Forum général.général RGPD, cookies et consentement. Dans quel ordre ?

Posté par . Licence CC by-sa.
2
15
août
2019

Bonjour,

Je suis dans le flou question mise en conformité RGPD d'un site Web. Admettons que le site charge divers scripts (Bouton "J'aime" Facebook, Google Analytics, …) :

  • Première visite d'un utilisateur, dois-je désactiver le chargement de ces scripts (qui vont assurément déposer quelques cookies) avant d'avoir obtenu son consentement ?

  • Si il accepte, ça veut dire que je dois recharger la page avec les scripts (où insérer les scripts "à chaud" mais je ne sais pas trop ce que ça va donner)

  • Une fois que l'utilisateur refuse, je dois bien enregistrer cette préférence qqpart. Donc placer un cookie. Non ? Sinon ça veut dire que je vais lui remettre mon message de prévention sur chaque page visitée pendant la session (et les sessions futures…)

Des quelques exemples testés sur le Web, quasiment tous les sites affichent une belle bannière pour permettre de choisir/désactiver ce qu'on accepte mais dans le même temps les appels à Google&co ont déjà été réalisés ! C'est moi qui ai mal compris ou ils sont dans l'illégalité ?

Question subsidaire, vous auriez un exemple de site qui utilise Google Analytics, Adwords, Facebook Graph, etc… (je précise parce que sinon vous allez me proposer linuxfr.org) et qui le fait dans le respect des règles ?

  • # Je ne suis pas juriste

    Posté par . Évalué à 3 (+2/-0).

    Salut,

    Je ne suis pas juriste, donc toute information donnée dans ce message est à prendre avec précaution, et mieux vaut la vérifier auprès d'un professionnel.

    Il y a deux types de cookies :
    - ceux essentiels au fonctionnement du site (enregistrement de préférences par exemple), et ceux-là ils peuvent être posés sans demander de consentement, car sans eux le site ne fonctionne pas,
    - ceux liés au "traçage" (typiquement google analytics et consorts), qui eux ne doivent être posés qu'après consentement.

    Il me semble que rien ne concerne la partie affichage, un bouton "like", ou autre peut être affiché, tant que les cookies du point 2 sont sujets à consentement (ce qui peut être piloté par un cookie du point 1).

    Voir : les infos de la CNIL

    Dans la réalité, ça peut être un peu plus complexe, divers sites peuvent partager les cookies "techniques" pour s'accorder sur un consentement ou refus de consentement. Mais je n'ai pas le sentiment que ce soit le cas dans la question.

    • [^] # Re: Je ne suis pas juriste

      Posté par . Évalué à -3 (+0/-4).

      Bonjour,

      Je suis Responsable Protection des Données local à certains établissements de mon employeur (dans l'équipe d'un DPO qui gère toute l'entreprise), et auparavant j'ai fait les déclarations CNIL de ces établissements pendant 15 ans.
      Je pense que vous faites fausse route pour ce qui est des notions relatives au RGPD.

      Quelques points importants à gérer, à propos des données traitées (cookies ou pas).

      Pour ce qui est de la protection des données personnelles (RGPD).
      Les données directement identifiantes (nom, prénom) sont celles à partir desquelles on peut directement désigner la personne.
      Les données indirectement identifiantes sont celles à partir des quelles on peut désigner la personne, moyennant un calcul ou un rapprochement.
      A l'heure de la reconnaissance faciale, la moindre photo peut être considérée comme identifiante.
      Il y a bien d'autres données identifiantes. Par exemple, "le responsable de tel site web", ou "le boulanger de la rue Quincampoix", ou "celui qui vient de traverser la Manche", ou "l'auteur des raisins de la colère", ou "la p'tite dame qui vient à 7h chercher son pain", etc.
      Ou les données sur Google du trajet que vous faites, équipé du bracelet ou de la montre GPS que vous portez. Ce qui a un intérêt pour un cambrioleur, pour savoir si on peut faire des bêtises avant que papa ne rentre, pour votre assureur ou banquier qui sachant que vous consultez régulièrement en cancérologie ne va peut-être pas vous proposer les mêmes conditions de prêt immobilier.
      L'adresse IP, les cookies vous identifient aussi.

