Les cookies et la collecte de données sont au cœur du Web et de l’e-commerce. Or la législation sur les données personnelles en ligne impose de nouvelles contraintes. Quelles sont les recommandations de la CNIL? Comment interpréter la législation ? Quelles sont les contraintes à venir ?

1. CNIL
Législation Privacy:
Tour d’horizon et
Perspectives
Vincent Toubiana
18 Février 2015

2. Plan
2
 La recommandation « Cookies et autres traceurs »
et la loi associée
 L’accompagnement de la CNIL
 Les contrôles en ligne

3. Quel contexte, quels enjeux ?
3
Un enjeu de protection de la vie privée.
Un enjeu légal : Article 32-II de la loi du 6 janvier 1978 :
•Obligation d’informer tout utilisateur « de manière claire et complète », de la finalité de toute action « tendant à accéder
à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des
informations dans cet équipement et des moyens dont il dispose pour s'y opposer. »
•« Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé,
après avoir reçu cette information, son accord […] »
La recommandation de la CNIL vient préciser cette loi.
Un enjeu d’image et de confiance.
Une démarche de concertation pour trouver des solutions
pragmatiques et concilier développement de l'économie
numérique et la protection de la vie privée.

4. Quelles sont les technologies
concernées ?
4
Toutes les technologies de traçage :
 Lecture et dépôt de cookies HTTP
 Cookies « flash »
 Pixels invisibles ou « web bugs »
 Identifiant d'une application, d'un système d'exploitation ou d’un composant du terminal
 Le « fingerprinting »
Tous les supports et médias :
 La consultation d’un site internet
 La lecture d’un courrier électronique
 L’installation ou de l’utilisation d’un logiciel ou d’une application mobile
 Tous terminaux : ordinateurs, tablettes, smartphones, TV connectées, consoles de jeux
vidéos connectées au réseau Internet

5. Quels sont les cookies
concernés ?
Certains cookies sont exemptés de consentement :
Lorsqu’ils sont strictement nécessaires à l’utilisation du service
Exemples :
 Cookies de panier d'achat
 Cookies de gestion des langues
 Cookies d'authentification
 Cookies de mesure d'audience remplissant certaines conditions (opposition possible,
finalité uniquement de statistiques pour le site visité, etc.)
Information et consentement pour les autres cookies :
Exemples :
 Publicité ciblée
 Mesure d’audience (sauf exception)
 Réseaux sociaux

6. Qui est concerné par le recueil du
consentement ?
 Les responsables de sites internet et d'applications mobiles
 Les fournisseurs de services web tiers
Exemples
 Editeurs de solutions d’analytics
 Régies publicitaires
 Réseaux sociaux

7. Comment obtenir le consentement sur
internet ?
7
« Le consentement doit se manifester par le biais d'une action positive de la
personne préalablement informée des conséquences de son choix et disposant
des moyens de l’exercer. »
 Pas de dépôt de cookies avant d’avoir obtenu le consentement
 Cinématique en deux étapes (pour chaque site internet) :
1. Un bandeau d’information : exemple :
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour
vous proposer des publicités ciblées adaptés à vos centres d'intérêts et réaliser des
statistiques de visites.
Pour en savoir plus et paramétrer les cookies
2. Un clic sur « Pour en savoir plus et paramétrer les cookies » permet de
disposer de solutions conviviales pour accepter ou refuser les cookies.
 Ne pas déposer de cookies (ou recourir au fingerprinting) tant que la
personne n'a pas poursuivi sa navigation
 La poursuite de la navigation peut s’exprimer par un click sur un élément
de la page (pas nécessairement sur « OK »)
 En général, les paramètres du navigateur ne sont pas satisfaisants.
 Ne pas conditionner le dépôt de cookies à l’accès au site internet
 Durée de vie des cookies de 13 mois, non renouvelée à chaque visite

8. Les sites web et fonctionnalités
concernés
Solution de consentement
intégrée
Nécessite un consentement

9. L’exemption pour la mesure d’audience
 Pour bénéficier de l’exemption un outil de mesure d’audience doit respecter
5 conditions:
Information dans les conditions d’utilisation (pas obligatoirement de bannière);
L’internaute doit pouvoir s’opposer simplement;
La finalité du dispositif doit être limitée à la mesure d’audience, il ne doit pas y
avoir de recoupement avec d’autres traitement. L’utilisation du Cookie doit être
limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation sur
différents sites ;
Pas de géo-localisation plus précise que la ville et l’IP doit être supprimée ou
anonymisée;
Les cookies doivent avoir une durée de 13 mois et les informations collectées
par leur intermédiaire doivent être conservées treize mois maximum.

10. Les outils de mesure d’audience conformes
 AT-Internet : En discussion
 Bénéficie de l’exemption -> pas de demande de consentement,
 Certains points restent à préciser.
Piwik : Ok
 Bénéficie de l’exemption -> pas de demande de consentement
 Pas de croisement de données.
 Google Analytics : Nécessité de demander le consentement (Google
croise les données)
 La CNIL propose sur son site un tag qui :
– Bloque les cookies lors de la première visite,
– Demande le consentement,
– Fournit un moyen d’opposition.

11. Les boutons de partage conformes
 Les réseaux sociaux tracent la navigation des internautes via les
boutons « Like », « Tweet », « +1 »
 Un outil recommandé : « Social Share Privacy » :
– N’active le bouton de partage que si l’utilisateur clique dessus,
– Ne requiert qu’une légère modification de la page,
– Charte graphique des boutons adaptable,
– Disponible sous forme de plugin pour les principaux CMS (WordPress, Drupal,
Typo3),
– Un module en jQuery pour les autres cas.
Plus d’infos: http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/les-boutons-sociaux/

12. Les gestionnaires de Tag
 Une solution globale au site :
• Le consentement est demandé une seule fois pour tous les cookies
• Possibilité de s’opposer par « famille » de cookies
• Bloque l’exécution des tags (« Like », « Analytics », Publicité) et demande le
consentement
 Les solutions payantes :
•Attention: certaines solutions ne sont pas encore conformes (installent de cookies
d'opt-out avec des identifiants)
 La solution gratuite, « Cookie-Cuttr » , « Tarte au citron »
Attention : Il est nécessaire d’encadrer juridiquement le recours aux
solutions de prestataires (une solution conforme un jour peut ne plus
l’être)

13. Les premiers retours des contrôles
 Depuis 2014 la CNIL possède un pouvoir de contrôle en ligne,
 Les premiers contrôles ont été effectués fin 2014,
 Nous avons observé jusqu’à 350 cookies par site!
 Quelques exemples de ce qui n’est pas conforme
 Un consentement non libre,
 Beaucoup de cookies déposés avant le consentement (lors de
l’arrivée sur la page),
 La mise en conformité est parfois assez simple ( utilisation d’outils
fournis)