Les cookies et la collecte de données sont au cœur du Web et de l’e-commerce. Or la législation sur les données personnelles en ligne impose de nouvelles contraintes.
Quelles sont les recommandations de la CNIL? Comment interpréter la législation ? Quelles sont les contraintes à venir ?
2. Plan
2
La recommandation « Cookies et autres traceurs »
et la loi associée
L’accompagnement de la CNIL
Les contrôles en ligne
3. Quel contexte, quels enjeux ?
3
Un enjeu de protection de la vie privée.
Un enjeu légal : Article 32-II de la loi du 6 janvier 1978 :
•Obligation d’informer tout utilisateur « de manière claire et complète », de la finalité de toute action « tendant à accéder
à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des
informations dans cet équipement et des moyens dont il dispose pour s'y opposer. »
•« Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé,
après avoir reçu cette information, son accord […] »
La recommandation de la CNIL vient préciser cette loi.
Un enjeu d’image et de confiance.
Une démarche de concertation pour trouver des solutions
pragmatiques et concilier développement de l'économie
numérique et la protection de la vie privée.
4. Quelles sont les technologies
concernées ?
4
Toutes les technologies de traçage :
Lecture et dépôt de cookies HTTP
Cookies « flash »
Pixels invisibles ou « web bugs »
Identifiant d'une application, d'un système d'exploitation ou d’un composant du terminal
Le « fingerprinting »
Tous les supports et médias :
La consultation d’un site internet
La lecture d’un courrier électronique
L’installation ou de l’utilisation d’un logiciel ou d’une application mobile
Tous terminaux : ordinateurs, tablettes, smartphones, TV connectées, consoles de jeux
vidéos connectées au réseau Internet
5. Quels sont les cookies
concernés ?
Certains cookies sont exemptés de consentement :
Lorsqu’ils sont strictement nécessaires à l’utilisation du service
Exemples :
Cookies de panier d'achat
Cookies de gestion des langues
Cookies d'authentification
Cookies de mesure d'audience remplissant certaines conditions (opposition possible,
finalité uniquement de statistiques pour le site visité, etc.)
Information et consentement pour les autres cookies :
Exemples :
Publicité ciblée
Mesure d’audience (sauf exception)
Réseaux sociaux
6. Qui est concerné par le recueil du
consentement ?
Les responsables de sites internet et d'applications mobiles
Les fournisseurs de services web tiers
Exemples
Editeurs de solutions d’analytics
Régies publicitaires
Réseaux sociaux
7. Comment obtenir le consentement sur
internet ?
7
« Le consentement doit se manifester par le biais d'une action positive de la
personne préalablement informée des conséquences de son choix et disposant
des moyens de l’exercer. »
Pas de dépôt de cookies avant d’avoir obtenu le consentement
Cinématique en deux étapes (pour chaque site internet) :
1. Un bandeau d’information : exemple :
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour
vous proposer des publicités ciblées adaptés à vos centres d'intérêts et réaliser des
statistiques de visites.
Pour en savoir plus et paramétrer les cookies
2. Un clic sur « Pour en savoir plus et paramétrer les cookies » permet de
disposer de solutions conviviales pour accepter ou refuser les cookies.
Ne pas déposer de cookies (ou recourir au fingerprinting) tant que la
personne n'a pas poursuivi sa navigation
La poursuite de la navigation peut s’exprimer par un click sur un élément
de la page (pas nécessairement sur « OK »)
En général, les paramètres du navigateur ne sont pas satisfaisants.
Ne pas conditionner le dépôt de cookies à l’accès au site internet
Durée de vie des cookies de 13 mois, non renouvelée à chaque visite
8. Les sites web et fonctionnalités
concernés
Solution de consentement
intégrée
Nécessite un consentement
9. L’exemption pour la mesure d’audience
Pour bénéficier de l’exemption un outil de mesure d’audience doit respecter
5 conditions:
Information dans les conditions d’utilisation (pas obligatoirement de bannière);
L’internaute doit pouvoir s’opposer simplement;
La finalité du dispositif doit être limitée à la mesure d’audience, il ne doit pas y
avoir de recoupement avec d’autres traitement. L’utilisation du Cookie doit être
limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation sur
différents sites ;
Pas de géo-localisation plus précise que la ville et l’IP doit être supprimée ou
anonymisée;
Les cookies doivent avoir une durée de 13 mois et les informations collectées
par leur intermédiaire doivent être conservées treize mois maximum.
10. Les outils de mesure d’audience conformes
AT-Internet : En discussion
Bénéficie de l’exemption -> pas de demande de consentement,
Certains points restent à préciser.
Piwik : Ok
Bénéficie de l’exemption -> pas de demande de consentement
Pas de croisement de données.
Google Analytics : Nécessité de demander le consentement (Google
croise les données)
La CNIL propose sur son site un tag qui :
– Bloque les cookies lors de la première visite,
– Demande le consentement,
– Fournit un moyen d’opposition.
11. Les boutons de partage conformes
Les réseaux sociaux tracent la navigation des internautes via les
boutons « Like », « Tweet », « +1 »
Un outil recommandé : « Social Share Privacy » :
– N’active le bouton de partage que si l’utilisateur clique dessus,
– Ne requiert qu’une légère modification de la page,
– Charte graphique des boutons adaptable,
– Disponible sous forme de plugin pour les principaux CMS (WordPress, Drupal,
Typo3),
– Un module en jQuery pour les autres cas.
Plus d’infos: http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/les-boutons-sociaux/
12. Les gestionnaires de Tag
Une solution globale au site :
• Le consentement est demandé une seule fois pour tous les cookies
• Possibilité de s’opposer par « famille » de cookies
• Bloque l’exécution des tags (« Like », « Analytics », Publicité) et demande le
consentement
Les solutions payantes :
•Attention: certaines solutions ne sont pas encore conformes (installent de cookies
d'opt-out avec des identifiants)
La solution gratuite, « Cookie-Cuttr » , « Tarte au citron »
Attention : Il est nécessaire d’encadrer juridiquement le recours aux
solutions de prestataires (une solution conforme un jour peut ne plus
l’être)
13. Les premiers retours des contrôles
Depuis 2014 la CNIL possède un pouvoir de contrôle en ligne,
Les premiers contrôles ont été effectués fin 2014,
Nous avons observé jusqu’à 350 cookies par site!
Quelques exemples de ce qui n’est pas conforme
Un consentement non libre,
Beaucoup de cookies déposés avant le consentement (lors de
l’arrivée sur la page),
La mise en conformité est parfois assez simple ( utilisation d’outils
fournis)