Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire

Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire

Avant les sanctions ?

Avatar de l'auteur
David Legrand

Publié dans

Internet

05/02/2021 4 minutes
17

Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire

Fin mars, tous les sites devront être en conformité avec les nouvelles lignes directrices de la CNIL en matière de pistage numérique des internautes. L'aboutissement d'une bataille longue où la Commission a été plus que conciliante, face à des publicitaires et éditeurs peu regardants. 

La Commission rappelle que « le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021 ». Et on ne peut que constater sa patience sur le sujet, puisque cela fera bientôt trois ans que le RGPD est entré en vigueur, cinq ans qu'il a été voté. 

L’installation et la lecture de ces pisteurs sont certes régulées par la directive ePrivacy de 2002, qui exige le consentement préalable de l’internaute. Elle renvoie cependant la définition de cette expression à la législation européenne relative aux données personnelles. 

Avant le RGPD, le droit européen se contentait d’un consentement implicite, ce qui a permis à la CNIL, dans une délibération de 2013, de considérer que la poursuite de la navigation sur un site vaut accord de l’internaute à l’installation des mouchards publicitaires. Avec le RGPD du 25 mai 2018, tout change puisque le consentement doit être explicite, et trouver sa manifestation dans un acte « positif », qui ne peut donc être déduit.

La mise en œuvre de cette nouvelle législation n'a pas été immédiate en pratique, l'autorité ayant laissé de longs mois aux acteurs pour assurer cette mise en conformité, montée en puissance validée par le Conseil d'Etat. La période touche désormais à sa fin, près de trois ans après l'entrée en application du règlement. 

La pédagogie de la CNIL, une méthode pas toujours efficace

Alors que l'échéance approche à grands pas, la CNIL constate sans doute que le compte n'y est pas encore et a donc « souhaité sensibiliser à nouveau les organismes privés et publics par une campagne d’envoi de courriers et courriels ».

Elle en profite pour publier un observatoire édité par son laboratoire d'innovation numérique (LINC). Objectif ? « Analyser périodiquement les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France ». L'analyse est basée sur l'outil maison et open source CookieViz. Les résultats ne préjugent pas de la conformité ou non des sites, prévient le LINC, mais donnent une bonne idée de la tendance globale et la volonté des acteurs.

Et on peut constater qu'on est loin d'être dans une situation idéale.

CNIL Cookies ObservatoireCNIL Cookies Observatoire

Malgré les délais et rappels : les sites abusent toujours

Ainsi, seuls 20 % des sites n'ont déposé aucun cookie tiers au chargement de la page. 20 % en déposent entre 7 et 79. Ce, sans prendre en compte des pratiques comme le CNAME Cloaking qui vise justement à masquer les tiers derrière un sous-domaine du site visité (first party) et autres solutions de pistage qui ne dépendent pas des cookies.

Dans la majeure partie des cas, il s'agit de cookies publicitaires, Facebook et Google en tête. Avec l'omniprésence de ces acteurs, ces outils permettent de reconstituer entièrement un profil utilisateurs selon leur navigation. C'est d'ailleurs leur objectif premier.

Après ce dernier coup de semonce, il n'y a plus qu'à espérer que la CNIL saura se montrer ferme avec les sites qui jettent encore en pâture les données de leurs visiteurs sans même leur accord. Car pour certains, il s'agit d'un modèle économique bien rodé qui dure depuis plus de 10 ans. Une situation que d'aucuns pourraient considérer comme une forme de concurrence déloyale face à ceux qui respectent la loi à la lettre.

17

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La pédagogie de la CNIL, une méthode pas toujours efficace

Malgré les délais et rappels : les sites abusent toujours

Commentaires (17)


Putain vivement que les couperet tombe…
surtout pour les sites qui nous impose de refuser un à un les cookies au lieu d’avoir un bouton refuser tout…



Et les « intérêt légitime » qui n’est juste qu’une grosse arnaque…
Je rêve du jours où u block origine ne sera plus nécessaire…


Faut pas être pressé quand on est une personne concernée et qu’on attend depuis 2009 l’application de la directive ePrivacy ou depuis 2018 celle du RGPD…


e rigole fort alors qu’Android (donc Google) autorise (voire encourage) la collecte d’infos personnelles au travers de leur propre apps et interdit, sur leur store, toute appli qui “filtre” les publicités.
Aucun pare-feu digne de ce nom n’est disponible non plus. Et que dire du filtrage des autorisations par appli dans Android? Juste useless car rien ne permet de bloquer les accès au réseau par appli. Même le blocage des MAJ par appli à été supprimé.



