CNIL : les cookies doivent désormais obtenir l’aval de l’internaute
CNIL : les cookies doivent désormais obtenir l’aval de l’internaute
les annonceurs ont-ils abusé de ces « petits mouchards » du Web ?
Les cookies sont utilisés par un nombre important de sites Web pour suivre un internaute. Ces « petits espions » du Web posent plusieurs problèmes d’atteinte à la vie privée, car ils sont activement exploités par les annonceurs pour tracer les utilisateurs à leur insu, à des fins de publicités ciblées.
La Commission nationale de l'informatique et des libertés (CNIL) veut mettre fin aux abus des cookies par l’industrie publicitaire. Désormais, les cookies ne devront plus être installés sans l’approbation des internautes.
S’appuyant sur les directives européennes de 2009 (qui renforcent l'obligation d'information des internautes à l'égard des cookies), transcrites dans le droit en France en 2011, la CNIL a publié une recommandation le 17 décembre sur l’utilisation des cookies. « L’idée, c’est de donner des précisions suffisantes aux acteurs pour que tout le monde puisse se mettre en conformité avec la loi. », explique Edouard Geffray, le secrétaire général de la CNIL.
Afin de se mettre en conformité avec la loi, la recommandation de la CNIL stipule que les cookies publicitaires, les cookies des réseaux sociaux et certains cookies de mesure d’audience doivent obtenir l’aval de l’internaute avant d’être installés.
Les cookies techniques, notamment utilisés pour stocker le contenu d’un panier, authentifier un internaute ou encore identifier une session utilisateur, ne sont pas concernés par cette mesure.
La CNIL propose aux éditeurs de recueillir le consentement de l’internaute en deux étapes :
- première étape : informer clairement l’internaute via un bandeau qui précise la finalité des cookies utilisés et la possibilité de s'y opposer (via un lien vers une page dédiée du site) ;
- seconde étape : informer l’internaute de « manière simple et lisible » des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.
« En tout état de cause, les cookies ne peuvent pas être installés ou lus si l'internaute ne poursuit pas sa navigation, ou s'il clique sur le lien présent dans le bandeau pour paramétrer les cookies et, le cas échéant, refuse le dépôt de ceux-ci. », note la CNIL.
Le gendarme français a également publié un ensemble d’outils et de conseils pour permettre aux internautes de limiter la traçabilité de leur navigation Web. Une application a été développée par les experts de la CNIL pour visualiser en temps réel le dépôt et la lecture des cookies lors d’une navigation.
Baptisée « Cookieviz », l’application analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l’installant, l’internaute pourra savoir à qui le site qu’il visite envoie des informations.
« Deux minutes et quelques clics suffisent pour explorer l’arrière-boutique du web et visualiser en temps réel l’ampleur du phénomène du tracking. », explique la CNIL. L’application est téléchargeable gratuitement sur Source Forge.
:fleche: Télécharger Cookieviz
Source : CNIL
Et vous ?
:fleche: Les annonceurs ont-ils abusé de ces « petits mouchards » du Web ?
:fleche: Que pensez-vous des recommandations de la CNIL ? Les annonceurs vont-ils s'y conformer ?
:fleche: Allez-vous utiliser Cookieviz ?
:fleche: Comment contrôlez-vous la traçabilité de votre navigation sur le Web ?
Cookies publicitaires : la CNIL annonce qu'elle va étendre ses contrôles au-delà des éditeurs de sites
Cookies publicitaires : la CNIL annonce qu'elle va étendre ses contrôles au-delà des éditeurs de sites,
afin de promouvoir une solution globale de conformité
S’appuyant sur les directives européennes de 2009 (qui renforcent l'obligation d'information des internautes à l'égard des cookies), transcrites dans le droit en France en 2011, la CNIL a publié une recommandation en décembre 2013 sur l’utilisation des cookies. « L’idée, c’est de donner des précisions suffisantes aux acteurs pour que tout le monde puisse se mettre en conformité avec la loi. », avait expliqué Edouard Geffray, qui était alors le secrétaire général de la CNIL.
Afin de se mettre en conformité avec la loi, la recommandation de la CNIL stipulait que les cookies publicitaires, les cookies des réseaux sociaux et certains cookies de mesure d’audience obtiennent l’aval de l’internaute avant d’être installés.
