Proposé par l'association noyb de Max Schrems et le Sustainable Computing Lab, il pourrait être intégré aux navigateurs afin de leur permettre de mieux gérer les questions en lien avec la collecte et le traitement des données personnelles par les sites visités.
Ses éléments techniques ont été détaillés par ici, un prototype sous la forme d'une extension étant disponible par là. Un site a d'ailleurs été consacré au projet.
Concrètement, l'équipe est partie du principe que se reposer sur les fameux « bandeaux cookies » n'est pas efficace puisqu'ils ne respectent le plus souvent pas les règles ou sont complexes, cherchant parfois à tromper l'utilisateur.
L'idée est donc de se reposer sur une mécanique interne au navigateur, ce qui est prévu par le RGPD : celle d'un signal indiquant la volonté de l'utilisateur. On se rappelle une tentative similaire avec Do Not Track il y a quelques années, ce dispositif n'ayant pas vraiment été adopté, notamment parce qu'il ne proposait aucune nuance.
Ici, il est possible de choisir selon les finalités. Un utilisateur peut d'ailleurs en refuser certaines de manière globale (suivi statistique, publicité personnalisée, etc.). Un dispositif doit également permettre à des acteurs vertueux de proposer des listes blanches faciles à importer, permettant par exemple de favoriser des médias respectueux de la vie privée, proposant du contenu de qualité.
Il faudra néanmoins prendre garde aux dérives possibles, la gestion opaque des listes par des communautés organisées autour des bloqueurs de publicité ayant montré les problèmes que cela pouvait poser.
Ce projet vise à montrer ce qu'il est possible de faire, alors que la question des implémentations sur le consentement continue de poser question, et qu'ePrivacy pourrait imposer des changements sur ce point à l'avenir.
Il sera d'ailleurs intéressant de voir si l'équipe de Mozilla, qui a dit vouloir évaluer différents dispositifs devant améliorer le respect de la vie privée et des données personnelles, se penchera sur ce projet et si une intégration à Firefox serait envisageable.
Commentaires (31)
#1
“favoriser des médias respectueux de la vie privée, proposant du contenu de qualité. “
Message caché détecté!
#1.1
Pour le coup j’ai simplement repris l’exemple donné par l’ADPC.
Vu que la loi FR est claire sur le sujet depuis plus de 10⁄15 ans maintenant, tout le monde a quand même eu un sacré moment pour s’organiser, non ? PS : les différents acteurs de la chaîne ont une co-responsabilité s’il y a pistage non consenti. En cas de contrôle, tous peuvent être impliqués.
Comme dit, le souci de fond était la non granularité, mais ça avance dans le bon sens, on verra vers où l’on se dirige dans la règlementation en la matière (les éditeurs étant opposé à l’intégration au navigateur pour le pouvoir que ça donnerait à ces derniers).
#2
Pour moi il faudrait surtout que les bandeaux de cookie fonctionnent avec un non-consentement par défaut. Le choix par défaut serait de refuser les cookies, et les sites peuvent afficher un bandeau pour demander aux utilisateurs s’ils souhaitent les accepter, mais le choix de base et le plus rapide à faire en terme d’interactions devrait être le refus.
#2.1
Il y en a de plus en plus.
L’un des effets secondaire est que quand tu reviens sur le même site, on te représente le dit bandeau. Cela me convient très bien, avec une petite vérif de temps en temps que ce n’est pas que de l’affichage.
#2.2
Oui tristement il y a encore beaucoup de sites qui jouent pas le jeu, mais c’est sensé être le paramètre par défaut tel qu’imposé par la réglementation…
…après il reste le gros piège des “usages légitimes” : c’est à chaque site de juger tôt seul de ce qu’il estime être un usage légitime, et il est libre de considérer que tu dis oui par défaut pour les usages “légitimes”….
