La Commission rappelle que les lois en matière de protection de la vie privée ne visent pas une solution technique en particulier. Ainsi, même si les acteurs du marché publicitaire se focalisent beaucoup sur les cookies dans leur communication, toute forme de pistage nécessite de respecter les règles.
« La CNIL a constaté le développement de plusieurs alternatives à l’utilisation des cookies tiers qui peuvent être classées en quatre catégories », indique-t-elle. Elle liste le calcul d'empreinte (fingerprinting), la réinternalisation des cookies via le CNAME cloaking (qui peut poser des problèmes de sécurité), les identifiants ou la connexion unifiée (qui ne dispense pas de consentement libre et explicite), le ciblage par cohorte, etc.
Elle rappelle donc « que le développement de techniques alternatives aux cookies « tiers » ne peut se faire aux dépens du droit des personnes à la protection de leurs données personnelles et de leur vie privée. Leur utilisation doit se faire dans le respect des principes issus de la réglementation en vigueur à savoir le RGPD mais également la directive « vie privée et communications électroniques » (dite « ePrivacy ») qui vise à protéger spécifiquement les communications des individus et sa transposition dans le droit français dans la loi Informatique et Libertés ».
Elle précise que l'utilisateur doit toujours garder le contrôle sur les données personnelles, partagées ou non, et que les interfaces proposées doivent « permettre et faciliter l’exercice de l’ensemble des droits des personnes » de manière conviviale.
Ces derniers mois, elle a effectué plusieurs salves de contrôles. Cette nouvelle précision semble être un rappel à l'ordre avant de nouvelles procédures, alors qu'éditeurs et publicitaires essaient encore bien souvent de jouer avec la ligne jaune pour se conformer aux règles tout en maximisant leurs chances de continuer à pister les internautes.
Commentaires (23)
#1
Quelles sont les moyens les plus efficaces d’éviter d’être pisté, par les cookies mais aussi par le CNAME Cloaking, quand on est pas connecté à un site bien sur
Un article pourrait-il être fait la dessus ?
#2
le combo “uBlock Origin + Firefox” permet de résoudre les alias DNS et donc blocker les sites qui font du CNAME Cloaking.
Je ne pense pas qu’on puisse faire pareil avec chrome (et dérivés) car l’accès à la résolution DNS n’est pas accessible depuis une extension. (a verifier)
#3
Pour les DNS : pihole, fichier host ?
Quoique tu parles de alias DNS et pas de dns…
Rien que pour les cookies, j’aimerai bien me faire une liste blanche et bloquer tout le reste + les message rpgd. Mais cela prendrait bien trop de temps…
#4
sur le site marmiton il n’y a plus moyen de consulter les recettes sans accepter les cookies (bien évidemment en navigation privée pour tout nettoyer après).
#5
Un site de cuisine qui réclame des cookies, rien de plus normal.
#6
le camouflage par CNAME en 10 lignes:
Connexion d’origine: https://nextinpact.com
–> les urls *.nextinpact.com sont autorisées par le bloqueur de pub
Résolution de nom pour obtenir l’adresse IP:
nextinpact.com (A) 1.2.3.4
Le browser récupère un header HTTP qui demande un redirect vers un sous domaine.
redirect: https://a1z23er4ty.nextinpact.com
–> les urls *.nextinpact.com sont autorisées par le bloqueur de pub
Résolution de nom pour obtenir l’adresse IP, et là c’est le drame de l’alias:
a1z23er4ty.nextinpact.com (CNAME) nextinpact.evilcompany.com
nextinpact.evilcompany.com (A) 6.6.6.6
Et hop… une requête a été émise de ton browser vers une IP de evilcompany.
#6.1
C’est 😈
#6.2
#7
Ce n’est pas conforme RGPD/ePrivacy qui indique que le refus des cookies ne doit pas empêcher la navigation sur le site.
#7.1
C’est pour ça qu’ils offrent la possibilité de payer un abonnement.
#7.2
Faudrait rechercher, mais je crois bien que ça n’en devient pas plus conforme pour autant.
De mémoire, le choix “ou cookies, ou paywall, sinon byebye” n’est pas davantage conforme, car l’acceptation ou le refus de cookies ne doit pas interférer avec la navigation, parce que le consentement n’est alors plus libre (ou qqchose comme ça).
