Discussion :

[Hinault Romaric]

CNIL : les cookies doivent désormais obtenir l’aval de l’internaute
les annonceurs ont-ils abusé de ces « petits mouchards » du Web ?

Les cookies sont utilisés par un nombre important de sites Web pour suivre un internaute. Ces « petits espions » du Web posent plusieurs problèmes d’atteinte à la vie privée, car ils sont activement exploités par les annonceurs pour tracer les utilisateurs à leur insu, à des fins de publicités ciblées.

La Commission nationale de l'informatique et des libertés (CNIL) veut mettre fin aux abus des cookies par l’industrie publicitaire. Désormais, les cookies ne devront plus être installés sans l’approbation des internautes.

S’appuyant sur les directives européennes de 2009 (qui renforcent l'obligation d'information des internautes à l'égard des cookies), transcrites dans le droit en France en 2011, la CNIL a publié une recommandation le 17 décembre sur l’utilisation des cookies. « L’idée, c’est de donner des précisions suffisantes aux acteurs pour que tout le monde puisse se mettre en conformité avec la loi. », explique Edouard Geffray, le secrétaire général de la CNIL.

Afin de se mettre en conformité avec la loi, la recommandation de la CNIL stipule que les cookies publicitaires, les cookies des réseaux sociaux et certains cookies de mesure d’audience doivent obtenir l’aval de l’internaute avant d’être installés.

Les cookies techniques, notamment utilisés pour stocker le contenu d’un panier, authentifier un internaute ou encore identifier une session utilisateur, ne sont pas concernés par cette mesure.

La CNIL propose aux éditeurs de recueillir le consentement de l’internaute en deux étapes :

• première étape : informer clairement l’internaute via un bandeau qui précise la finalité des cookies utilisés et la possibilité de s'y opposer (via un lien vers une page dédiée du site) ;
• seconde étape : informer l’internaute de « manière simple et lisible » des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.

« En tout état de cause, les cookies ne peuvent pas être installés ou lus si l'internaute ne poursuit pas sa navigation, ou s'il clique sur le lien présent dans le bandeau pour paramétrer les cookies et, le cas échéant, refuse le dépôt de ceux-ci. », note la CNIL.

Le gendarme français a également publié un ensemble d’outils et de conseils pour permettre aux internautes de limiter la traçabilité de leur navigation Web. Une application a été développée par les experts de la CNIL pour visualiser en temps réel le dépôt et la lecture des cookies lors d’une navigation.

Baptisée « Cookieviz », l’application analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l’installant, l’internaute pourra savoir à qui le site qu’il visite envoie des informations.

« Deux minutes et quelques clics suffisent pour explorer l’arrière-boutique du web et visualiser en temps réel l’ampleur du phénomène du tracking. », explique la CNIL. L’application est téléchargeable gratuitement sur Source Forge.

Télécharger Cookieviz

Source : CNIL


Et vous ?

Les annonceurs ont-ils abusé de ces « petits mouchards » du Web ?

Que pensez-vous des recommandations de la CNIL ? Les annonceurs vont-ils s'y conformer ?

Allez-vous utiliser Cookieviz ?

Comment contrôlez-vous la traçabilité de votre navigation sur le Web ?

[Uranne-jimmy]

les annonceurs ont-ils abusé de ces « petits mouchards » du Web ?

Clairement oui, mais parce qu'ils ne s'en servent pas uniquement pour cibler la pub. Cibler la pub en soit, c'est même bien ! La pub, c'est chiant, mais c'est aussi parce qu'elle est pas intéressante, cibler c'est filtrer le moins intéressant, c'est pas très utile, mais c'est pas néfaste.

Que pensez-vous des recommandations de la CNIL ? Les annonceurs vont-ils se conformer ?

Ca va foutre le bordel, beaucoup de sites se rémunèrent sur les pubs ciblés, si on a le droit de choisir, des utilisateurs lambda vont pour certains sortir du système (tout comme ceux qui ont configuré leurs explorateur pour ne pas enregistrer de cookies, et les adblockers bien sûr), et ça c'est du bénéfice en moins. Du coup je pense qu'ils vont changer de système, trouver autre chose que le cookies, et n'en parler a personne bien sûr ^^ si c'est pas déjà fait.

Allez-vous utiliser Cookieviz ?

Oui. Pour tenter, ça a l'air marrant et intéressant.