      Par défaut, le site hébergeur est responsable de traitement: donc aux yeux de la loi.
      Il doit fournir un responsable protection des données (DPO), et tenir à jour un registre des traitements de données, des violations de données, et des activités qu'il mène pour protéger les données personnelles.
      Il doit pour tout traitement de données (site web, stockage, application informatique ou même une gestion de documents papier), effectuer une analyse d'impact sur la vie privée (PIA), qui le conduira à évaluer les risques d'atteinte aux données et leur impact, les mesures propres à minimiser ces risques, et mettre en oeuvre ces mesures.
      Il doit informer les personnes potentiellement concernées, c'est à dire tout visiteur, lui donner les moyens d'exercer ses droits (accès et rectification, opposition, effacement, portabilité des données).
      Il doit aussi fournir une information claire et loyale à l'utilisateur, avec le choix de s'opposer au recueil de données personnelles.
      L'utilisateur doit alors effectuer un acte de consentement positif (par exemple cocher une case qui ne peut pas l'être par défaut, en application du privacy by default) pour valider son consentement à utiliser un site qui utilise les cookies, avant d'appuyer sur le bouton 'Envoi'.
      Pour plus d'infos, voir le site de la CNIL avec une doc actualisée et même un MOOC sur le RGPD qui prend 1 à 2 jours à faire, et délivre une évaluation de compétence et une attestation de suivi.

      Alors pour les cookies ?

      Ce sont des données personnelles comme d'autres. A partir du moment où ils ont été analysés au sein d'un PIA, ils ne sont pas différents des autres données qu'on peut tracer. Pas d'inquiétude.

      • [^] # Re: Je ne suis pas juriste

        Posté par . Évalué à 1 (+0/-0).

        Salut :)

        C'est chouette ton message, j'ai presque tout lu.

        Y'a un moment où je me suis dit que c'était du Dogfooding quand même.

        A plus ;)

      • [^] # Re: Je ne suis pas juriste

        Posté par . Évalué à 2 (+1/-0).

        A mon avis, il y a plusieurs soucis dans ce que vous dites.
        Je suis moi aussi DPO de mon entreprise et il y a au moins une chose à prendre avec beaucoup de pincette : il n'est pas obligatoire de rédiger une analyse d'impact dans les cas que vous citez et malgré ce que vous laissez sous-entendre.

        L'analyse d'impact n'est obligatoire que lorsque dans sa finalité, le traitement est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques" (article 35, premier paragraphe du RGPD).
        En particulier, le RGPD cite trois cas où c'est requis : le profilage automatisé qui conduit à des prises de décisions d'ordre juridique, le traitement à grande échelle de données spécifique défini au premier paragraphe de l'article 9 (religion, maladie, condamnation, orientation sexuel…etc) et la surveillance systématique à grande échelle d'une zone accessible au public (vidéosurveillance par exemple). ET ceci est défini dans le paragraphe 3 de l'article 35.

        Il me semble qu'il y a un fossé entre ton message et les questions que posent l'auteur…

  • # Matomo

    Posté par (page perso) . Évalué à 4 (+2/-0).

    Première visite d'un utilisateur, dois-je désactiver le chargement de ces scripts (qui vont assurément déposer quelques cookies) avant d'avoir obtenu son consentement ?

    Je ne connais ni Facebook ni Google Analytics, mais Matomo (Piwik) propose de demander le consentement avant de déposer des cookies.

  • # La réponse est OUI

    Posté par . Évalué à 0 (+0/-1).

    Bonjour Faya,

    Oui, vous devez désactiver les scripts liés à des données personnelles et non indispensables au fonctionnement du site.
    En théorie, vous pourriez charger Google Analytics, Facebook sans autorisation pour un usage statistique anonyme uniquement, à condition d'être sûr à 100% que Google ne traitera pas les données à d'autres fins, soit à votre demande, soit pour son propre compte. Comme une majorité d'utilisateurs ne maîtrise pas suffisamment le paramétrage des outils Google ou Facebook, il est conseillé de désactiver ces scripts.

    Oui, la solution la plus simple est de recharger la page. D'autres solutions sont possibles selon le contexte de la page.

    Oui, la décision du visiteur (refus ou accord) peut être enregistrée sous forme de cookie ou de stockage local ; c'est un élément nécessaire à l’exécution de l'obligation légale.

    La mise à jour des directives sur le ciblage publicitaire et du futur e-privacy nous oblige à être très vigilants sur les scripts tiers que nous utilisons, pas seulement avec Google, Facebook ou Amazon.

    À ce jour, en tant que DPO et prestataire de services, je pense qu'il n'existe pas de solution standard toute faite pour gérer et maîtriser l’exécution des scripts liés à des données personnelles. Il traiter chaque site ou application au cas par cas, avec un suivi régulier pour assurer la conformité RGPD et e-Privacy.

    Cordialement,
    Sylvain

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.