Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : une extension ajoute un refus global sur les sites utilisant le module Quantcast Choice

En attendant les enquêtes de la CNIL
Internet 5 min
RGPD : une extension ajoute un refus global sur les sites utilisant le module Quantcast Choice
Crédits : BrianAJackson/iStock/Thinkstock

Le règlement général pour la protection des données est entré en vigueur en France il y a quelques mois déjà. Les sites ont commencé à s'adapter, mais tous ne montrent pas de bonne volonté. Une extension change la donne.

Si le RGPD ne change pas fondamentalement le consentement en France (voir notre analyse), ce règlement européen a l'intérêt de renforcer certaines notions. 

Ainsi, il dispose que l'utilisateur doit manifester « de façon libre, spécifique, éclairée et univoque son accord » par « un acte positif clair ». Ainsi, le consentement doit être propre à chaque finalité (publicité, audience, personnalisation, etc.), ne peut être actif par défaut et ne peut pas être symbolisé par le fait de simplement naviguer sur un site.

Autre point sur lequel le texte est clair (article 7) : « Il est aussi simple de retirer que de donner son consentement ». Ainsi, cette procédure ne devrait pas faire l'objet d'un « dark pattern », soit la volonté d'un éditeur de complexifier les choses par une solution anti-ergonomique. C'est pourtant ce qui est souvent mis en œuvre.

Des outils plus laxistes que le texte

Depuis le 25 mai, date d'application du texte en Europe après deux années de délai laissé aux acteurs du secteur pour se préparer, un module a symbolisé ce problème : celui de Quantcast. Utilisé par de nombreux site pour gérer leur recueil du consentement, il laisse une grande souplesse d'intégration. 

Ainsi, un éditeur peut permettre à l'utilisateur d'accepter ou de refuser toutes les finalités dès l'affichage du module, ou de les personnaliser. Il peut aussi ne proposer que de tout accepter avant de renvoyer vers la personnalisation, sans refus simple, ce qui va à l'encontre du RGPD.

Quantcast Choice PersonnalisationQuantcast Choice PersonnalisationCertains des choix laissés par Quantcast à ses clients

Surtout que sur cette page de personnalisation, seul un bouton permettant de tout accepter est en général proposé. Sans parler des sites qui activent toutes les finalités par défaut ou indiquent qu'elles sont requises (ce ne devrait pas être le cas). On s'amusera d'ailleurs du fait que Quantcast lui-même opte pour une « mauvaise » implémentation.

Tant de mauvais choix que la société ne devrait pas forcément laisser à ses clients, Mais peut-être est-ce aussi pour cette liberté que ce module a été choisi. Ajoutons qu'il coupe la navigation de l'internaute, ce qui va à l'encontre des recommandations effectuées par le groupement des CNIL européennes. 

Au final, de nombreux sites ne proposent pas le refus global, activent par défaut l'ensemble des finalités et incitent ainsi leurs visiteurs à tout accepter par recherche de simplicité. Tant de choix de leur part qui vont tant à l'encontre de l'esprit du RGPD que de son application stricte, ouvrant la voie à une sanction par la CNIL.

QuantcastQuantcast
Une mauvaise et une bonne façons de faire. Notez que « J'accepte » reste mis en avant en bleu plutôt que blanc

Cette pratique n'est d'ailleurs pas exclusive aux sites qui utilisent le module de Quantcast et d'autres modules du même genre sont utilisés également de manière abusive, sans parler des médias qui ne demandent pas de consentement, estimant que le pistage des internautes utilisé comme source de financement entre dans le cadre de l'intérêt légitime.

Mais en l'absence de premières enquêtes et de sanctions conséquentes (pour le moment) effectuées par la Commission, il semble que certains tentent de jouer la montre.

