1310-image1-fr1412850305.jpg

C’est le temps des Cookies : il est temps d’être conforme

Les cookies la plupart des internautes en sont friands sans le savoir. Mais dès ce mois d’octobre, les utilisateurs peuvent accepter ou non la présence de cookies sur les sites qu’ils visitent. La CNIL veille en ligne à ce que la loi qui impose le consentement des internautes soit appliquée.

 
  

Les cookies sous le contrôle de la CNIL

 
 
Vous avez déjà rencontré sur des sites ou des blogs un bandeau qui vous signale que « Si vous poursuivez la navigation sur ce site vous acceptez le dépôt de cookies. » accompagné d’un lien « Pour en savoir plus ».
 
Vous vous êtes étonnés deux secondes et avez poursuivi votre navigation.
Ces petites bannières d’avertissement de cookies vont fleurir de plus en plus. Car depuis octobre 2014, la CNIL contrôle si la directive du 5 décembre 2013, sur la fin des cookies sans le consentement des internautes, a bien été appliquée.
 
La CNL suit une ordonnance européenne n°2011-1012 du 24 août 2011  :
« En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement. »
 
 
 
 

Pas encore conforme avec les cookies de la CNIL ?

 
 
Bon d’accord selon la CNIL,
"Tout manquement à la loi "informatique et libertés" est passible de sanctions financières pouvant aller jusqu’à 300 000€."
 
Mais
"La Commission a conscience que la mise en conformité de certains sites nécessitera plus de délai que d’autres. En cas de plainte ou de contrôle, la Commission appréciera les efforts mis en œuvre par le responsable du traitement pour se mettre en conformité."
 
Pour les retardataires il est temps de se préparer une bonne cafetière. Surtout si vos sites intègrent Google Analytics, les boutons des réseaux sociaux et des publicités ciblées.
Mais pas d’inquiétude, car en surfant sur le web il s’avère que beaucoup de sites ne sont pas encore à la page.
 
 
 
 

Quels cookies et acteurs concernés et quelles obligations ?

 
 
Sur son site la CNIL explique « Que dit la loi ? » et propose des outils et des codes sources.
 
 
Les cookies concernés : 
  • "les cookies liés aux opérations relatives à la publicité ciblée,
  • certains cookies de mesure d’audience (voir  les exemptions ci-dessous),
  • les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu’ils collectent des données personnelles sans consentement des personnes concernées."
 
Les cookies créés pour le bon fonctionnement d’un site comme maintenir une session ouverte, gérer un panier sur les sites e-commerce, authentifier un internaute… sont exemptes.
 
 
Les acteurs concernés :
  • "les éditeurs de sites, de système d’exploitation et d’applications,
  • les régies publicitaires,
  • les réseaux sociaux et les éditeurs de solutions de mesure d’audience."
 
 
Les obligations sont d’informer l’internaute :
 
  • "des finalités précises des cookies utilisés ;
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal."
 
 
 
 

Comment se mettre en conformité ?

 
 
Sachez que si vous installez les boutons des réseaux sociaux ou si vous utilisez Google Analytics ou encore des publicités ciblées vous allez vous amuser pour vous mettre en conformité.
En lisant les commentaires dans les forums certains webmasters s’arrachent déjà les poils de nez. D’autres tranquilles suivent ce qu’ont fait les grands sites même si ces derniers sont loin d’être exemplaires. D’autres encore envisagent d’héberger leur site en dehors de l’Europe.
 
La première réflexion est : quels cookies circulent sur mon site ?
La CNIL a mis à disposition un petit logiciel qui vous permet de détecter tous les cookies qui circulent sur un site ou un blog, « CookieViz ».
 
 
 
 
 
 
 
 
CookieViz vous permet de visualiser en temps réel l’activité des cookies sur les sites que vous visitez. Vous saurez à partir de quel site et avec qui vous avez communiqué et quelles sont les informations envoyées. Vous vous apercevrez que sur certains sites vos informations sont vite éventées.
 
Une fois que vous avez listé les cookies sur votre site, vous devez en informer les internautes. Et lui proposer des solutions pour les refuser.
 
 
 
 
 

D’abord, il y a le bandeau d’information préalable

 
 
Certains sites affichent déjà un bandeau d’information préalable comme l’indique la CNIL sur son site « En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de  Cookies... » accompagné d’un lien « En savoir plus et paramétrer les cookies ».
 
"Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton " rechercher ")."
 