Comment contrôlez-vous la traçabilité de votre navigation sur le Web ?

Je contrôle par une navigation intelligente, quelques coup de ccleaner ou autre de temps à autres et adblock, a vrai dire je me fou un peu de savoir qui me suis, quand ça reste dans une certaine limite (limite placé à l'intersection entre : "c'est ma vie t'y touche pas" et "j'ai la flemme de me donner les moyens de me protéger").

[gangsoleil]

les annonceurs ont-ils abusé de ces « petits mouchards » du Web ?

Oui, bien sur, et a outrance en plus. Il n'y a qu'a voir les limites de validite qui sont souvent de plusieurs annees.

Que pensez-vous des recommandations de la CNIL ? Les annonceurs vont-ils se conformer ?

Oui, ils vont mettre un bandeau qui dit "Si vous n'acceptez pas ce(s) cookie(s) vous ne pourrez pas visiter ce site", et hop, l'internaute acceptera immediatement.

Allez-vous utiliser Cookieviz ?

Oui, pour rigoler/pleurer, mais ca ne changera pas grand chose.

[DonQuiche]

les annonceurs ont-ils abusé de ces « petits mouchards » du Web ?

Je pense que nous connaissons tous la réponse à cette question et que beaucoup d'entre nous ont déjà pris des mesures.

Cela dit il y a un autre problème qui a émergé ces dernières années et que je trouve difficile à endiguer : la multiplication des sites impliqués dans la visualisation d'une page. Même en excluant le contenu publicitaire et de tracking proprement dit, n'importe quel site aujourd'hui a recours à un CDN et à des scripts venant d'autres sites, ce qui permet à nombre de ces sites tiers d'enregistrer les visites des sites d'origine, d'autant que l'url du site référent est disponible dans le message http. Et, non, le cache du navigateur n'est pas toujours applicable (faible durée de mise en cache, contenu unique, etc). Pour caricaturer la moitié des sites webs ne peuvent plus être visualisés sans fournir encore et toujours davantage de données à Google.

[Kearz]

Oui, non, je ne sais pas.

Moi j'accepte les pubs sur les sites que j'apprécies parce que c'est rémunérateur pour eux. C'est rémunérateur si je clique. Je clique que si ça m'intéresse. Et bien sûr, ça m'intéresse que si c'est ciblé..
Donc je suis pas contre le cookies, si ça juste pour but de voir quels produits j'ai cherché sur des sites e-Commerce, ça me gène pas. Si c'est pour faire un profil type de client pour trouver des produits, ça me gène pas non plus.

Par contre si c'est pour me tendre des pièges. Type prix qui bougent en fonction de ce que j'ai déjà vu/fait, ça me plait pas.

Et au passage, si on pouvait évité d'instaurer ce genre de chose au moment où une entreprise Française (criteo) qui se sert de cookies est en train de monter, ça serait pas mal. Ça fait X années que l'on vit avec, maintenant on est plus à 1 ou 2 ans près. Autant travailler sur le sujet au niveau Europe/Monde.

[Grimly]

Et quand allons nous parler de l'alternative ETag ?

Pourtant, vouloir retirer cette fonctionnalité de cache nuirait à certains sites de contenus tels que des images, sons ou vidéos où les données sont partagées sur plusieurs serveurs et où les dates n'ont pas beaucoup de sens.

[fregolo52]

Oui, pour rigoler/pleurer, mais ca ne changera pas grand chose.

Dans le même genre que Cookieviz, j'ai le add-on Lightbeam dans firefox.

[Stéphane le calme]

Cookies publicitaires : la CNIL annonce qu'elle va étendre ses contrôles au-delà des éditeurs de sites,
afin de promouvoir une solution globale de conformité

S’appuyant sur les directives européennes de 2009 (qui renforcent l'obligation d'information des internautes à l'égard des cookies), transcrites dans le droit en France en 2011, la CNIL a publié une recommandation en décembre 2013 sur l’utilisation des cookies. « L’idée, c’est de donner des précisions suffisantes aux acteurs pour que tout le monde puisse se mettre en conformité avec la loi. », avait expliqué Edouard Geffray, qui était alors le secrétaire général de la CNIL.

Afin de se mettre en conformité avec la loi, la recommandation de la CNIL stipulait que les cookies publicitaires, les cookies des réseaux sociaux et certains cookies de mesure d’audience obtiennent l’aval de l’internaute avant d’être installés.