Une extension pour commencer à changer la donne

Exaspéré par la situation, Vincent Toubiana, ancien agent de la CNIL, a développé une petite extension au fonctionnement simple : lorsqu'un module Quantcast est affiché, si le bouton de refus global n'est pas affiché, il est recréé. Ainsi, d'une simple pression, toutes les finalités sont refusées et le choix de l'utilisateur enregistré.

L'extension QookieFix est disponible en anglais et en français, sur Firefox et Chrome (ainsi que ses dérivés). Son code source est ouvert à tous et diffusé sur GitHub. Le tout tient en une trentaine de lignes de code, et peut sans doute être amélioré et renforcé par l'adaptation à d'autres modules. Les contributions sont les bienvenues.

Le problème va bien au-delà de l'expression du consentement

Mais l'utilisation de notre extension Kimetrak met en lumière un autre souci tenant à un comportement qui n'a guère changé malgré le RGPD : les scripts de pistage sont lancés avant même l'expression du consentement.

Ainsi, il suffit de se rendre sur de nombreux sites de médias pour voir le compteur continuer à relever des dizaines de requêtes avant même que l'on ait eu à cliquer sur le moindre bouton. Là aussi, il s'agit d'un choix qui va le plus souvent à l'encontre du règlement européen. 

Bien entendu, ces requêtes peuvent être utilisées pour afficher des publicités en précisant que l'utilisateur n'a pas encore donné son consentement, mais est-ce le cas ? Il y a fort à parier que non, mais là aussi, seule une enquête de la CNIL pourra venir préciser la situation et inciter les éditeurs à se mettre en conformité.

Une chose est sûre : étant donné le droit français avant le RGPD, déjà très protecteur des internautes en matière de respect de la vie privée, et les nombreux articles publiés sur la question, notamment par certains sites de presse qui ne semblent toujours pas en conformité... il leur sera difficile de revendiquer la bonne foi si jamais ils venaient à se faire prendre la main dans le sac par la Commission.

128 commentaires
Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 02/08/18 à 07:06:17

Vivement les prochaines (grosses) condamnations, ça fera peut-être réfléchir ces boites à la c**…

Avatar de SeigneursCoconuts Abonné
Avatar de SeigneursCoconutsSeigneursCoconuts- 02/08/18 à 07:08:10

Avec cette extension, cliquer sur "je refuse" vous amène directement sur les CGU et vous ne pouvez naviguer qu'en décochant tout à la main....

Avatar de Magyar Abonné
Avatar de MagyarMagyar- 02/08/18 à 07:08:54

Merci, je vais installer. Surtout que c'est pénible, mais sur certains site (avec quantcast) quand tu vas personnaliser tes choix et que tu refuses tout, et bien à chaque nouvelle visite tu as un nouveau pop-up qui te demande de revoir tes choix. Alors que si tu acceptes tout, plus jamais t'en entends parler.
Et je suis tomber sur un site l'autre fois qui ferme la page web si tu acceptes pas...

Avatar de HerrFrance Abonné
Avatar de HerrFranceHerrFrance- 02/08/18 à 07:09:52

Enfin , je cherchais depuis un moment ! Je suis tombés sur un paquet de site avec ce système, et dans le lot il n'y en avait qu'un seul qui désactivait tout de base (seulement si on cliquait sur Détails au lieu de Accepter, faut pas déconner).
J'espère vraiment qu'il va y avoir des condamnations maintenant, si c'est aussi peu  efficace que la protection française avant le RGPD, ça n'aura pas servi à grand chose.

Avatar de Stel INpactien
Avatar de StelStel- 02/08/18 à 07:11:24

Le problème est qu'on est passé du foutage de gueule ( +200 cookies tiers sur certain sites de presse) sans rien faire pendant des années, à l'excès inverse du jour au lendemain. Il n'y avait donc aucune chance que cela se passe bien.

Exemple : l'outils d'analyse de trafic de google ( analytic ) n'est pas compatible avec le rgpd, l'analyse du traffic n'aurait jamais du entrer dans le champ du rgpd, les sites en ont besoin et piwik est très très loin de remplacer analytic pour le suivis d'adsense/adword et tout un tas d'autres choses.

