11 Janvier 2021

Les Cookies et Traceurs (3/3)

Dans ce troisième et dernier volet sur le RGPD, nous allons parler des cookies et des traceurs, et partager notre constat que l'immense majorité des sites ne respecte pas la réglementation et les recommandations en vigueur.

En effet: "refuser" doit être aussi simple que d'accepter et ne doit pas nécessiter de clics supplémentaires, l'acceptation doit se faire préalablement à la lecture ou au dépôt des cookies, pouvoir modifier son choix à tout moment, etc. Ces exemples sont autant d'actions qui ne sont pas systématiquement présentes ou correctement implémentées.

Pour en savoir plus, nous vous proposons un tour d'horizon du sujet, afin que vous soyez le plus éclairé possible face à ce consentement que vous donnez.

Tout d'abord, que dit la loi ?

Les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs (en effet certains traceurs decrit apres sont dispensés du recueil de ce consentement).
D'apres la directive ePrivacy, le cadre de la directive 2002/58/CE de 2009 et les articles 4.11 et 7 du RGPD :

  • Le consentement de l'utilisateur est préalable au stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci, sauf si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur.
  • Le consentement doit être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le modifier ou retirer, à tout moment, avec la même simplicité qu’il l’a accordé.
  • La finalité doit être clairement exposée en termes simples et compréhensibles pour tous. Elle peut cependant être découpée en 2 niveaux pour concilier concision et précision de l’information

Cookie ou traceur, que couvrent ces termes ?

Sans trop rentrer dans le détail des définitions techniques du cookie ou du traceur, voici tout de même les principales définitions que l'on trouve pour définir ces 2 termes :

  • Cookies HTTP ou flash, ils sont placés sur votre navigateur à la demande du site que vous consultez.
  • Calcul d’une empreinte unique (fingerprinting).
  • Pixel invisible ou "web bugs", présents dans la page web.
  • Tout identifiant généré par un logiciel ou OS (numéro de série, mac adresse, IDVF, etc)

Qui est concerné par cette loi ?

Elle concerne tous les responsables de traitement déposant des traceurs.
Dans le cas de cookies ou traceurs fournis par un service tiers, le responsable et le tiers sont conjointement responsables du dépôt du traceurs et de la finalité de traitement des informations récoltées.

Cette loi s'applique :

  • Aux éditeurs de sites web et d'applications mobiles
  • Aux régies publicitaires
  • Aux réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux.

Quel sont les traceurs concernés ?

Tous les cookies ou traceurs n’ayant pas pour finalité exclusive de : "permettre ou faciliter une communication par voie électronique" ou n’étant pas strictement nécessaire à la "fourniture d'un service de communication en ligne" à la demande expresse de l'utilisateur nécessitent le consentement préalable de l’internaute.

Les traceurs suivants ne sont pas concernés :

  • les traceurs conservant le choix exprimé par un utilisateur sur le dépôt de traceurs (NDLR: logique non ;) ? )
  • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat
  • les traceurs de personnalisation de l'interface utilisateur (langue, thème, etc)
  • les traceurs permettant l'équilibrage de la charge des équipements informatiques
  • Les traceurs de performances et d’audience dans des cas spécifiques (performances de l’application, temps de réponse, calibrage en fonction d’une charge, etc.) Voir annexe "solutions pour les outils de mesure d'audience"

Comment recueillir un consentement ?

Le consentement doit se manifester par une action positive de la personne préalablement informée. Il peut accepter/refuser ou modifier son consentement à tout moment et avec le même degré de simplicité.

  • Les traceurs concernés doivent attendre le choix de consentement avant d’être déposés ou lus.
  • Le consentement doit être redemandé si la finalité d’usage change
  • Il doit pouvoir être retiré/modifié à tout moment par l’utilisateur

Comment prouver que l’on a recueilli un consentement ?

Chaque responsable du traitement d’une information doit être en mesure de prouver qu’il a bien reçu un consentement. Les moyens suivants sont proposés :

  • Mise sous séquestre auprès d’un tiers du code source utilisé, ou en publiant ses sources horodatées sur un site
  • Une capture d’écran desktop ou mobile à chaque version du site ou de l’application
  • Mandater des tiers pour auditer régulièrement les mécanismes de recueil du consentement
  • Utiliser des outils de recueil de consentement (CMP : Consent Management Platerform) éditer par des tiers

Explications de la CNIL

Afin d'aider à la compréhension, la CNIL met à disposition cette vidéo. Pour les plus avertis vous remarquerez que celle-ci est fournie par un service youtube-nocookie. Bonne lecture !


En conclusion

La majorité des sites propose aujourd'hui un système de gestion de cookies ce qui est un bon point, malheureusement intentionnellement ou non ceux-ci sont rarement complets ou correctement codés.
Il reste donc pour la protection des données personnelles pas mal de chemin à parcourir pour les éditeurs de sites, de logiciels ou de services digitaux.

Nous espérons que cette suite d'articles vous aura sensibilisé et permis d'avoir un regard éclairé sur la réglementation et la protection de vos données personnelles.

Autres articles sur le même thème :

Annexes et sources