Share
Cookies et CNIL : quasiment tous les sites Web français sont dans l’illégalité, même pour des sites du gouvernement

Cookies et CNIL : quasiment tous les sites Web français sont dans l’illégalité, même pour des sites du gouvernement

Alors que la CNIL a publié des recommandations relatives aux cookies et autres traceurs à la fin de l’année 2013, la plupart des sites Internet français n’en ont pas toujours tenu compte.

Quasiment tous les sites Internet français ne respectent pas les obligations relatives aux traceurs, et ce même pour des sites officiels appartenant au gouvernement.

Un avertissement insuffisant et qui ne respecte pas la loi
Un avertissement relatif à l’utilisation des cookies de suivi

Depuis ces derniers mois, la plupart des sites Internet français se sont mis à afficher un avertissement en ce qui concerne l’utilisation des cookies, obligeant les internautes à se débarrasser de cette petite fenêtre Ô combien irritante (cf. ci-dessus) en cliquant sur un bouton OK ou une croix.

Que se passe-t-il sur la plupart des sites Internet si vous ne validez pas cet avertissement ? Le site a tout de même récolté des informations sur vous via des cookies comportementaux (publicités Adsense, outils de statistiques, affichage des boutons de partage sur les réseaux sociaux…) comme si de rien n’était.

Sauf que cela va clairement à l’encontre de ce qui a été édicté par la CNIL :

L’article 2 de la recommandation du 5 décembre 2013 indique que « sauf consentement préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués : si l’internaute se rend sur le site (page d’accueil ou directement sur une autre page du site à partir d’un moteur de recherche, par exemple) et ne poursuit pas sa navigation : une simple absence d’action ne saurait être en effet assimilée à une manifestation de volonté ».

Interdiction donc de suivre les visites des internautes n’ayant pas validé l’acceptation de l’utilisation de cookies comportementaux. Interdiction d’afficher des publicités Adsense basées sur le comportement des internautes, ou d’utiliser la plupart des boutons de partage sociaux, tous ces usages demandant l’utilisation de cookies traqueurs.

Comment la CNIL juge que l’internaute donne son accord ? Cela semble être « qui ne dit mot consent », mais c’est finalement un peu plus subtile que ça…

Les cookies, conformément à l’article 32-II de la loi, ne peuvent être, par définition, déposés qu’une fois ledit consentement recueillit. Ce dernier doit « se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer ».  Qu’il s’agisse du fait de cliquer sur une image ou de faire défiler intentionnellement la première page consultée, l’internaute doit avoir pleinement conscience des conséquences de son action pour que celle-ci traduise son accord au dépôt de cookies.

Un clic sur OK ou le fait de faire défiler une page est donc considéré comme un accord de l’internaute pour l’utilisation des cookies comportementaux. Sauf que, si un site souhaite respecter les recommandations de la CNIL, les cookies comportementaux ne doivent pas être utilisés avant que l’internaute n’est consenti et, actuellement, ce n’est pas du tout comme cela que ça se passe.

Selon le blog de Axe-Net, une agence Web et référencement s’intéressant à ces sujets et qui a demandé à la CNIL ce qu’il en était pour une douzaine des plus gros sites français, ces derniers sont clairement hors-la-loi.

Voyages-SNCF, CDiscount, Rue du Commerce, Air France, Le Monde, Le Parisien, L’Express, le Huffington Post, Gouvernement.fr, Service-public.fr, France.fr et Culturecommunication.gouv.fr… Ces sites ne font qu’afficher un message d’information, jugeant que cela est bien suffisant pour installer chez les internautes une flopée de cookies traqueurs.

Mais la CNIL le dit clairement : « la seule information préalable est insuffisante ».

Pour se rendre conformes à la loi, quasiment tous les sites Internet français vont devoir trouver un moyen de ne pas déposer de cookies de tracking avant que l’internaute n’ait consenti. La CNIL avait annoncé qu’elle commencerait à réaliser des contrôles à partir du mois d’octobre 2014. Depuis cette déclaration… plus rien. La CNIL aurait-elle baissé les bras face à l’immense majorité de contrevenants en France ?

Source

7 Commentaires sur cet article

  1. A part un peu de blabla, la CNIL ne sert que de caution sans intérêt.
    Sinon sur WP, le plugin que j’ai mis demande quand même de cliquer pour accepter et a un lien pour quitter en cas de désaccord.
    Sinon on peut faire plus simple : ajouter la liste PreBake pour virer cette merde CNILienne inutile.

    Répondre
  2. Je dois avouer que cette pop-up est inutile. Tout d’abord car Madame Michu ne s’en souciera pas, elle ne cherchera pas à comprendre, il va le supprimer sans chercher a en savoir davantage. Et puis bon, toutes les sites utilisent des sessions. Et quand on fait un session_start, on a un cookie avec notre Session ID. Et comme tu l’as dit, les tracker pubs n’attendent pas l’accord de la CNIL. Et pour les connaisseurs…cela fait plus « chier » qu’autres choses.

    Répondre
  3. HelloWorld

    Self Destructuring Cookies à la rescousse !
    Plus sérieusement, les cookies sont en proie à devenir obsolète, le fingerprinting les remplacent tout doucement …

    Répondre
  4. Bonjour,

    merci pour cet article car cela fait un moment que je suis surpris de la manière dont la très grande majorité des sites publics, privés et/ou commerciaux interprètent ce texte et le traitent.
    On a beau pester contre cette obligation (j’en fais partie), mais à partir du moment où on est responsable d’un site, on se doit de se mettre en conformité.
    Je suis DSI d’une ville de 37000 hab et nous avons une petite équipe de développeur qui a notamment réalisé le site de la ville. Depuis l’année dernière le site de la ville est en conformité. Le plus contraignant a été notamment les code embarqués externes : type réseaux sociaux, webTV, pour lesquels nous ne maîtrisons pas l’implantation des cookies. Il a fallu ainsi carrément retirer certaines fonctionnalités tant que l’internaute n’a pas donné son consentement telles que le partage sur les réseaux sociaux ou le player de la webtv.

    Des sacrifices non sans conséquences et qui ont nécessité plusieurs jours de modification. Pas étonnant que la plupart des sites, notamment les sites commerciaux, interprètent cette obligation à leur manière.

    Répondre
  5. Nikita

    Avec firefox la solution est l’adon Gosthery qui bloque tous les mouchards et autres parasites dont faces boucs et l’oiseau abêtissant. En effet, ces deux derniers sites (twitter et facesboucs) collectent votre passage sur le site qui pose leur logo sans même que vous soyez sur twitter et FB car c’est un lien et ils collent votre adresse IP et le site. La traçabilité est continue au fur et à mesure que vous naviguez sur le net même si vous n’avez jamais eu de compte ni sur TW ni sur FB. Donc, l’adon Gosthery bloque tout ça et peut être débloqué à la carte comme vous le voulez par site, ou par balise ou par mouchard quand vous voulez qu’une pub s’affiche sur un blog pour qu’il se rémunère. C’est génial et ça casse l’espionite aigue et le voyeurisme publicitaire.

    Répondre
  6. Ce que je trouve rigolo c’est que si l’internaute refuse l’utilisation des cookies on doit quand même en utiliser un pour enregistrer ce choix 🙂
    Ils réfléchissent pas beaucoup parfois à la CNIL. Et ils faisaient quoi pendant la loi renseignement ? C’est pas les cookies qui me font peur.

    Répondre
  7. Petite info au passage, il existe une petite extension « I don’t care about cookies » https://addons.mozilla.org/fr/firefox/addon/i-dont-care-about-cookies/ qui permet de supprimer cet affreux message. ;p

    Répondre

Leave a Reply Annuler la réponse