S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Bannières cookies : la CNIL met en demeure AliExpress, Darty, Ouest-France, OVHcloud, SFR…

Le 11 février à 12h12

Saisie par l’Association Pour Un RGPD Respecté (PURR), la CNIL semble maintenant prête à mettre en demeure plus massivement les entreprises qui ne respectent pas certaines obligations concernant les bandeaux d’informations sur les cookies déposés lors de la visite de leur site.

L’association, présidée par le militant des droits à la vie privée Aeris, a diffusé sur les réseaux sociaux un « déluge » d’extraits de décisions de l’autorité concernant Developpez.com, la Banque Postale, Ouest-France, AliExpress, Darty, OVHcloud ou encore Red by SFR.

main prise la main dans le sac de cookies par la cnil

Octave Klaba, PDG d’OVHcloud a confirmé avoir reçu la mise en demeure et explique que son équipe est en train de corriger le problème : « On utilise un outil / service externe et visiblement il bug. On va voir pour fixer ce bug en qq jours puis on va l’internaliser pour faire tout ca en propre au lieu de sous-traiter ».

Dans sa plainte, l’association a soulevé l’ « ineffectivité du retrait de consentement » qui a été prise en compte par l’autorité. « L’impossibilité technique de tenir compte du retrait de consentement », affirme-t-elle, « rend illégal l’intégralité des bannières cookies existantes ».

PURR explique continuer à auditer « l’ensemble des sites Internet français » sur cette question et invite à la rejoindre.

Le 11 février à 12h12

Commentaires (47)

votre avatar
Et les bannières qui forcent le "consentement" du visiteur en donnant l'illusion du choix mais qui ne permettent au final que de "tout accepter", on en parle ?
votre avatar
La CNIL a piscine pour le moment, mais on va lui remettre un petit coup pour qu’elle se motive.
votre avatar
Ça m'étonnerait que la CNIL soit à la piscine, vu qu'elle est sensée avoir aquaponey, à moins qu'elle ait le temps pour faire les 2.
votre avatar
En ville, l'aquaponey se fait souvent à la piscine.
votre avatar
Sans compter les sites qui donnent le choix sur des choses secondaires, mais qui intègre tout le pistage des publicistes dans l’intérêt légitime.

Je suis étonné de ne pas voir le journal Le Monde dans la liste
votre avatar
Son « intérêt légitime » est de gagner de l’argent comme tout boîte privée 🤡
votre avatar
Faut dire qu'une entreprise qui ne gagne pas d'argent ferme, donc forcément elle doit en gagner.
votre avatar
En respectant la loi.
votre avatar
Y'a un souci avec le budget de la CNIL pour qu'elle se réveille???
votre avatar
PURR explique continuer à auditer « l'ensemble des sites Internet français » sur cette question
Wow, c'est ambitieux !
votre avatar
Pas tant que ça. Ça aurait pu être tous les sites internet accessibles en France. :fumer:
votre avatar
Spoile pas la suite toi 😏 (Et note qu’il y a déjà Alibaba dans la liste 😊)
votre avatar
J'avais noté l'intrus, justement.
votre avatar
Je sais pas pour les autres sites, mais quand je vais dans mon espace client ovh, j'ai la bannière des cookies en entrant, et encore une fois quand je vais dans une rubrique comme par exemple public cloud...
votre avatar
Ce que j'ai du mal à comprendre pour OVH... à part les cookie de gestion de session (donc sans consentement nécessaire), pourquoi diable devrait-il y en avoir d'autres ?

C'est inacceptable quand on est client et qu'on paye pour un service.
votre avatar
Cookie d'analytique ou pour de l'APM, c'est plutôt courant.
votre avatar
Pour les analytics, je croyais que si on configurait correctement l'outil (Matomo par exemple), on n'avait pas besoin de demander le consentement. MAIS pour avoir travaillé sur un site à portée européenne, on m'a indiqué que ce n'était vrai que pour la France/CNIL mais que pour le reste de l'UE il fallait le consentement, donc la bannière tout le temps.
votre avatar
Dans la mesure où on est sur une directive (pour les cookies) et un règlement européen (pour le RGPD), j'ai du mal à croire que ça ne soit valide qu'en France ce point.

En fait, c'est simple : t'as pas besoin de bannière cookie si tu déposes pas de cookies. Matomo peut être configuré ainsi.
votre avatar
Matomo peut ne pas du tout avoir de cookie ? Si oui, comment fait-il pour faire le suivi sur le site ? Il considère chaque page comme étant issue d'un nouveau visiteur unique ? :keskidit:
votre avatar
Oui, Matomo peut être configuré sans cookies. Cela le rend moins précis, mais ça évite d'emmerder les visiteurs.