Donc si l’internaute poursuit sa navigation sans cliquer sur le bandeau alors il accepte les cookies.
Mais il est impératif que ce dernier accède facilement à la page « En savoir plus » s’il souhaite ne pas recevoir de cookies. Et avant l’ouverture de la page, pas de cookies. Il faudra modifier les scripts des mesures d’audience, des publicités ciblées et des boutons des réseaux sociaux…
 
 
 
 

Ensuite, il y a la page « En savoir plus » sur les cookies

 
 
Dans le bandeau d’information préalable, un bouton « En savoir plus »  permet d’accéder à une page qui doit tout dire sur les cookies utilisés et vous proposer des solutions pour refuser partiellement ou tous les cookies.
L’astuce n’est pas de faire un copier coller des pages déjà en ligne comme certains le font pour la page Mentions Légales. Google déteste le contenu dupliqué.
 
 
De nombreux sites sont peu inspirés et indiquent sur la page « En savoir plus »
  • C’est quoi un cookie ?
  • À quoi servent les cookies ?
  • Quels sont les cookies que nous utilisons (parfois la liste est longue voire très longue.)
  • Bloquer les cookies via les options des navigateurs. Certains prennent le soin de détailler la démarche. D’autres envoient directement sur les liens des navigateurs
  • Fin
 
Mais cela ne suffit pas. Car en regardant de près les recommandations de la CNIL, modifier les paramètres des navigateurs est une solution à elle seule insuffisante.
 
"Article 4 
Sur les paramètres du navigateur, la Commission rappelle que l’article 32-II précité précise que l’accord peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle. 
 
Elle considère que le paramétrage du navigateur ne peut exprimer la manifestation d’un consentement que
  • si l’utilisateur a pu être en mesure de modifier les paramètres de son navigateur pour accepter ou refuser les Cookies ;
  • et, s’il a été informé avant le dépôt ou la lecture de Cookies, de leurs finalités et des moyens de s’y opposer.
La Commission souligne que les paramètres du navigateur ne permettent pas, en l’état actuel de la technique, de gérer des technologies autres que les cookies HTTP. Elle considère qu’ils ne pourraient donc être regardés comme satisfaisants en cas d’utilisation d’autres technologies que les cookies HTTP, tels que les pixels invisibles, les cookies flash, ou les techniques de fingerprinting."
 
 
 
 
 
 
Des outils et des codes sources pour obtenir le consentement des internautes
 
 
Les mesures d’audience.
Deux solutions :
Soit vous optez pour PIWIK et avec un léger paramétrage vous êtes conforme (rendre anonyme les adresses IP recueillies). L’avantage avec PIWIK est que vous n’êtes pas obligé d’afficher un bandeau de consentement.
 
Mais certains ne pourront pas se passer de Google Analytic. Si c’est votre cas vous devez modifier le code source de vos pages et vous devrez proposer un bandeau de consentement.
 
 
 
 
Les boutons sociaux
Les boutons « J’aime » «Partager » « Tweeter » des réseaux sociaux envoient des cookies dès lors qu’un utilisateur visite la page du site sans avoir cliqué sur un bouton.
La CNIL propose l’outil Social Share Privacy qui génère les boutons des réseaux sociaux sans envoyer de cookies. Mais le désavantage est que l’internaute doit cliquer deux fois pour dire « J’aime » « Je partage »… hum pas très convivial.
 
Vous pouvez vous-même vous concocter vos propres boutons sociaux comme Hervé d’Infiniblog 
 
 
 
 
La publicité ciblée
 
Toute la publicité n’est pas dans le collimateur de la CNIL. La publicité sémantique, celle qui s’adapte au contenu de la page et non au profil de l’utilisateur est exempte.
 
Par contre, la publicité ciblée est à gérer.
La CNIL propose une solution pour DoubleClick de Google et une liste des régies offrant des solutions d’opt-out au traçage par cookie  qui donne la possibilité à un internaute de se désinscrire.
 
Pour gérer au mieux les cookies issues des publicités ciblées, nombreux sont les sites qui renvoient directement sur youronlinechoices.com. L’internaute peut sélectionner les cookies qu’il refuse. 
 
L’utilisateur a beaucoup de clics et de lecture avant de refuser les cookies. Mais pas seulement il va devoir lui-même paramétrer beaucoup d’outils. Une manière de le convaincre de poursuivre sa navigation en acceptant les cookies ou d’être plus radical en passant par la case des navigateurs. L’expérience utilisateur risque d’en prendre un coup. La CNIL fait rager beaucoup de monde sur la toile.
 
Pour finir je vous souhaite bon courage surtout aux éditeurs férus de publicités ciblées. Et pas d’inquiétude la CNIL n’est pas encore à jour comme l’a souligné le site blog.axe-net.fr dans l’article CNIL et cookies : êtes-vous prêts ?
 
 
 
 
 
 
 

Juste une dernière information : c’est quoi un cookie ?

 
 
 
 
 
Sources :
 

Auteur : Hélène Guérin

Hélène Guérin
Rédactrice, j'aime m'amuser avec les mots. C'est sûrement dû à ma dyslexie. Pourquoi écrire pour le Web ? Je baigne dedans au quotidien (webdesigner - ergonome) alors je veille sur les dernières technologies.

Commentaires Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *