Une plainte est déposée contre CDiscount, Allociné et Vanityfair devant la CNIL. En cause ? « Les bandeaux de cookies de trois grands sites français transforment un rejet clair des utilisateurs en "faux" consentement » explique l’initiative Noyb.eu, fondée par l’activiste autrichien Maximilien Schrems.
On pensait que ces trackers qui collent à la peau des navigateurs avaient vu leur compte réglé depuis le 25 mai 2018. La directive e-privacy renvoie en effet la définition du consentement au règlement général sur la protection des données personnelles (RGPD). Ce consentement de l’internaute doit ainsi être libre, spécifique, éclairé et univoque, accompagné d’une solide information avant l’enregistrement de ces fichiers espions.
En juillet dernier, la CNIL a laissé une période d’adaptation aux entreprises, afin de leur laisser un délai suffisant pour respecter cette législation renouvelée. Elle a ainsi offert un an de répit aux responsables de traitements le temps d’adapter une série de lignes directrices qui verront le jour en 2020.
Le Conseil d’État a validé la démarche. Entre temps toutefois, cela ne veut pas dire que les acteurs peuvent faire n’importe quoi avec les bouts de vie privée des internautes.
L'internaute dit « non », le site comprend « oui »
S’appuyant sur une étude de l’institut national de recherche en sciences du numérique (Inria), et spécialement l’extension « Cookie Glasses », Noyb.eu a trainé trois acteurs devant l’autorité de contrôle. « Bien que les utilisateurs se sont donné la peine de s’assurer que tous les innombrables cookies qui leur étaient proposés étaient désactivés sur le site de vente en ligne CDiscount, le guide de cinéma Allociné et le magazine de mode Vanity Fair, ces pages internet ont signalé à des centaines de sociétés spécialisées dans le ciblage publicitaire que ceux-ci avaient accepté qu’elles suivent leur activité en ligne. »
Dans un communiqué, l’initiative relève que Facebook et des sociétés de ciblages comme AppNexus et PubMatic figurent parmi les destinataires de ces cookies. « Ces entreprises ont donc placé des cookies de traçage publicitaire après que les utilisateurs se soient clairement opposés à tout suivi ».
Gaëtan Goldberg, avocat spécialisé dans la protection des données chez Noyb dénonce « une importante violation du choix des consommateurs qui s’oppose aux exigences les plus fondamentales du droit de la protection des données en matière de consentement ».
Des témoins mis à disposition de centaines de partenaires commerciaux
« En utilisant l'extension Cookie Glasses, relève par exemple la plainte visant Cdiscount, la personne concernée a constaté que, malgré son opposition à l'installation de témoins de connexion, son consentement a tout de même été mis à disposition à pas moins de 431 "vendeurs" ». Seuls 12 partenaires avaient été répertoriés dans l’outil « Accepter les cookies » du site, visiblement ignoré du traitement.
Chez Webedia, éditeur d’Allociné, 565 « vendeurs » se sont vus remettre une soi-disant autorisation, en dépit de l’opposition de la personne concernée. Le chiffre est de 375 chez Condé Nast, éditeur de Vanity Fair. Tous font partie du Transparency and Consent Framework (TCF) de l’IAB, l’Interactive Advertising Bureau.
Sur Cdiscount encore, un autre cookie a été épinglé, le cookie « fr » de Facebook destiné à aiguiser la pertinence des publicités déroulées par le géant des réseaux sociaux. « Facebook a installé un cookie à finalité explicitement publicitaire pour lequel l’entreprise n’a obtenu aucune autorisation valable de la part de la personne concernée. Il [lui] appartiendra d'expliquer comment un cookie de suivi publicitaire a pu être placé sans (...) consentement ».
Au fil des cas, l’association devine plusieurs violations des textes fondateurs, comme l’article 82 de la loi de 1978 modifiée, relatif au consentement, ou encore l’article 5 du RGPD qui exige la correction des données inexactes et l’article 226-18 du Code pénal qui sanctionne le fait « de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ».
Les groupes concernés risquent théoriquement une amende maximale de 4 % du chiffre d'affaires annuel mondial, toutefois à proportion du nombre de personnes concernées en France.
Commentaires (49)
Un bon redressement pour marquer les esprits et obliger le secteur à suivre la loi.
Internet n’est pas une zone de non-droit!
Sur le site du Dauphiné Libéré une page demande vos choix , ensuite les enregistrer ! Mais une nouvelle page demande « accèder au site » . Que deviennent nos choix précédents ? 🤔
À tout hasard, personne ne connait une extension “j’accepte tous les cookies, pistez moi mais arrêtez avec vos bandeaux ?” (surtout sur mobile en fait)
C’est vrai que c’est vendeur cette lute contre les méchants cookies, mais franchement il y aurait beaucoup de choses à faire avant pour la sécurité/vie privée (mais beaucoup plus compliquées à vérifier c’est vrai)
Google rapide https://www.ghacks.net/2015/02/01/how-to-deal-with-cookie-notices-on-websites-au…
Pas testé ;)
I don’t care about cookies
Ce que “j’aime bien”, c’est le nombre de site qui oublient entre 2 visite qu’on a dit non.
Comment avoir les gens à l’usure :s
Comment veux-tu mémoriser le choix sans cookie ?
Un cookie de session. Pas besoin de demander l’avis de l’internaute pour ça, il me semble.
Comme dit @Kevsler, certain cookie sont autorisé (ceux ne servant pas à faire du tracking), dont le cookie session.
De ré-afficher le bandeau à chaque fois, ça augmente la possibilité de cliquer sur accepter par erreur, et après une vraie galère pour retrouver le bandeau (surtout pour Mme Michu).
[ironie] Surprenant que Cdiscount soit cité…. c’est pas comme si ils étaient connus pour d’autres manquements aux règles….
De ce que j’observe, la plupart des sites qui redemandent ton consentement n’ont pas oublié tes choix, quand tu vas dans la page permettant de faire le réglage, ils restent désactivés et il suffit d’enregistrer à nouveau son choix, mais c’est inutilement pénible. J’ai aussi l’impression que c’est pour avoir les gens à l’usure, comme tu le dis.
Je n’ai jamais eu le courage de cliquer juste sur accepter en première page pour voir s’ils gardent les anciens réglages ou s’ils remettent tout à accepter. Je crains que là, ils ne te redemandent pas ton avis la fois suivante…
26-18 du Code pénal qui sanctionne le fait « de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ».
Vivement d’autres argumentaires sur cet article.
Le truc est plus vicieux que ça : le bandeau affiche bien “refusé” sur tout les usages MAIS si on descend jusqu’en en bas il y a une info qui indique “sauf xxx partenaires” il faut donc faire afficher la liste des partenaires et tout refuse dans cette nouvelle fenêtre et bien veérifier que c’est bien le cas CAR sur la listes des + 2000 partenaires une grandes majorités sont déjà sur réfusé. Il n’y a qu’en parcourant la liste que l’on trouve les 500 et quelques partenaires déjà autorisé …
Si vous avez bien fait qu’en vous retrouner sur le 1er écran de validation (de refus en l’occurence) le nombre indiqué dans “sauf xxx partenaires” doit être à zéro.
PS Donc oui il y a abus de confiance …
Du coup par défaut ça retire le bandeau sans envoyer de réponse à la demande ? Ca ne refuse donc pas les cookies, ni ne les accepte ?
Le sujet n’est pas le cookie, mais le non respect du refus et même la tromperie puisqu’il s’agit de faire croire que le consentement a été respecté pour en réalité balancer les témoins aux “partenaires” tiers.
Perso je le combine à d’autres extensions : comme ça ça dit oui par défaut, mais uMatrix bloque les cookies, et Cookie AutoDelete nettoie les rares que j’accepte.
Ils feraient bien d’épingler yahoo (enfin, verizon). Parce que pour décourager le chaland, ils y vont pas avec le dos de la cuillère. La rubrique dédiée à la vie privée est imbitable, avec une multitude de menus et quand par miracle tu trouves la partie qui te permet de désactiver le tracking, il faut visiter un par un tous les sites sur lesquels tu veux le désactiver, petit bonus, tous n’est pas en français, il y en a même en allemand…
C’est encore une décision qui a été prise par des politiciens sans consulter ceux qui connaissent la technique.
Pour mémoriser le NON il faut un cookie. Il aurait fallu prévoir une exception dans la loi pour stocker le cookie qui dit NON.
Comment ça se passe avec des régies de pub ?
En général c’est le site qui demande le consentement mais dans le cas de régie de pub c’est la régie qui gère ses propres cookies sans rien demander au site.
Et ceux qui connaissent la technique devraient s’intéresser au contenu de la loi/RGPD qui autorise parfaitement la mémorisation du NON qui n’est pas une donnée personnelle.
Ce qui me fait peur, c’est quand je vois des gens dire “RGPD = interdiction de cookie”.
Je pensais que le fait de pas retenir le “non” était un choix volontaire des sites, une démarche pour nous forcer à dire oui à l’usure. avec ces remarques je me dis que chez certain sites c’est peut être due à pire, de l’incompétence :s
Sauf erreur, c’est au propriétaire du site de s’assurer d’obtenir le consentement explicite de l’internaute AVANT même de charger les cookies de pistages/publicitaire et autres. Un site en règle est un site qui ne charge rien qui puisse pister l’internaute avant que le consentement ne soit obtenu.
Bien entendu, les exceptions sont là pour permettre que le RGPD ne soit pas trop extrême et qu’on puisse faire quand même un suivi simple. Pareil pour les cookies à des fins de fonctionnements (comme celui du consentement) qui ne nécessite pas d’autorisation.
Pas sûr que cela soit si simple, si j’ai bien compris ce que j’ai lu
https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi
C’est l’avant RGPD cet article.
D’où le “Le contenu de cette page est obsolète et est en cours de mise à jour.” ^^’
Quitte à assumer d’être libéral sans mentir ouvertement à qui veut l’entendre… en quoi la désinscription volontaire à un programme d’étude comportemento-fiscalo-marketeux doit-elle nécessairement être signifiée par un refus ?
" />
Non seulement la double négation ne sert à rien dans un règlement, mais pire, c’est à se demander si ce n’est pas fait exprès pour brouiller les pistes et récolter un maximum de données monétisables. Au motif que se bouffer les uns les autres c’est bien et beau…
Dans le monde réel, lorsqu’une mairie décide de financer son mobilier urbain par de la publicité, elle ne subit pas autre chose qu’un marché certes tenu par deux acteurs, mais ces deux acteurs proposent de financer le mobilier par une concession d’accès à l’espace public.
Il y a un gain évident pour la collectivité, et comme tout gain dans le vrai monde libéral, il est optionnel.
Ici, le RGPD rend possible un gain non optionnel qui ne bénéficie qu’au responsable du traitement… dans le genre couteau sous gorge, c’est une belle invention le RGPD.
Son seul intérêt réside dans la possibilité de répondre avec des garanties convenables à des sondages rémunérés. Pas plus, pas moins.
Ne pas s’étonner ensuite qu’une partie non négligeable de la société “fasse chier” des éditeurs de jeu vidéo, des paranoïaques de tout poil sentant leur business assis sur du sable, ou le fisc.
M’enfin j’dis ça. Je vais reprendre un peu de Xanax hein.
Quel surprise pour Cdiscount, qui vu sa stratégie pour refiler des assurances dès que t’achètes un truc, est prêt à tout pour arnaquer ses clients… une boite à fuir
" />
Plugin “I don’t care about cookies” + suppression des cookies sauf whitelist à chaque session de navigation sur Internet.
Et pour les sites que je connais pollués par les cookies et autres trackeurs, je passe en navigation privée (ctrl + maj + P sur Firefox).
Et ça en est où le foutage de gueule par Libération et al. ?
Comme dit au-dessus mais pas assez mis en avant :
uMatrix permet de bloquer chaque type de ressources (cookie, js, image, xhr, etc.) pour chaque sous-domaine
Et si vous êtes sur mobile alors vous n’avez qu’à avoir un vrai OS comme FirefoxOS ou Ubuntu Touch
Oh wait
Les bandeaux d’acceptation (ou pas) de cookies, l’art de pondre des lois qui font autant chier les dev que les utilisateurs pour rien. On ce croirais revenir en l’an 2000 avec les popups et iframes.
Juste une remarque, les bandeaux incriminés ne respectent pas la loi. La loi c’est : je vais sur le site sans tracker, si je souhaite un tracker je l’active.
Donc il devrait normalement suffire de cliquer sur 1 bouton pour ne plus jamais être emmerdé.
Amusant comment l’opinion incrimine non pas les nuisibles mais ceux qui les protègent.
La loi ne fait pas chier. Les sites ont juste décidé de l’appliquer de la méthode la plus intrusive possible pour inciter les gens à accepter le comportement précédent, et à rejeter la faute sur les législateurs. Et manifestement, ça fonctionne.
" />
C’est comme si dans le bus quelqu’un te faisait la remarque de ne pas mettre les pieds sur le siège, et que du coup tu lui foutais dans la gueule. Avec l’excuse “bah c’est toi qui m’a demander de mettre mes pieds ailleurs, j’y peux rien”
Alors, pour bosser du côté de ceux qui font dans les gros sites de ecommerce, je pense que les commentateurs ici loupent quelques trucs fondamentaux sur le fonctionnement des boîtes (et donc du web) à une certaines taille. (genre quand on a des groupes qui s’étalent sur plusieurs marques et plusieurs pays avec leurs marchés locaux)
Ce ne sont pas les développeurs qui mettent directement en place tout ce qui est cookies, traceurs, régies pubs, etc, etc. Ce serait tout simplement ingérable de traiter toutes les demandes des équipes business et analytics.
Ce qu’il se passe, c’est que côté dev, on intègre trois choses (niveau cookie en tout cas, pour ce qui est du reste du RGPD il y a encore d’autres actions à effectuer pour la conformité, mais c’est une autre histoire):
- le code d’intégration d’un prestataire qu’on appelle un “tag manager” (le plus souvent c’est google tag manager), qui va permettre ensuite aux équipes analytics et business de gérer tout le reste. En gros il faut voir ça comme un “trou invisible” dans les pages, qui permet au métier d’installer les prestataires qu’ils veulent (qui vont injecter leur propre code dans ce “trou”). Un des prestataires installés (généralement google analytics) aura pour but “d’écouter” l’objet “data layer” de l’étape précédente pour générer des metrics non-partagées à des tiers.