J'ai configuré mon instance ainsi.
votre avatar
Comme @SebGF j'ai du mal à croire que cela ne soit valide qu'en France, dans la mesure où tout cela est issus de texte européens.

Par contre, il est vrai que la CNIL a rédigé un guide pour la configuration de Matomo pour le rendre compatible RGPD et sans bannière de cookie. C'est peut être de là que vient la méprise.
votre avatar
La CNIL indique que si on utilise Matomo comme elle l'indique, alors on n'a pas besoin de bandeau (et même si on suit les directives de configuration de Matomo de la CNIL, des cookies de suivi sont posés, en first-party) : https://www.cnil.fr/sites/default/files/atoms/files/matomo_analytics_-_exemption_-_guide_de_configuration.pdf

Lors de ce projet, le client m'a indiqué que l'exemption du consentement (bandeau) n'était pas valide en Europe en dehors de la France (c'est la CNIL qui autorise l'exemption dans certains cas, mais pas forcément les autres "équivalents CNIL). Après, peut-être que le client se trompe, mais comme il avait l'air sûr de lui, qu'il a plusieurs sites à portée européenne et qu'il était très regardant au niveau du suivi du RGPD, je lui ai fait confiance (n'étant pas moi-même expert du sujet).
votre avatar
La CNIL a beaucoup tendance à ménager des exceptions que pour la France, ce qui nous rend très dérangeant vis à vis du reste de l’Europe et de la législation EU…
Beaucoup des exceptions FR sont illégales par rapport au droit EU, mais on ne peut pas faire grand chose là-dessus… 😒
votre avatar
Alors, je veux bien plus d'info là dessus. J'ai rarement entendu ce discours, mais ce n'est pas la première fois et j'aimerais bien approfondir le sujet.

Sauf erreur, les histoires de cookie et de consentement sont régis principalement par 2 textes européens : le RGPD et le e-privacy.

La guide mis à disposition de la CNIL permet une collecte de données anonymisées (et non pas pseudonymisées). Autrement dit, les données dans le cas présent, ne sont pas à caractère personnel et le RGPD n'est donc pas opposable.

Il ne reste donc que la directive e-privacy. Notamment, l'article 5 paragraphe 3 :
3. Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
Alors c'est peut être moi qui fait une erreur d'interprétation (et dans ce cas, ce qui me rassure, c'est de ne pas être le seul ^^), mais les textes européens n'interdisent pas cela.

Est-ce que le problème serait dans la retranscription dans le droit national de chaque pays ? Mais en théorie, les marges d'adaptations sont quand même assez limitées et j'ai du mal à voir comment finalement on pourrait n'avoir une solution valable qu'en France...
votre avatar
La guide mis à disposition de la CNIL permet une collecte de données anonymisées (et non pas pseudonymisées). Autrement dit, les données dans le cas présent, ne sont pas à caractère personnel et le RGPD n'est donc pas opposable.
Correction. Une phase d’anonymisation est DÉJÀ un traitement de DCP en soit, et est donc soumis au RGPD. Il ne doit donc y avoir AUCUNE collecte de DCP en réalité, ce qui est… techniquement totalement impossible.
Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
Pour la partie ePrivacy, ça ne couvre que les cookies d’authentification et de load balancing, la CNIL a la même exception à ce niveau. Mais l’a étendu en dépassant justement le « strictement nécessaire à la fourniture du service » pour coller de la mesure d’audience aussi là-dedans, ce qu’elle est globalement la seule à faire.
votre avatar
Correction. Une phase d’anonymisation est DÉJÀ un traitement de DCP en soit, et est donc soumis au RGPD. Il ne doit donc y avoir AUCUNE collecte de DCP en réalité, ce qui est… techniquement totalement impossible.
On est d'accord. Et dès qu'on a un serveur web, on fait forcément un traitement de DCP. Mais les traitements ultérieurs basés uniquement sur des données anonymisées (des stats par exemple) eux ne le sont pas.
Pour la partie ePrivacy, ça ne couvre que les cookies d’authentification et de load balancing, la CNIL a la même exception à ce niveau. Mais l’a étendu en dépassant justement le « strictement nécessaire à la fourniture du service » pour coller de la mesure d’audience aussi là-dedans, ce qu’elle est globalement la seule à faire.
C'est ici que j'ai un peu plus de mal. La directive ePrivacy (le texte) ne fait pas référence explicitement aux cookies d'authentification et de load balancing. C'est ce qui a été déduit des textes, à partir des tournures juridiques (et pour lesquels il y a plutôt consensus). Cela ne signifie pas que ce sont les seuls pour autant. Un cookie pour de l'A/B testing par exemple pourrait être considéré comme visant à faciliter la communication.