#2.3
Moi je suis dans le fameux cercle vicieux de : “je bloque les cookies donc je me tape le bandeau de choix de cookie car pour enregistrer le refus de dépôt de cookie il faut déposer un cookie disant que j’ai refusé
“
Heureusement j’ai des extensions qui auto-refuse maintenant et vire le bandeau directement, mais quand même
#2.4
La réglementation indique que les sites on le droit de stocker un cookie de refus. Donc réafficher le bandeau à ce prétexte est juste conçu pour emmerder les internautes et inciter à accepter une bonne fois pour toutes :/
#2.5
Un droit n’est pas une obligation. En l’occurrence, c’est même une exception à la règle générale: les sites ont le droit de stocker un cookie pour leur rappeler que tu ne veux pas de cookie. Je comprends parfaitement la frilosité des éditeurs de sites sur ce coup.
“eh j’ai dit que je voulais pas de cookie, j’ai quand même un cookie, j’vais l’dire à la CNIL…”
#2.10
Le truc c’est que je n’autorise aucun cookie par défaut sauf si explicitement autorisé (genre si c’est un site sur lequel je veux me co) et que mon navigateur utilise des onglets temporaires.
Un paramètre dans le navigateur envoyé au site que je refuse tout au lieu d’essayer de me mettre un cookie de refus serait bien plus logique.
#2.6
C’est déjà le cas. A part pour les cookies/scripts catégorisés comme “nécessaires”, (par ex ceux qui servent à indiquer au serveur quels consentement ont été donné ou pas, à maintenir la session ou à supporter des fonctionnalités sans lesquelles un site ne peut pas fournir le service qu’il est censé offrir), la loi interdit de déposer quoi que ce soit tant que l’utilisateur n’a pas consenti. (et interdit de cocher les cases par défaut, il faut que l’utilisateur fasse le geste de cocher les cases individuellement par type de consentement avant de valider).
C’est ce qui rend la mise en conformité des sites existants compliquée. Beaucoup de modules, notamment sur les CMS, se contentaient d’ajouter au code source de la page html un script fourni par un tiers, et fin de l’histoire. De nombreux webmestres, qui ne sont pas développeurs, ne savent pas faire autrement. (et ne savent pas non plus ce que les scripts qu’ils ajoutent peuvent bien faire pour fournir leur fonctionnalité)
Ce que font les boîtes qui proposent les bandeaux/popins relatifs aux cookies, c’est fournir un crawler: il interagit avec ton site web, il repère tous les cookies (qu’ils proviennent du site lui même ou qu’ils soient tiers), il te les classes dans les différentes catégories à partir de bases de données sur les différents acteurs, tu peux bouger des trucs via une interface d’admin si tu sais qu’ils ont été mal classifiés, puis tu valides et il te fournit le script qui gère la popin avec toutes ses infos dedans.
Pouf, c’est magique, tu as ton outil de collecte du consentement.
Sauf qu’en vrai, la popin, elle n’est pas magique, elle va juste stocker (dans son propre cookie ou dans un store distant interrogeable par API), la liste des consentement que l’utilisateur a donné ou non, mais elle ne bloque pas le dépôt des cookies concernés. Donc elle ne te met pas en conformité. En fait elle fait la partie simple du boulot…
Si tu n’as pas derrière un ou des développeurs pour aller analyser d’où vient chaque cookie et ajouter du code qui vérifie le consentement avant d’activer ou non les différents éléments, tu n’es pas conforme. Une vraie usine à gaz. :/
Surtout que tu peux par ex inclure dans ton site une ressource tierce qui elle-même inclut d’autres ressources tierces, mais pas tout le temps les mêmes (c’est typiquement le cas des régies pub).
Sauf que bah, c’est le site principal qui est censé recueillir le consentement de ses “partenaires”, du coup les prestataires de pub ne s’embêtent pas, ils fournissent d’énormes listes à intégrer aux popins, et il faut se débrouiller avec ça.