Partant de là, à votre avis comment est-ce qu’on fait pour gérer cette fameuse “bannière cookie” qui casse les pieds à tous le monde avec son expérience utilisateur dégueulasse ?
Si vous avez répondu “on ne le gère pas, on passe par un partenaire tiers”, vous avez bien compris comment ça marche :)
Comme les développeurs n’ont aucun moyen de savoir quels traceurs ou outil d’analytics le business installe via son tag manager, ils n’ont pas moyen non plus de gérer le consentement pour ces traqueurs. On fait donc appel à un partenaire supplémentaire, qui va permettre de gérer via un backoffice dédié les autres partenaires actifs, et fournir en temps réel une bannière de gestion des consentements (garantie conforme à la législation).
Voilà qui vous explique aussi pourquoi toutes ces bannières se ressemblent (et comportent souvent un “powered by xxx” ).
Contrairement à ce qu’on pourrait penser, les entreprises qui ne font pas directement leur beurre avec les traceurs ne se torchent pas avec la conformité, mais généralement elles n’ont pas d’équipe technique interne dédiées pour traiter chaque point, et cela se retrouve (plus ou moins bien) sous traité.
Donc sachez que quand vous vous retrouver avec la popup chiante qui se réouvre et qui est mal foutue, ce n’est pas une volonté des sites d’avoir l’utilisateur à l’usure ou de faire un pied de nez au législateur en interprétant la loi de travers, c’est juste une conséquence systémique de l’organisation interne des entreprises et de la course aux économies: on paie le prestataire qui fournit l’outil le mois cher tout en garantissant la conformité + le fait que ses serveurs vont tenir la charge et ne vont pas péter la fonctionalité des sites.
( attention, je ne dis pas non plus que tous les gestionnaires de sites sont de bonne foi et que personne ne cherche à contourner la législation. Il y a toujours de mauvais élèves en mode “on va poser une bannière pour faire genre et parier que personne ne fera de vérification approfondie” )
Tu mets un header “Content-Security-Policy” bien restrictif au niveau du serveur (plus efficace qu’au niveau du site web), et tout ce qui est ajouté par les tiers ensuite sera bloqué par les navigateurs. Le tour est joué ! 😁
Le problème principal est donc le gars responsable de la sous-traitance du bazar et pas le dev. OK
C’est à ce gars d’exiger que ça soit convivial et que ça ne présente pas à nouveau la bannière quand ce n’est pas nécessaire par rapport au RGPD. S’il ne le fait pas, il se fout de ses utilisateurs et devrait être viré.
Merci pour ces explications intéressantes.
" />
Au final, on en revient à un mal assez rependu. L’organisation de tout ça s’est bien complexifié avec le temps et comment ça, c’est un peut la faute à personne. Je dis pas ça contre toi, c’est juste un mal répandu. Est ce la faute du prestataire ? Des personnes qui ont qui ont choisi ce prestataire ? Des équipe Analystics et/ou business qui veulent tellement de choses que ça oblige à choisir ce type de presta ? etc.….
Problème récurrent, et pas qu’en informatique
Le système est mal conçu de base, le refus ou acceptation des cookies devrait être géré uniquement au niveau du navigateur, ça éviterait les multiples et innombrables bandeaux avec chacun une interface différente sur tous les sites qu’on visite. Comme ça l’utilisateur pourrait d’emballer choisir de bloquer tous les cookies et accepter éventuellement ceux de certains sites, ou bien de vouloir tous les accepter parce qu’il s’en fout de recevoir de la pub ciblée, et ça serait fini.
Au lieu de ça, chaque site doit prévoir de son côté la gestion des cookies, donc rien n’est normalisé. De plus, il y a beaucoup de CMS qui sont utilisés avec des personnes qui ne sont pas expertes en informatique, et où il est quasi impossible de mettre en place une gestion correcte du refus de l’utilisateur, car suivant les modules qui ont été installés, chacun met en place des cookies d’une façon X ou Y qui fait qu’on ne peut pas automatiquement intégrer un système qui va réussir à les bloquer proprement (là où le navigateur peut les bloquer très facilement).
La seule chose qu’il aurait fallu faire, c’est normaliser les cookies, pour dire que les cookies de session qui servent uniquement à la gestion du site (login, préférences d’affichage etc) doivent être nommés de telle manière, que les cookies de stats de telle manière, les cookies publicitaires de telle manière, et tout serait beaucoup plus simple.
C’est bien, car de nos jour, ça doit se compter sur les doigts d’une main les sites qui l’utilisent.