Avec l’arrivée du Règlement Général sur la Protection des Données (RGPD) en 2018, beaucoup d’idées reçues circulent autour des limites, des bonnes pratiques mais également des techniques pour contourner le règlement.

L’une de ces idées reçue est la suivante : Le localstorage, différent des cookies, ne serait pas soumis aux mêmes règles que ces derniers.

Alors qu’en est-il réellement ? C’est ce que nous allons voir !

Le LocalStorage, qu’est-ce que c’est ?

Nous n’allons par revenir en détail sur le fonctionnement du localstorage dans cet article, mais simplement faire un rapide rappel.

Au besoin, vous retrouverez un articlé dédié au LocalStorage sur notre blog.

Le LocalStorage est une fonctionnalité du navigateur permettant de stocker des données localement, sans date d’expiration.

Contrairement aux cookies, ces données ne sont pas envoyées automatiquement aux serveurs lors des requêtes HTTP. Cependant, elles restent accessibles par n’importe quel script exécuté sur la page web.

Que dit le RGPD sur le LocalStorage ?

C’est là que la confusion est souvent faite. Le RGPD ne liste pas de technologies spécifiques, et à raison, car le texte de loi deviendrait obsolète trop rapidement.

Alors de quoi parle-t’on exactement ? Dans les définitions du règlement, on parle de “traitement des données”, en ces termes :

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; (source)

Vous l’aurez compris, cette définition englobe les cookies, le localstorage et toutes les autres méthodes de traitement des données.

Le consentement de l’utilisateur

De manière simplifiée, le RGPD considère toute donnée permettant d’identifier directement ou indirectement un utilisateur comme une donnée personnelle.

Si un site web utilise le LocalStorage pour stocker un identifiant unique, des paramètres ou des informations de session, cela est donc considéré comme un traitement de données personnelles.

Au niveau européen, la directive ePrivacy étend d’ailleurs ces règles à toutes les technologies de stockage ou d’accès aux informations d’un terminal, comme le fingerprinting

En résumé

Le RGPD étant agnostique de toute technologie utilisée pour stocker des données permettant d’identifier un utilisateur, alors oui le LocalStorage est réglementé au même titre que les cookies !