C’est un peu la grosse arnaque de l’application du règlement, toute la mise en conformité technique repose sur sur l’opérateur final, qui bien souvent ne tracke rien, au lieu de reposer sur les intermédiaires qui siphonnent la donnée. Eux n’ont rien à faire à part fournir des listes des cookies qu’ils posent…
Bref, sorry pour le pavé, la gestion de la conformité RGPD de différentes plateformes web fait partie de mon quotidien, et c’est source de nombreuses prises de têtes ^^”
#2.7
Pas besoin de t’excuser pour ton pavé, il est intéressant.
Et j’ai enfin compris pourquoi sur certains sites, il y a une liste de partenaires longue comme le bras !
#2.8
Très intéressant, merci pour cette explication détaillée
#2.9
Merci pour cette explication.
#3
MS a surtout tué le système en l’activant par défaut dans son navigateur. Les publicitaires ont alors déclaré que comme ce système ne reflètait plus un choix du consommateur, ils n’en tiendraient plus compte.
#3.1
Pour un coup que MS a fait quelque chose de bien avec son navigateur…
#4
Tout ce cirque repose sur le principe qu’il est évident que l’utilisateur va refuser le tracking si on lui donne un choix simple, global et définitif.
Donc les diffuseurs rusent, tergiversent, jouent l’ambiguité, la lassitude,… pour essayer de garder ce système de cookies compliqué à rejeter pour les utilisateurs.
C’est évidemment au navigateur de gérer ce choix venant de l’utilisateur. Mais comme y a pas de gens “technique” parmi ceux qui font les lois on n’est pas arrivé.
#5
Avant le Do Not Track, il y avait le P3P qui permettait de façon standardisée de signaler à quoi allait servir un cookie pour que le navigateur l’accepte ou non selon les choix de l’utilisateur.
Mais comme le DNT, rien d’obligatoire ni de contraignant donc c’est voué à l’échec.
#6
C’est ce qu’on appelle un cookie technique. Et ceux-là sont autorisés.
#7
Au sujet des extensions de refus / fermeture des bannières, avez-vous des noms à conseiller ? (sur Vivaldi, donc store Chrome)
J’en avais essayé une paire, mais c’était pas très efficace.
Après dans tous les cas, j’ai une suppression systématique de tous les cookies d’un site avec whitelist sur ceux de confiance.
#7.1
Installe uBlock Origin (très bon bloqueur de pubs) et va dans les paramètres > uBlock filters – Annoyances > Fanboy’s Annoyance.
Ça masquera automatiquement les bannières de cookies sur les principaux sites en refusant les cookies.
#7.2
J’ai déjà, je vais voir pour activer cette liste. Merci pour l’astuce
#7.3
J’ai rajouté “I don’t care about cookies” pour me bypasser YT sinon les classiques Pi-hole (en local), NextDNS (en wan) et Cookie AutoDelete.
Les bandeaux, je ne connais pas
#8
Mozilla, les gens qui ont retiré de Firefox la possibilité d’accepter ou refuser un cookie au moment où il essaie de s’enregistrer. Ce qui permettait de se constituer soit-même une liste d’autorisation et de refus de cookies. En toute simplicité, si j’ose dire.
Au lieu de l’étendre à d’autres mode de stockages utilisés par les sites, ils ont retiré la fonction sans que ce soit possible pour une extension de la remettre en place.
Est-ce qu’ils pourraient être intéressé par un truc qui semble proposer a peu prêt la même chose en beaucoup plus compliqué, mais avec une couche de présentation pour que l’utilisateur comprenne mieux le rôle de chaque cookie (et pour laquelle il faudra faire confiance à l’éditeur du cookie, youpi!)
Pfff… on ne sait jamais, sur un malentendu…
C’est probablement loin d’être gagné, mais si on pouvait revenir à une situation sans ces bandeaux de cookies de *%$! qui doivent stocker au moins un cookie pour fonctionner correctement.
