Journal La CNIL, les outils web analytics, et les cookies ...

Posté par  . Licence CC By‑SA.
14
11
fév.
2014

Bonjour,

Je viens de voir que la CNIL à publiée récemment une délibération pour les sites web utilisant des outils de mesure d'audience du genre de Google Analytics, c'est à dire utilisant des cookies et étant pour le moins intrusif dans votre vie privée.

Désormais il est obligatoire de récolter l'autorisation explicite de l'utilisateur avant d'inscrire les cookies dans le navigateur du client. Attention, il ne s'agit pas de prévoir un moyen pour que l'utilisateur puisse a posteriori refuser une futur utilisation, mais bien d'une demande d'autorisation préalable, et le refus ne dois pas entrainer d'impossibilité d'utilisation du site web.

(La CNIL d'accord, mais quel est le cadre légal ?)[http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/]

Une autre solution consiste à utiliser des outils de mesure d'audience directement compatible avec la délibération de la CNIL comme PIWIK après un paramétrage

Un bel arsenal anti-google, et autre régie de pub du même genre !
J'ai plus qu'à modifier la pauvre page web que je publie sur internet, et où j'avais inséré G.A. pour savoir qui venait.

  • # Mécanisme d'opposition accessible != demande d'autorisation

    Posté par  . Évalué à 6. Dernière modification le 11 février 2014 à 11:20.

    Quand on va sur le lien, on voit que ce que demande la CNIL est que le mécanisme d'opposition soit accessible. En gros, il faut juste d'afficher dans un coin de la page: "On vous traque avec Analytics, OK avec ca ?" Et proposer refuser ou continuer. Et si le gars continue par ailleurs sans s'interesser à la popup, il continue a être suivi.

    Cela n'a rien avec une demande d'autorisation préalable où le 0 action de l'utilisateur n’entraîne aucun tracking.

    • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

      Posté par  (site web personnel) . Évalué à 3.

      Non par contre si l'utilisateur refuse, il ne doit pas être traqué, même sur la page venant d'être visitée.

      Déroulement:
      - Je visite une page, la popup s'affiche.
      - Tant que je n'ai pas dit oui, ou cliqué sur un lien, ou dit non : le tracker ne doit pas enregistré ma visite.

    • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

      Posté par  . Évalué à 1.

      Non, il s'agit bien d'une demande d'autorisation préalable avant d'écrire le moindre cookie sauf une liste de coockie comme par exemple la gestion des paniers, la gestion des sessions, etc …

      • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

        Posté par  . Évalué à 3.

        C'est pas ce que je lis:

        // Le code HTML de la demande de consentement
        // Vous pouvez modifier le contenu ainsi que le style
        div.innerHTML =  '<div style="background-color:#ffffff">Ce site utilise Google Analytics.\
        En continuant à naviguer, vous nous autorisez à déposer des cookies à des fins de \
        mesure d\'audience.  Pour s\'opposer à ce dépôt vous pouvez cliquer  \
        <a href="javascript:gaOptout()">ici</a>.</div>';    
        

        Et apres tu as la fonction gaOptout, qui efface, apres coup, le fameux cookie.

        • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

          Posté par  . Évalué à 0. Dernière modification le 11 février 2014 à 14:26.

          Ce qui te gène c'est que tu n'as pas de bouton pour dire "oui, je veux être suivi" ?
          Par contre le tracking est désactivé tant que tu n'as pas de cookie qui t'autorise à suivre => opt-in !

          • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

            Posté par  . Évalué à 3.

            Non. Ce qui me gêne, c'est ce que tu as marqué dans l'article:

            Attention, il ne s'agit pas de prévoir un moyen pour que l'utilisateur puisse a posteriori refuser une futur utilisation, mais bien d'une demande d'autorisation préalable,

            Alors que c'est bien une demande d'effacement du cookie a postériori, qui se doit par contre d’être facilement accessible. Popup dans l'implémentation de référence. Mais par défaut, le cookie reste intallé de base.

            • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

              Posté par  . Évalué à 1. Dernière modification le 11 février 2014 à 14:42.

              Il y a, c'est sur, comme une différence entre le code d'exemple et le contenu de la page web !
              Je cite : "Le script suivant permet de désactiver le traçage des outils de mesure d'audience tant que les utilisateurs n'ont pas donné leur consentement. "

              Mais je suis d'accord ce n'est pas ce que fait leur "implémentation" :

              // Remplacez la valeur UA-XXXXXX-Y par l'identifiant analytics de votre site.
              gaProperty = 'UA-XXXXXX-Y'
              
              // Désactive le tracking si le cookie d’Opt-out existe déjà.
              var disableStr = 'ga-disable-' + gaProperty;
              
              if (document.cookie.indexOf('hasConsent=false') > -1) {
                 window[disableStr] = true;
              }
              
              //Ce bout de code vérifie que le consentement n'a pas déjà été obtenu avant d'afficher la baniére
              var consentCookie =  getCookie('hasConsent');
              if (!consentCookie) {//L'utilisateur n'a pas encore de cookie de consentement
               var referrer_host = document.referrer.split('/')[2]; 
                 if ( referrer_host != document.location.hostname ) { //si il vient d'un autre site
                 //on désactive le tracking et on affiche la demande de consentement            
                  window[disableStr] = true;
                  window[disableStr] = true;
                  window.onload = askConsent;
                 } else { //sinon on lui dépose un cookie 
                    document.cookie = 'hasConsent=true; '+ getCookieExpireDate() +' ; path=/'; 
                 }
              }
              • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

                Posté par  . Évalué à 2.

                Disons que leur implémentation est conforme à l'objectif:

                Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tout types de terminaux (y compris les smartphones et tablettes).

                Et c'est bien ca. Tu as une bien une petite popup qui te permet de t'opposer si tu ne souhaites pas être traqué.

                Je pense que la petite phrase que tu cite ("Le script suivant permet de désactiver le traçage des outils de mesure d'audience tant que les utilisateurs n'ont pas donné leur consentement.") est juste la pour présenter le script mais qu'elle est mal formulée. Enfin c'est ce que j'en comprend.

                • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

                  Posté par  . Évalué à 1. Dernière modification le 11 février 2014 à 15:00.

                  Je ne crois pas que la phrase soit fausse car la page carde juridique indique :

                  Quel est le cadre juridique applicable ?

                  En modifiant l'article 5(3) de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, le législateur européen a posé le principe :
                  * d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées.
                  * sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

                  L'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.

                  En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.

                  • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

                    Posté par  . Évalué à 2.

                    Mmmm OK.

                    En fait, la seule explication que je vois c'est que le fait de ne pas avoir cliqué sur refuser doit être équivalent à une acceptation. C'est fou.

                    • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

                      Posté par  . Évalué à 2. Dernière modification le 11 février 2014 à 15:19.

                      J'ai trouver un article qui précise la chose :

                      Mode d'emploi

                      La cinématique proposée se déroule en deux étapes. En page d'ouverture, l'internaute est informé via un bandeau : s'il poursuit sa navigation, des cookies ou d'autres technologies de traçage pourront être utilisées pour suivre ses mouvements. Mais il peut souhaiter en savoir plus. Pour décider en toute connaissance de cause, la seconde étape doit étendre son information et permettre à l'usager, via une série de boutons cliquables, d'accepter ou de refuser le dépôt de ces mêmes traceurs sans "s'exposer à des conséquences négatives". Un refus ne doit pas entraver sa navigation sur le site. Ces règles ont trois conséquences : le consentement est préalable à l'insertion ou à la lecture de cookies et traceurs, il résulte d'une information compréhensible et sans ambiguïtés dans sa formulation et n'est valide "que si la personne exerce un choix réel".
                      Trois familles de cookies sont visées par la délibération : les cookies liés aux opérations relatives à la publicité ciblée, qui en principe ne devraient pas concerner directement les collectivités territoriales, les cookies des réseaux sociaux générés par leurs boutons de partage, mais uniquement lorsqu'ils collectent des données personnelles (4) et les cookies de mesures d'audience, plus fréquemment utilisés dans le secteur public.

