoir déterminer clairement qui a les droits pour l'utiliser et à quelle fin.
Laurent NICOLAS
Jeu de briques
Snake
Pacman
Bubble