Et que la logique d’acceptation/refus pouvait de nouveau être gérée côté navigateur en directe et pas par le site (quoique là il aurai quand même quelque chose à géré, et j’ai l’impression qu’il faudra lui faire confiance pour le faire bien… :( ), c’est pas moi qui vais dire non.
Mais je leur fait confiance (Mozilla) pour faire un truc qui ne va pas me plaire :(
A chaque version de Firefox ils enterrent un peu plus profond le vrai panneau de “permissions” qui n’a pas évolué depuis un million d’années (clic gauche sur le cadenas, la petite flèche sur la droite, “plus d’informations”, onglet “permissions” (ouf!) ).
Ça fait de plus en plus penser à Windows 10 avec son vieux panneau de configuration bien planqué et encore indispensable.
#9
C’est aussi quelque chose qu’on a perdu avec Opera Védouze lors de sa mort. Vivaldi n’a pas repris ce fonctionnement (il me semble, je n’ai pas souvenir d’avoir vu l’option, juste une globale), mais on pouvait activer une confirmation systématique à chaque demande de dépôt de cookie à coup de “Oui pour cette session, oui toujours, non”.
#10
Mes cookies je les gère de manière très simple, avec toutes les données de navigation : suppression tous les soirs.
#11
Pour le coup, je te trouve super catégorique, à la fois sur le fait que ce serait “clair”, et que “s’organiser” serait une question de temps.
Déjà sur la clarté, chaque pays, en plus de devoir combiner le RGPD à son droit national, va faire ses propres interprétations. (qu’est-ce qui représente un “intérêt légitime” par ex ? ) Il y a des tonnes de cas particuliers, et encore peu de jurisprudence. Cette couche RGPD n’est venue s’ajouter au reste qu’en 2016, ça ne fait pas plus de 10⁄15 ans. (d’autres lois préexistent, mais elles n’ont pas du tout eu l’impact du RGPD. De plus, le montant potentiel des amendes a fait monter fissa la priorité de cette conformité là dans les services)
Ensuite, il ne faut pas seulement se mettre en conformité, il faut le faire à l’échelle, et surtout s’assurer d’y rester, ce qui est bien plus compliqué.
Mon équipe s’occupe du “core” pour une plateforme interne utilisée sur près de 200 sites, dans plus d’une quarantaine de pays qui ont chacun leur droit national. Des développeurs d’une dizaine d’entreprises autour du globe contribuent du code H24. Comme il s’agit de ecommerce, les sites sont opérés, via back office, par des équipes “marketing digital”: des gens qui n’ont pas de compétences techniques, chez qui c’est en permanence la valse des stagiaires, et qui sont démarchés en continu par des startups qui essaient de leur refiler des scripts en leur promettant que ça rajoutera des features sans passer par les équipes de dev, que ça boostera leur SEO/rétention/conversion/capacité d’analyses/etc, et in fine leur évolution de carrière.
On a beau avoir des auditeurs, des juristes et des responsables sécurité, des processus de revues et d’approbations, des scans automatiques, des formations… ça reste le boxon. Et on aurait 20 ans de plus devant nous que ce serait la même chose.
Je prends l’exemple d’un truc simple qu’on voit partout: les embed youtube. Et bien même si Youtube fournit un domaine “no-cookie”, nulle part dans la doc n’est donnée la garantie que ce dernier soit compliant avec toutes les régulations sur la vie privée (il ne l’est d’ailleurs probablement pas, il y a dépôt de cookies et d’éléments dans le local storage du nav, sans explication de ce que c’est). Youtube dit juste que sur ce domaine, l’embed ne fournit pas de contenu personnalisé. Mais pas qu’aucune donnée n’est collectée. Et Youtube ne fournit pas de ToS qu’il faudrait accepter avant que l’embed se load.