Je suis d'accord que c'est beaucoup plus sujet à interprétation que les cookies d'authentification ou de load-balancing. Mais je n'arrive pas pour autant à trouver de texte qui montre que la position de la CNIL serait manifestement illégale vis-à-vis du droits de l'UE.
votre avatar
Mais les traitements ultérieurs basés uniquement sur des données anonymisées (des stats par exemple) eux ne le sont pas.
Encore faut-il ne manipuler QUE de la donnée anonyme, ce qui est généralement infaisable.
Un cookie pour de l'A/B testing par exemple pourrait être considéré comme visant à faciliter la communication.
Non, puisque ce service n’est pas explicitement demandé par l’utilisateur. Et pour le coup l’A/B testing a déjà été retoqué par le CEPD (faut que je te retrouve les lignes directrices sur le sujet)
votre avatar
Côté Espagne, l’A/B testing avait été sanctionné ici
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202501567
votre avatar
CEPD ici, page 15, point 48-49
https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_fr.pdf


Le CEPD ne considère pas que l’article 6, paragraphe 1, point b), constituerait généralement une base juridique appropriée pour un traitement destiné à améliorer un service ou à développer de nouvelles fonctions au sein d’un service existant. Dans la plupart des cas, un utilisateur conclut un contrat pour bénéficier d’un service existant. Si la possibilité d’apporter des améliorations ou des modifications à un service peut être régulièrement intégrée dans les clauses contractuelles, un tel traitement ne peut généralement pas être considéré comme objectivement nécessaire à l’exécution du contrat conclu avec l’utilisateur
votre avatar
Merci pour ces éléments.

Le côté A/B testing n'apparait pas dans l'exemple que tu donnes. Après, c'est peut être le fond de l'affaire derrière ce cookie non nécessaire qui est à l'oeuvre dans la sanction. Mais c'était juste par l'Espagne, pas par le CEPD (enfin dans l'exemple).

Pour le 2e, le CEPD précise qu'en général, l'intérêt légitime ne peut être évoqué pour ce genre de situation. Et ça fait d'ailleurs des années qu'elle a dit cela. Mais cela ne concerne que des DCP, pas des données anonymisées. Du coup, je suppose que cela dépend de ce que l'on prend comme point de départ d'un traitement.

Mais je n'arrive pas pour autant à y voir le caractère manifestement illégal des "exceptions françaises".
votre avatar
Le côté manifestement illégal est dans l’article 60 du RGPD : obligation de cohérence dans toute l’UE, pour éviter les bugs législatifs.

N’oublions pas qu’un plaignant ES peut très bien porter plainte devant l’AEPD concernant des sites FR. Ça ferait des trucs totalement infernaux si on avait la CNIL qui disait « c’est légit » alors que l’Espagne dirait « ça ne l’est pas ».
votre avatar
Merci. J'avoue qu'étant plus du côté opérationnel, j'ai surtout potassé les 50 premiers articles du RGPD. Les 49 autres concernant plus les autorités de contrôles et leur coopération, je les ai moins étudiés.

Néanmoins, je suis en désaccord avec ton interprétation. Il y a effectivement des mécanismes pour assurer la cohérence dans les décisions (et c'est plutôt une bonne chose). Les autorités de contrôles doivent communiquer entre elles.

Cependant, en cas de désaccord entre autorités de contrôle, le "litige" est résolu par le comité. Sauf à ce que le litige en question ait déjà été débattu et tranché, on se retrouve potentiellement devant un manque de cohérence, mais pas une illégalité manifeste. Pourquoi est-ce que ce serait la position de l'Espagne la bonne ?
votre avatar
Parce que c’est celle de l’ensemble de l’Europe. Y’a que la France qui joue toute seule dans son coin et qui sort des exceptions qui ne sont prévues par aucun texte…

Et sur le cas qui a déjà fini devant le CEPD, la CNIL est ressortie laminée
https://www.edpb.europa.eu/system/files/2022-08/edpb_binding_decision_01_2022_accor_fr_redacted_fr.pdf

On s’est quand même taper : Pologne, Espagne, 2 APD allemandes, Angleterre.
votre avatar
Je ne comprends pas ton argumentation. Admettons que la France est effectivement seule à faire cette interprétation. Tu es en train de m'expliquer que sa position est "manifestement illicite" parce qu'elle est la seule à penser ça ? J'ose espérer que j'ai mal compris...

