Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.
Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d’un site marchand, le contenu courant de votre panier d’achat, la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires, etc. Certains de ces usages sont strictement nécessaires aux fonctionnalités expressément demandées par l’utilisateur ou bien à l’établissement de la communication et donc exemptés de consentement. D’autres, qui ne correspondent pas à ces critères, nécessitent un consentement de l’utilisateur avant lecture ou écriture.
La distinction entre cookies « tiers » (ou « third party ») et cookie « internes » (ou « first-party ») est technique. Lorsqu’un utilisateur visite un site web, il consulte en pratique un « domaine » qui termine en général par une extension de type .com ou .fr (par exemple monsite.com est un domaine), les contenus peuvent être transmis depuis le domaine qu’il visite ou bien via d’autres domaines qu’il n’a pas entré lui-même et qui appartiennent à des tiers. En effet, chaque cookie est associé à un domaine et envoyé ou reçu à chaque fois que le navigateur va « appeler » ce domaine. En pratique :
Le fait que les cookies soient « internes» ou « tiers » est une distinction technique qui n’a pas de conséquence sur le fait de devoir demander ou pas le consentement. Dans la pratique, une grande majorité des cookies « tiers » ont des finalités qui nécessitent le consentement (par exemple publicitaire), mais on peut également trouver des cookies « tiers » qui sont effectivement strictement nécessaires à une fonctionnalité expressément demandée par l’utilisateur et donc exempté de consentement. C’est le cas, par exemple, des cookies servant uniquement à de l’authentification fédérée (lorsqu’un compte unique permet d’accéder à plusieurs sites).