                      Bon le code d'exemple ne correspond pas vraiment, mais il n'a fallu que deux ans à la CNIL depuis la modification de la loi pour pondre ça !

          • [^] # Re: Mécanisme d'opposition accessible != demande d'autorisation

            Posté par  . Évalué à 2. Dernière modification le 11 février 2014 à 14:47.

            Ca y est je l'ai, c'est plus subtil:

               if ( referrer_host != document.location.hostname ) { //si il vient d'un autre site
               //on désactive le tracking et on affiche la demande de consentement            
                 window[disableStr] = true;
                 window[disableStr] = true;
                 window.onload = askConsent;
               } else { //sinon on lui dépose un cookie 
                  document.cookie = 'hasConsent=true; '+ getCookieExpireDate() +' ; path=/'; 
               }
            

            En clair, sur la première page, on affiche la banniere, pas de tracking. L'utilisateur ne peut que refuser ou continuer. S'il continue et clic ailleurs, cela vaut acceptation, on tombe dans le else, et cela active le cookie et le tracking.

            Du coup, c'est quand même de l'opt-out (comme indiqué par le nom de la méthode dans les sources), mais tu n'es pas traqué sur le premier load. Ca te laisse une chance quoi.

  • # Tout le monde à la même enseigne

    Posté par  (site web personnel) . Évalué à 4.

    Certains éditeurs usent et abusent du tracking pour des raisons qui leur sont propre, la CNIL entend réglementer ces systemes de mesures d'audience, soit …

    Mais certains points me gonflent vraiment :

    • Les données collectées ne doivent donc pas être recoupées avec d’autres traitements (fichiers clients, …).
    • Le cookie déposé doit servir uniquement à la production de statistiques anonymes.

    Donc même si l'utilisateur donne son consentement pour être tracké, je ne peux pas recouper les données collectés.
    Super, comment je fais pour savoir que mon super client vient consulter la FAQ 10 fois par jours parce qu'il ne sait pas utiliser certaines fonctionnalités de ma webapp ? Aucune pro-activité pour le conseiller ou lui proposer de l'aide personnalisée, on revient au bon vieux "tu te demerdes !"
    Je peux pas recouper son email de remontée de bug avec l'analytique pour savoir quel navigateur il utilise …
    Je peux pas voir qu'il visite la page du pricing 3 fois de suite et le croiser avec son abonnement actuel pour lui proposer une periode d'essai sur un plan supérieur …
    Je peux donc pas vérifier si il utilise seulement une partie des fonctionnalités et jamais certaines autres pour tenter de mieux cerner mes clients et améliorer mes offres ?

    Je veux pas les revendre ces données, je les collecte pour améliorer mes produits en interne.

    Donc finalement, ça ne fait chier que moi, puisque google peut rapatrier toutes ces données en uzbekistan ou la réglementation est plus laxiste et les croiser comme ils veulent.

    • Les cookies permettant la traçabilité des internautes et les adresse IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite.

    C'est pas clair du tout ça. J'imagine que la CNIL veut dire "à compter de la première autorisation de tracking". Parce que si lors des visites antérieures, l'utilisateur n'a pas donné son autorisation pour le tracking, comment je la connais la date de la première visite ?
    Plus d'info sur la page "que dit la loi" ou il est écrit "En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l'équipement terminal de l'utilisateur (faisant suite à l'expression du consentement)", on parle plus de la première visite.
    Si déjà on veut imposer des règles à la con, on fait un effort de pédagogie et on dissémine pas des infos contradictoires un peu partout …

    • L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
      Oh my … Ils sont mêmes pas foutus de relire correctement leur propres recommandations afin d'être un tant soit peu clair ces gros nazes !
      Dans le lien que dit la loi, il est écrit "seuls les deux premiers octets des adresses IPv4 peuvent être conservés"
      A quoi bon supprimer les 2 derniers octets si on ne peut conserver que les 2 premiers ? c'est complètement con.

    • Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
      Un sous domaine, c'est un autre site ? Même des autres sites du même éditeur ?

    Bon, encore une fois, ce que ne dit pas la loi, c'est quels sont les risques encourus pour non respect de ces règles. Car dans le cas ou je n'entend pas les respecter, j'aimerais tout de même savoir ce que cela peut coûter.

    • [^] # Re: Tout le monde à la même enseigne

      Posté par  (site web personnel, Mastodon) . Évalué à 0.

      Bon, encore une fois, ce que ne dit pas la loi, c'est quels sont les risques encourus pour non respect de ces règles. Car dans le cas ou je n'entend pas les respecter, j'aimerais tout de même savoir ce que cela peut coûter.

      Ton avocat est ton meilleur ami.

    • [^] # Re: Tout le monde à la même enseigne

      Posté par  . Évalué à 5. Dernière modification le 11 février 2014 à 14:03.

      tu peux faire tous les traitements que tu veux ! tu dois tout simplement en informer l'utilisateur avant, et lui permettre de débrayer tout le bazar s'il estime qu'il n'a pas besoin de ton aide pro-active !
      Et puis tu peux mettre tous les traitements du monde sur la partie serveur ! Enfin sauf que tu dois déclarer ton fichier à la CNIL si les informations sont nominatives.

    • [^] # Re: Tout le monde à la même enseigne

      Posté par  . Évalué à 1.

      Je peux pas recouper son email de remontée de bug avec l'analytique pour savoir quel navigateur il utilise …

      Oui, ca c'est vraiment dommage.

      Je peux pas voir qu'il visite la page du pricing 3 fois de suite et le croiser avec son abonnement actuel pour lui proposer une periode d'essai sur un plan supérieur …

      Tant mieux. En tant que client, je déteste ces pratiques.

      Je peux donc pas vérifier si il utilise seulement une partie des fonctionnalités et jamais certaines autres pour tenter de mieux cerner mes clients et améliorer mes offres ?

      Si. Tant que ces données restent anonymes.

  • # Obligatoire

    Posté par  (site web personnel) . Évalué à 2.

    C'est obligatoire pour tous les sites francais?
    Je croyais que la CNIL était consultative.

    • [^] # Re: Obligatoire

      Posté par  . Évalué à 1.

      La CNIL consultative ? Non !
      Obligatoire pour tous les sites français ? oui !
      Par exemple à cette page tu verras ce que tu risque en fonction de l'infraction : http://www.cnil.fr/vos-obligations/vos-obligations/

    • [^] # Re: Obligatoire

      Posté par  . Évalué à 4.

      Ça ne vient pas d'une décision de la CNIL mais d'une loi française qui est elle-même la transposition d'une directive européenne. La CNIL ne fait « que », dans ce cas-ci, lire la loi et expliquer ce que ça implique pour les webmaster.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Boutons "sociaux"

    Posté par  (site web personnel) . Évalué à 2.

    Concernant les boutons de partage de liens sur les réseaux sociaux, j'ai développé une petite bibliothèque PHP qui permet de les ajouter tout en respectant la réglementation : toutes les communications avec les dits réseaux sociaux non souhaitées par le visiteur se déroulent côté serveur.

    PHP Social Share

  • # Je suis le seul à trouver ce bandeau qui fleurit partout particulièrement pénible ?

    Posté par  (site web personnel) . Évalué à 3.

    C'est vraiment agaçant ce bandeau qui fleurit sur tous les sites. D'autant plus que puisque je bloque déjà la plupart des cookies, je n'ai aucun moyen de le faire disparaître…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.