De même, qu'est-ce que cela apporte au débat le fait que la CNIL se soit faite remonter les bretelles dans un cas particulier (qui n'a pas grand chose à voir avec la discussion de fond en plus, le désaccord portant sur le montant d'une amende dans le cadre de manquements au droit d'opposition) ? Je ne porte pas spécialement la CNIL en haute estime, mais ici, j'ai juste l'impression que cette argument est là seulement pour la dénigrer, et non pas pour apporter un élément pertinent :/

[edit] J'apprécie que tu prennes le temps de me répondre. J'essaie juste d'approfondir pour comprendre le "manifestement illicite", qui est tout, sauf "manifeste" à mes yeux...
votre avatar
Non, ce n’est pas parce qu’elle est la seule à le dire que je dis que c’est manifestement illicite. C’est juste que la position de la CNIL a été retoqué par toutes les autres autorités de contrôle.
On a même déjà 3 ou 4 condamnations explicites par exemple du TCF de l’IAB, jusque devant la CJUE, mais que la CNIL continue encore et toujours à soutenir que c’est licite.
On a le même problème actuellement avec le « tout refuser », la CNIL continue à dire que le « continuer sans accepter » est légitime alors que c’est retoqué et sanctionné par toutes les autres.

La CNIL fait vraiment des trucs à sa sauce et se prend des scud de la part de toutes les autres APD.
Quand l’APD/GBA pilonne l’IAB et le TCF par 3× devant la CJUE, la CNIL les invite chaque matin à prendre le petit déjeuner…
votre avatar
Un exemple particulièrement effrayant : lire le rapport du CEPD en ce qui concerne les bannières cookies trompeuses. https://www.edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf
Maintenant va devant la CNIL en attaquant les mêmes design trompeurs que tu constates tous les jours, et la CNIL ne trouvera jamais rien à redire.
Même quand tu vas citer le rapport du CEPD, elle te répondra qu’elle en a rien à foutre.
La seule figure 5 de ses lignes directrices cookies, qui manifestement ne propose pas un bouton de refus « de même taille, couleur et position » que le bouton d’acceptation et est donc contraire aux positions du CEPD et à toutes les autres sanctions des autres APD, nécessite qu’on lui casse actuellement les 2 genoux devant le Conseil d’État (qui a autant la flemme que la CNIL)
Je t’invite à lire notre mémoire pour te rendre compte de l’écart monstrueux entre les autres et la CNIL… https://asso-purr.eu.org/assets/media/20250211-recours_abrogation_cookies.pdf
votre avatar
Globalement je vois de l'analytics et du Sentry qui semblent auto hébergés, rien de bien méchant à priori (ou alors je suis passé à côté d'un truc). Certaines pages (en dehors du manager) intègrent des vidéos YouTube aussi, donc ça peut expliquer le bandeau.
votre avatar
Pour OVH, je penses que c'est vraiment un bug.

S'il y avait vraiment embrouille, le site redemanderait régulièrement en cas de refus uniquement. Là c'est à chaque connexion...
votre avatar
Franchement ces bannières de cookies c'est une plaie. Plein de fois j'abandonne une recherche sur Internet à cause de ça.

Je ne sais plus sur quel site mais sur une bannière il y avait plus de "1000 partenaires". Et évidemment le bouton "refuser" est tout petit, quand il existe.
votre avatar
J'utilise l'extension I Still Don't Care About Cookies qui vire la plupart de ces ennuyeuses bannières...

NOTE: à utiliser en conjonction d'extensions qui bloquent les trackers car l'extension peut dans certain cas accepter les cookies quand il n'y a pas d'autres choix pour afficher le site (la plupart du temps elle masque juste la bannière, ce qui ne vaut pas acceptation)...
votre avatar
avec ublock origin ça fonctionne aussi quand on coche la case des nuisances je crois dans les préférences.
votre avatar
En fait ça les vire mais ça t’expose du coup à du tracking (l’intérêt légitime est validé)
votre avatar
Il y aussi Consent-O-Matic qui permet de refuser, sans cliquer, les cookies si on le souhaite. J'en suis plutôt satisfait.
votre avatar
La suite du déluge est ici :)
https://firefish.asso-purr.eu.org/notes/ailoxhndb8l100ro
votre avatar
Qu'est-ce qui explique cette soudaine activité ? La CNIL aurait-elle anticipé de se faire taper elle-même sur les doigts, faute de ne jamais se les sortir ?
votre avatar
On a mis quasiment 1 an à préparer le dossier et le terrain, et il a vraiment fallu lui casser les 2 bras et les 2 rotules… Le dossier de plainte fait 42 pages, et on a été sur des terrains que la CNIL n’attendait pas…
Et au final ça accouche quand même d’une souris. Plus grosse que la non souris habituelle, mais de simples mises en demeure non publiques, quand c’est une défaillance majeure et massive de tout l’écosystème des bannières, c’est juste encore un scandale…
votre avatar
Merci pour les actions et le retour ici. 😊

Bannières cookies : la CNIL met en demeure AliExpress, Darty, Ouest-France, OVHcloud, SFR…