Pour moi cette situation n'est absolument pas une surprise, c'est évident que tout le monde freine des 2 pieds car le rgpd va trop loin. C'est contre productif en fait, alors qu'on en avait bien besoin....

Avatar de David_L Équipe
Avatar de David_LDavid_L- 02/08/18 à 07:12:23

PAs ce que j'ai constaté, mais ça peut dépendre du réglage des sites, de mémoire les éditeurs peuvent renvoyer vers une page spécifique en cas de refus (mais pas interdire l'accès au site ce sera là aussi contraire au RGPD).

Avatar de sebtx Abonné
Avatar de sebtxsebtx- 02/08/18 à 07:14:12

Et au final ces popups RGPD ça rend la navigation  encore plus pénible, déjà que les popup pour les cookies étaient une plaie.

Je déteste avoir un truc qui s'affiche en se rendant sur un site, surtout si c'est à l'issue d'une recherche et que je vais dessus que 30 secondes pour consulter ce que je recherchais.

Après ça part d'une bonne intention mais appliqué n'importe comment le remède est pire que le mal.

Édité par sebtx le 02/08/2018 à 07:15
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 02/08/18 à 07:22:30

Tout est fait pour qu'on clique sur "J'accepte tout" rapidement, sinon on n'accède jamais au contenu. C'est une véritable plaie de refuser, ça prend des plombes. Je vais essayer l'extension, tout initiative est bonne à prendre (mais si j'ai bien compris, cela ne fonctionnera pas avec un site n'utilisant pas Quantcast).

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 02/08/18 à 07:27:45

 

sebtx a écrit :

Et au final ces popups RGPD ça rend la navigation  encore plus pénible, déjà que les popup pour les cookies étaient une plaie.

 Le principe devrait surtout être : par défaut est tout désactivé, et si t'as besoin d'une fonction spécifique (genre l'intégration face de ploucs) t'as une boite de dialogue qui te demande si tu veux transférer tout ton CV et plus si affinités à une boite tierces qui s'en tape royalement du rgpd…

Mais bon, on en est loin.

Stel a écrit :

Exemple : l'outils d'analyse de trafic de google ( analytic ) n'est pas compatible avec le rgpd, l'analyse du traffic n'aurait jamais du entrer dans le champ du rgpd, les sites en ont besoin et piwik est très très loin de remplacer analytic pour le suivis d'adsense/adword et tout un tas d'autres choses.

 La plupart des hébergeurs fournissent des outils style AWStats qui sont moins intrusif que Google Analytics… Certains gestionnaire de contenu ont ça également en natif (SPIP par exemple)… Les marketeux doivent surtout apprendre qu'on ne peut pas tout faire à l'insu du "client / internaute"…

Édité par bilbonsacquet le 02/08/2018 à 07:28
Avatar de ecatomb Abonné
Avatar de ecatombecatomb- 02/08/18 à 07:38:09

sebtx a écrit :

Et au final ces popups RGPD ça rend la navigation  encore plus pénible, déjà que les popup pour les cookies étaient une plaie.

Je déteste avoir un truc qui s'affiche en se rendant sur un site, surtout si c'est à l'issue d'une recherche et que je vais dessus que 30 secondes pour consulter ce que je recherchais.

Après ça part d'une bonne intention mais appliqué n'importe comment le remède est pire que le mal.

Tout à fait. Le pire c’est que certaines fois tu es obligé d’accepter pour voir la page (si ce n’est pas passer 5min pour refuser la 50aine de 🍪 ). Ensuite, au bout de 10s tu t’aperçois qu’il n’y a pas ce que tu cherches sur le site.
Résultat, je m’habitue à passer en navigation privée pour faire ce genre de recherche et pouvoir mettre les cookies 🍪 non comestibles à la poubelle.

Il n'est plus possible de commenter cette actualité.
Page 1 / 13