Sur le site même de la CNIL, qui contient des embed Youtube, il y a eu des développements spécifiques pour gérer le cas. (la CNIL met à la place de chaque vidéo son propre placeholder pour prévenir à la place de youtube que l’embed contient des traceurs) ex: https://www.cnil.fr/atom/18912
Sauf que voilà, moi un embed youtube, je me méfie d’office. Mais l’assistant marketing qui fait sa page de contenu quotidienne ? Ben il copie-colle le code que lui file la page youtube. Qui ne lui fournit aucune info sur un éventuel souci. Et n’est même pas fichu de mettre son propre encart de consentement en préalable à l’embed…
Dernier sujet en date encore en cours de traitement dans mon équipe:
On nous répond que c’est une bibliothèque qui sert à plusieurs fonctionalités. Que ça ne collecte pas de données. Qu’ils peuvent nous faire une version sans, mais pas le conditionner à un consentement en l’état actuel. Et que la version sans sera amputée de quelques features qui se basent dessus.
A partir de là, que faire ? L’éditeur assure que le script ne fait pas de tracking, mais est-ce que sa déclaration a valeur de preuve vs les listes de ghostery ? Qu’est-ce qui pourrait, dans ce contexte avoir valeur de preuve de conformité ? Une déclaration d’un auditeur mandaté ? Rien du tout ?
Et bien on en sait rien, on a tout fait désactiver, et on attend que les juristes finissent par se mettre d’accord pendant que le business râle parce qu’il n’a plus sa fonctionnalité.
Si la loi était vraiment claire, elle permettrait de résoudre ce genre de cas sans même avoir à réfléchir. Si nos juristes, dont c’est le boulot, sont à la peine, c’est qu’on n’y est pas. ^^”
#11.1
Le fait est que les règles du RGPD sont connues de tous depuis 2012-2016. Les règles n’ont pas bougé d’un iota. (j’ai eu mon “rappel” de formation exactement identique à l’initial).
Ça fait 5ans que c’est obligatoire, et tous les sites trainent des pieds. Je comprends ta position, mais la situation actuelle est d’abord le pb des sites finaux qui ont tous attendu le dernier moment pour commencer à s’y intéresser. (certains attendent toujours)
Si tous les clients (càd détenteur de site web) avaient migrés dés le début les intermédiaires (CMS, régies pubs se seraient soit adaptés, soit auraient coulé faute de clients). Les clients ne jouent pas le jeu, les intermédiaires n’ont aucun intérêt à investir si il n’y’a pas de demande.
En 5ans tu as largement le temps de réécrire n’importe quel site web, y compris les pires daubes à base de CMS et autre *aaS
#11.2
Désolé, mais je pense que tu n’as pas bien lu les cas que je décris, ou que tu es trop loin du terrain d’une grosse plateforme technique web ou d’un service juridique pour te rendre compte de ce que ça représente au quotidien.
Déjà pour commencer, nous ne sommes pas concerné que par le RGPD, mais par toutes les réglementations cumulées de tous les pays relatives aux cookies, traceurs, etc.
Ensuite, je ne parle pas des bases du RGPD (identifier une donnée personnelle, registre de traitements, obligation de consentement retrait, etc) sur lesquelles on donne des formations génériques en entreprise et qui sont effectivement bateau comme c’est pas permis.
Comme j’en ai déjà donné des exemples, il y a plein de cas qui sont des “zones grises”, notamment quand on parle de catégoriser des choses et apporter des preuves (notamment dès qu’on commence à parler d’ “intérêt légitime”). Des choses qu’on ne rencontre que sur le terrain dans les détails d’implémentation techniques, et qui sont systématiquement du cas par cas.
Tu te doutes bien que si nos équipes de juristes, dont c’est le métier, n’arrivent pas à trancher facilement les cas qui se présentent, c’est que l’impression de clarté et de simplicité que tu te fais est largement faussée par ta perspective.
Et plein de choses ont déjà changé depuis 2016, avec les interprétations locales du RGPD (je rappelle que le droit européen ne s’applique pas tel quel dans les états membres, les directives sont transposées, et donc interprétées.), les clarifications qui ont déjà été émises et le début de jurisprudence.
Point suivant, comme je le dit là aussi dans mon message précédent, la mise en conformité, c’est une chose, le maintient de la conformité, c’en est une autre.
Ma boîte fait partie de celles qui ont joué le jeu, quand le RGPD a été officiellement activé en mode “hard”, tout était conforme. (de toute façon on aurait mis offline tout ce qui ne l’aurait pas été. Pour le coup les sanctions sont assez dissuasives pour ça)
Et ta vision de “si tous les clients avaient migré, les intermédiaires auraient suivi” est pour moi assez révélatrice du fait que tu n’as aucune idée du fonctionnement des rapports de force entre gros acteurs dans la vie réelle ^^” Ce n’est pas faux dans l’absolu, mais c’est totalement infaisable.
C’est comme de dire “ben si tout le monde arrêtait de travailler, le patron serait bien obligé de céder aux exigences des employés”: je pense que tu peux voir qui si c’est effectivement vrai en théorie, en pratique les rapports de force font que les grèves qui aboutissent ne sont pas légion. (et que beaucoup ne démarrent même pas) Et que certains employés ne peuvent pas se permettre de faire grève, parce que sinon ils ne bouffent pas, ou ils arrêtent de fournir un travail duquel d’autres personnes sont dépendantes.
Le monde réel, ce n’est pas “yaka faukon”.
#12
Il existe déjà un système de permissions dans les navigateurs. Ils suffit de rajouter la permission cookie
#12.1
La permission globale pour les cookies, ils doivent tous l’avoir (j’accepte tous les cookies, je rejette juste les tiers, je les rejette tous) et ont, en tout cas pour Firefox (mais ce n’est certainement pas le seul), un système basique de permissions par site, j’indique comment on le trouve à la fin de mon com’ #22, c’est l’interface pour voir les permission pour le site actuellement visité, et on accède aussi à la liste complète sous une autre forme dans les options/paramètres >Vie privé & sécurité >Cookies et données de sites >Gérer les exceptions…
Le problème c’est pour gérer cette liste (ajouter, retirer des autorisations facilement)
7 clics pour modifier le choix par défaut pour un site dans Firefox, et encore il faut savoir où aller… et de temps en temps ils rajoutent une étape 
Les extensions ne peuvent pas. Elles doivent se constituer leur propre liste qu’elles gèrent en parallèle (en tout cas la dernière fois que je m’était renseigné pour Firefox)
Et le navigateur complique au max la tâche
Mais là, l’idée et de remettre (car certains l’avaient enlevé comme Firefox (et apparemment Vivaldi Cf. commentaire #24)) la possibilité de choisir au moment où le cookie va être enregistré, ou un peu avant lorsque on arrive sur le site. Avec une dose de catégorisation qui rendrait le truc plus digeste pour le quidam (si on fait confiance au site, sinon…).
Il faut donc juste que ceux qui avaient enlevé cette possibilité, la remettent en ayant l’air d’avoir eu une très bonne idée de l’avoir enlevée, et d’en avoir une encore meilleur de la remettre (un peut changée).
Pour la localisation, la caméra, le micro, les notifications, les médias, et même les appareils de réalité virtuelle, ils son capable de demander à l’utilisateur ce qu’il veut faire. Pour les cookies, ils savaient le faire, mais y savent pu
Et bilan des courses, on se retrouve avec des bandeaux de cookie à la c qui doivent déposer un cookie pour fonctionner correctement chez les gens qui ne veulent pas de cookie de la part de ce site
#13
Attention, petit pinaillage qui a son importance : le RGPD est un règlement européen qui a une portée générale et s’applique directement à tout Etat membre. Dans le cas de celui-ci, la loi française (et d’autres Etats membres j’imagine) a du être modifiée pour se rendre compatible avec le règlement.
Ce sont les directives européennes qui nécessitent transposition dans le droit national car elles indiquent un résultat à atteindre et laissent à l’Etat membre de définir le moyen d’y parvenir.