Les cookies techniques, notamment utilisés pour stocker le contenu d’un panier, authentifier un internaute ou encore identifier une session utilisateur, n’étaient pas concernés par cette mesure.
La CNIL a proposé aux éditeurs de recueillir le consentement de l’internaute en deux étapes :
- première étape : informer clairement l’internaute via un bandeau qui précise la finalité des cookies utilisés et la possibilité de s'y opposer (via un lien vers une page dédiée du site) ;
- seconde étape : informer l’internaute de « manière simple et lisible » des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.
Une manœuvre qui n’a sans doute pas été suffisante puisque l’année suivante la CNIL a entrepris de mener une première série d’enquêtes, amorçant le bras de fer entre les éditeurs de sites et l’autorité.
En avril dernier, la CNIL a présenté son rapport de l’année 2015 dans lequel elle a indiqué avoir effectué 501 contrôles dont 155 en ligne et 87 sur la vidéoprotection, qui ont abouti à 93 mises en demeure (dont 28 pour des contrôles effectués en ligne). Concernant les mises en demeure, 40 concernent la réglementation sur les cookies, tous sites confondus.
La question des cookies et autres traceurs qui opposent la CNIL aux éditeurs date donc de plusieurs années.
Cette fois-ci, l’autorité a décidé d’étendre ses contrôles au-delà des éditeurs de sites. Pour justifier cette décision, elle explique « qu’afin de tenir compte de la complexité et des évolutions de l’écosystème de la publicité en ligne, la CNIL engage des contrôles auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne »
La CNIL rappelle que le législateur européen a modifié les règles applicables aux « traceurs » en passant d’un principe de droit de « refus » (dit d’opposition) à un principe de consentement préalable conditionnant l’usage de ces traceurs (opt-in), dans l’optique de donner plus de maîtrise aux internautes sur leurs données.
La CNIL note que « le marché de la publicité en ligne s’est profondément métamorphosé au cours des trois dernières années, passant d’un ciblage massif de population par grandes catégories sociodémographiques au ciblage individualisé. La publicité ciblée nécessite une connaissance précise des préférences, comportements et liens sociaux des internautes qui se traduit par des techniques de traçage et une exploitation toujours plus fine des données par les intermédiaires de la chaîne de valeur ».
L’autorité rappelle le principe clé de l’aval de l’internaute concernant les cookies, précisant que l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant la finalité des cookies déposés. De plus, cet accord étant révocable, la commission indique qu’un moyen simple doit être proposé aux utilisateurs pour supprimer les cookies déjà déposés ou tout simplement bloquer la lecture et le dépôt de nouveaux cookies.
Et quelle est la part de responsabilité des partenaires des éditeurs de sites ? La commission estime qu’en tant que responsables du traitement, les sociétés tierces ou les partenaires sont tenus de respecter la loi informatique et libertés, et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations. À défaut, d’un tel consentement, la collecte des données traitées par ces tiers est illicite.
« En pratique, cela signifie que la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces, en accord avec le principe de coresponsabilité prévu par la législation européenne et rappelé par la CNIL dans sa recommandation du 5 décembre 2013 ».
La commission note que par ailleurs, les données collectées par l’intermédiaire des traceurs peuvent faire l’objet de plusieurs traitements par les différents partenaires comme :
- utiliser les informations collectées sur le comportement de navigation des internautes afin de constituer des profils ;
- prendre des décisions relatives aux publicités qui seront affichées en fonction de ce profil ;
- définir des algorithmes permettant de réaliser le profilage.
Aussi, la commission envisage une mise en conformité qui va viser l'ensemble de la chaîne, si le secteur souhaite « construire des modèles de publicité ciblée pérennes, c’est-à-dire respectueux des droits des personnes ». Raison pour laquelle elle a décidé d'étendre ses contrôles au-delà des seuls éditeurs de sites, et donc « auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne ».
Source : CNIL
Voir aussi :
:fleche: Des sites se servent de l'API AudioContext pour obtenir une empreinte audio des internautes et pister les utilisateurs sans passer par les cookies
:fleche: Les cookies publicitaires pourraient permettre de vous identifier, selon une étude menée par des chercheurs de l'université de Princeton
:fleche: iOS 9.2.1 : Apple colmate une faille critique vieille de plus de deux ans qui aurait permis à des attaquants de subtiliser les cookies de navigation