Les cookies techniques, notamment utilisés pour stocker le contenu d’un panier, authentifier un internaute ou encore identifier une session utilisateur, n’étaient pas concernés par cette mesure.

La CNIL a proposé aux éditeurs de recueillir le consentement de l’internaute en deux étapes :

• première étape : informer clairement l’internaute via un bandeau qui précise la finalité des cookies utilisés et la possibilité de s'y opposer (via un lien vers une page dédiée du site) ;
• seconde étape : informer l’internaute de « manière simple et lisible » des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.

Une manœuvre qui n’a sans doute pas été suffisante puisque l’année suivante la CNIL a entrepris de mener une première série d’enquêtes, amorçant le bras de fer entre les éditeurs de sites et l’autorité.

En avril dernier, la CNIL a présenté son rapport de l’année 2015 dans lequel elle a indiqué avoir effectué 501 contrôles dont 155 en ligne et 87 sur la vidéoprotection, qui ont abouti à 93 mises en demeure (dont 28 pour des contrôles effectués en ligne). Concernant les mises en demeure, 40 concernent la réglementation sur les cookies, tous sites confondus.

La question des cookies et autres traceurs qui opposent la CNIL aux éditeurs date donc de plusieurs années.

Cette fois-ci, l’autorité a décidé d’étendre ses contrôles au-delà des éditeurs de sites. Pour justifier cette décision, elle explique « qu’afin de tenir compte de la complexité et des évolutions de l’écosystème de la publicité en ligne, la CNIL engage des contrôles auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne »

La CNIL rappelle que le législateur européen a modifié les règles applicables aux « traceurs » en passant d’un principe de droit de « refus » (dit d’opposition) à un principe de consentement préalable conditionnant l’usage de ces traceurs (opt-in), dans l’optique de donner plus de maîtrise aux internautes sur leurs données.

La CNIL note que « le marché de la publicité en ligne s’est profondément métamorphosé au cours des trois dernières années, passant d’un ciblage massif de population par grandes catégories sociodémographiques au ciblage individualisé. La publicité ciblée nécessite une connaissance précise des préférences, comportements et liens sociaux des internautes qui se traduit par des techniques de traçage et une exploitation toujours plus fine des données par les intermédiaires de la chaîne de valeur ».

L’autorité rappelle le principe clé de l’aval de l’internaute concernant les cookies, précisant que l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant la finalité des cookies déposés. De plus, cet accord étant révocable, la commission indique qu’un moyen simple doit être proposé aux utilisateurs pour supprimer les cookies déjà déposés ou tout simplement bloquer la lecture et le dépôt de nouveaux cookies.

Et quelle est la part de responsabilité des partenaires des éditeurs de sites ? La commission estime qu’en tant que responsables du traitement, les sociétés tierces ou les partenaires sont tenus de respecter la loi informatique et libertés, et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations. À défaut, d’un tel consentement, la collecte des données traitées par ces tiers est illicite.

« En pratique, cela signifie que la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces, en accord avec le principe de coresponsabilité prévu par la législation européenne et rappelé par la CNIL dans sa recommandation du 5 décembre 2013 ».

La commission note que par ailleurs, les données collectées par l’intermédiaire des traceurs peuvent faire l’objet de plusieurs traitements par les différents partenaires comme :

• utiliser les informations collectées sur le comportement de navigation des internautes afin de constituer des profils ;
• prendre des décisions relatives aux publicités qui seront affichées en fonction de ce profil ;
• définir des algorithmes permettant de réaliser le profilage.

Aussi, la commission envisage une mise en conformité qui va viser l'ensemble de la chaîne, si le secteur souhaite « construire des modèles de publicité ciblée pérennes, c’est-à-dire respectueux des droits des personnes ». Raison pour laquelle elle a décidé d'étendre ses contrôles au-delà des seuls éditeurs de sites, et donc « auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne ».

Source : CNIL

Voir aussi :

Des sites se servent de l'API AudioContext pour obtenir une empreinte audio des internautes et pister les utilisateurs sans passer par les cookies

Les cookies publicitaires pourraient permettre de vous identifier, selon une étude menée par des chercheurs de l'université de Princeton

iOS 9.2.1 : Apple colmate une faille critique vieille de plus de deux ans qui aurait permis à des attaquants de subtiliser les cookies de navigation

[Jipété]

[...] La commission note que par ailleurs, les données collectées par l’intermédiaire des traceurs peuvent faire l’objet de plusieurs traitements par les différents partenaires comme :

• utiliser les informations collectées sur le comportement de navigation des internautes afin de constituer des profils ;
• prendre des décisions relatives aux publicités qui seront affichées en fonction de ce profil ;
• définir des algorithmes permettant de réaliser le profilage.