Si un juriste ou qq’un qui a mieux suivi cette actualité passe par là … merci :)
#8
Une question de béotien sur RGPD :
Moi qui n’ai pas fait de site web depuis 2002, Je crée un site web en 2021, hébergé chez un tiers, sans aucun service type Google Analitics etc… Je récupère simplement les logs de connection (IP, hostname, referer, c’est tout) pour comprendre qui va où et quand sur mon site, analysé à l’ancienne sur un petit excel aux oignions -> Dois-je me conformer au RGPD (i.e. demander l’autorisation à chaque visiteur hors bots) pour faire cette analyse ?
#8.1
Si tu récupères l’IP, c’est une donnée personnelle. Tu dois donc t’assurer de travailler avec des jeux de données anonymisés ou pseudonymisés.
Voilà qui t’aidera à y voir plus clair : https://www.cnil.fr/fr/rgpd-par-ou-commencer (point 3 - droit des personnes)
Tu dois à minima informer que tu collectes des données et en fait une analyse.
Sur mon blog perso j’ai indiqué une mention relative à la vie privée : zéro collecte et analyse de quoique ce soit.
#8.2
Oui et non. Si c’est un blog purement personnel (pas de publicité, pas de revenu, pas de sponsoring déguisé ou pas, pas lié à une entreprise, …) alors, en théorie non, car les particuliers ne sont pas soumis au RGPD (sinon, il faudrait tous qu’on le fasse ne serait-ce qu’à cause des contacts dans notre téléphone). Mais il faut que le blog soit strictement personnel.
Dans les autres cas, oui. L’adresse IP est une donnée à caractère personnel. Tu peux l’anonymiser facilement en squizant les 2 derniers octets pour une IPv4. Pour l’IPv6, je n’ai jamais creusé, mais il doit en falloir plus.
#9
Un fichier excel ?
T’embetes pas avec ca, installes Matomo en desactivant les cookies et t’es tout bon, avec temps réel et tableaux déjà tout faits
#10
Les lignes directrices de la CNIL interdisent les cookie walls, mais le conseil d’état a annulé cette disposition. Depuis y a pas eu de nouvelles décisions (il me semble).
source: conseil-etat.fr
#11
Je confirme, c’est bien ca. Mais le Conseil d’Etat a dit que c’était OK pour faire payer si tu ne voulais pas consentir aux cookies…
#11.1
Non, le Conseil d’État n’a pas dit ça.
Il a dit que la CNIL ne pouvait pas dire dans un document de “lignes directrices” qu’il y avait une “interdiction générale et absolue” à conditionner l’accès à un site au consentement de l’utilisateur à ce que ses données soient traitées.
Rien n’empêche dans la décision du Conseil d’État de juger au cas par cas qu’il y a bien une interdiction vis-à-vis du RGPD. Mais elle ne peut pas le faire dans le cadre du “droit souple” que sont des lignes directrices.
Ceux qui pensent comme toi qu’ils ont un blanc-sein du Conseil d’État pourront bien avoir des surprises.
#12
C’est pourtant ce que j’ai compris dans leur communiqué.
Comme?
#13
Un communiqué ne vaut jamais le texte de la décision (en lien un peu plus haut) :
D’autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple,
La CNIL pourra sanctionner chaque site ayant mis un “cookies wall” pour violation du RGPD en jugeant chaque cas séparément et en démontrant que le consentement n’était pas libre ou pour un autre motif tiré du RGPD.
Par exemple, le 4 de l’article 7 dispose que : “Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.”. Je pense qu’il y a là matière à sanctionner parce que le “contrat d’un site d’information, de recette de ciné ou autre avec ses utilisateurs, c’est de fournir des infos, des recettes, etc. et le traitement des données personnelles sert à faire de la publicité ciblée qui n’est pas l’objet du contrat.
Le 1 de l’article 21 Droit d’opposition est peut aussi être utile pour balayer les “cookies walls) : “La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée” : là, les intérêts légitimes se transforment en motifs légitimes et impérieux qui doivent être démontrés.
#14
Ils risquent des coups de soleil, à moins qu’ils n’aient un blanc-seing.
#15
Greffon FF utile : Open in Private Mode
Après un google, le site que l’on vient d’ouvrir oblige d’accepter les cookies pour naviguer ?
Ok, clic sur le bouton qui réouvre la page en mode privé …
#16
Oups !