Du coup, on est beaucoup plus permissif à l’encontre du “1er OS mobile au monde” alors que des outils existent pour se sécuriser sur les OS “Desktop”.



Le débat de la CNIL est louable mais largement insuffisant par rapport à la réalité du terrain.


Je sais pas ce que tu as comme Android, mais je peux empêcher l’accès au réseau appli par appli.(RedMi, android 9)
Après, t’es pas obligé de passer par le playstore pour tes applis. DNSfilter est trouvable facilement et fait très bien le taf.


La tolérance a beaucoup trop duré envers les cookies. En France comme dans d’autres pays d’Europe.



J’ai une question annexe: dans la capture d’écran je vois apparaître le site le360.ma, c’est un site d’actualités marocain. Est-il concerné par le RGPD ?


S’il traite des données personnelles de personnes vivant dans l’UE, oui.


Et que dire des autres sites? 1000 sites… même en France; ça fait pas le poids.
Et c’est justement pas dans les 1000 site qu’il y aura le plus de filous…
Bref. C’est à ce moment ou l’on comprend le “non pouvoir” qu’est la CNIL.


Mouais, enfin les contrôles relatifs au RGPD, ce ne sera pas que ces 1 000 sites, et heureusement…



Et d’ailleurs, sur cet observatoire, il s’agit seulement d’observer les pratiques de ces sites, sans présumer de la conformité ou non au RGPD, comme le dit l’article.



Mais on est d’accord qu’on attend les sanctions…


Si tu tapes sur les prestataires qui mettent ces bandeaux (avec un “refuser” total difficile d’accès) en attaquant 2-3 gros donneurs d’ordres, cela va vite faire réfléchir toutes les boîtes faisant le même travail et leur donneurs d’ordres.



Exempled:
SFBX, Didomi


Pour ceux qui veulent spammer la CNIL quand ce sera nécessaire, un allemand a déjà fait le taf pour son pays : https://tracktor.it/



Faut maintenant traduire et adapter à la France : https://codeberg.org/rufposten/Traecktor


Merci pour l’article. Bizarrement cela fait une éternité que je ne suis pas venu sur NextInpact et depuis j’ai bien évidemment vidé mon cache (encore hier) et je n’ai eu aucune invitation a accepter ou non des pisteurs/cookies. Est-ce normal même si vous nous tracés pas selon votre politique (merci pour cela) il y a tout de même des cookies qui sont générés pour ce site et pourtant aucune explication et consentement au moment de notre arrivée sur le site ? Je suis sous Chrome.
Normalement on devrait avoir un popup malgré tout pour nous l’expliquer, même si ces cookies sont obligatoires pour vous. Ou je me trompe ?


Oui, il n’y a pas de cookies de pistage sur NXI, donc pas besoin de demander d’autorisation.


Personellement les 34 des site européen que je visite, installe toujours des cookies publicitaire “avant” que j’ai donné mon accord aux cookies utiles uniquement, et quand je refuse les cookies publicitaire il ne sont pas supprimé, autant dire c’est du :



Vous voulez le cookie ? oui/oui


Après faut pas vous faire d’idée les gens. Faut voir le montant des amendes. Si c’est une boite qui gère des millions avec une amende de 5000 €, ça risque de durer longtemps.
Une prune de 10% du chiffre d’affaire mondiale, là c’est dissuasif.



Ricard a dit:




Là, on parle pour le quidam. Combien de clients Android vont faire l’effort de voir ailleurs que sur le play store google? Et non, sur un Android stock les options que tu cites nes sont pas dispo (à moins qu’elles soient bien cachées dans les menus)


J’ai pas bien suivi les détails techniques, mais est-ce que les encarts qui donnent le choix entre “tout accepter” et “plus d’informations” (par exemple celui de Google) respectent le RPGD ?



Il me semblait que “tout accepter” et “tout refuser” devaient se trouver au même niveau, pourtant tous les “grands” ne permettent pas de “tout refuser” et renvoient aux possibilités de bloquer les cookies par le navigateur.



Ca va perdurer ?



chp2 a dit:


Là, on parle pour le quidam. Combien de clients Android vont faire l’effort de voir ailleurs que sur le play store google? Et non, sur un Android stock les options que tu cites nes sont pas dispo (à moins qu’elles soient bien cachées dans les menus)




Je viens de vérifier, elles sont parfaitement dispos sur un Android stock, et pas cachées. Sur mon tél Android 8.1, j’y accède en 3 “clics” : appui long sur l’icône de l’appli, appui sur “Informations”, appui sur “Autorisations”. Et je gère ce que je veux comme je veux.