Voir aussi :
Les cookies publicitaires pourraient permettre de vous identifier, selon une étude menée par des chercheurs de l'université de Princeton

Il doit être beau, mon profil chez les publicitaires et ceux qui utilisent les données qu'il contient,
Parce qu'il m'arrive parfois du dépanner des trucs et des machins pour des potes et autres relations, genre ces derniers temps un moteur d'aspirateur, un casque audio sans fil, et la recherche d'un œilleton d'APN perdu : je vous dis pas, malgré Adblock, la quantité de pubs pour moteur que je vois dans les coins maintenant, comme si j'allais acheter 3 moteurs par jour ! À 100 € pièce ! C'est c'la, oui...
Ces trucs sont écrits avec les pieds, pas d'autre explication.

Hélas, la pub, truc bidon s'il en est, est payée avec notre vrai bon pognon

[Bousk]

La CNIL c'est bien uniquement en France non ?
Donc la France espère faire plier tout le web ? Ou imposer l'utilisation d'un browser français qui prendrait en compte ces spécifications (pop-up pour accepter chaque cookie ou non) ? Et chaque site qui espère être compatible devra s'upgrade pour gérer les cas où le visiteur n'accepte pas un cookie ? Et fournir une option pour supprimer tous les cookies qu'il aurait déposé ?
Je veux bien que ça soit du bon sens, mais peu de sites le font. Et dans le cas d'un bandeau de pub, le site en question ne peut pas effacer le cookie déposé par le site distant du bandeau. Sauf si la régie propose maintenant une API pour que le site demande la suppression des cookies du client. Ca a pas l'air simple, et un sacré casse-tête dans tous les cas.
J'ai sûrement compris un truc de travers, mais leur truc me parait au mieux utopique.

Parce qu'il m'arrive parfois du dépanner des trucs et des machins pour des potes et autres relations, genre ces derniers temps un moteur d'aspirateur, un casque audio sans fil, et la recherche d'un œilleton d'APN perdu : je vous dis pas, malgré Adblock, la quantité de pubs pour moteur que je vois dans les coins maintenant, comme si j'allais acheter 3 moteurs par jour ! À 100 € pièce ! C'est c'la, oui...
Ces trucs sont écrits avec les pieds, pas d'autre explication.

M'en parle pas, j'ai acheté une lentille neuve pour un vidéoprojecteur l'année dernière, et un des sites que j'avais visité, sur lequel je n'ai même pas réalisé l'achat parce qu'il me semblait douteux, apparait maintenant quasiment tous les jours sur un bandeau de pub

[Invité]

informer clairement l’internaute via un bandeau qui précise la finalité des cookies utilisés et la possibilité de s'y opposer (via un lien vers une page dédiée du site) ;
seconde étape : informer l’internaute de «manière simple et lisible » des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.

Pour ma part, j'ai très rarement vu les liens proposant de s'y opposer, ni les informations indiquant comment refuser tout ou partie des cookies. En général, les éditeurs se contentent d'un bandeau "pour info, on utilise des cookies, que vous pouvez accepter en cliquant sur ce bouton".

@Boosk : j'ai l'impression que les principales régies font en sorte de faciliter le boulot des éditeurs pour se conformer à la loi de chaque pays (ce sont quand même des clients). Je ne pense pas qu'ils aient intérêt à ne pas respecter les différentes lois des pays ciblés, puisque les cookies publicitaires sont une source de revenus.
Par contre, je n'ai pas compris pourquoi le site devrait changer quelque chose dans le cas où un visiteur n'accepte pas le cookie publicitaire. Pour moi, les emplacements sont remplis au niveau de la régie, non ? Dans tous les cas, l'emplacement est conservé, donc l'implémentation est identique.
Si l'utililisateur souhaite refuser le cookie, l'éditeur peut le renvoyer vers le site de la régie qui lui propose les options qui vont bien. Ou il y a d'autres implications ?

[Aurelien Plazzotta]

En général, les mots "solution", "globale" et "conformité" s'associent mal avec "informatique et LIBERTES".