Message Cookies & traceurs

Bonsoir,

Je m'interroge sur la mise en place du message d'avertissement sur les cookies et son acceptation que l'on voit fleurir sur un grand nombre de site.

Dans le principe je trouve cela intéressant car cela permet de sensibiliser sur le sujet les internautes et les concepteur de site. En pratique je trouve cela complètement inutile et même très pénible. J'espère que mon Adblock ou Ghostery finiront pas les supprimer.

Surtout que ce n'est pas ce fameux message qui empêche ces maudits cookies d'être activés sans mon accord. La cnil indique "Le consentement doit être préalable à l'insertion ou à la lecture de cookies". Je n'est encore jamais vu un site qui applique cela.

Dès lors pourquoi avoir mis ce message ? Que risque un site s'il ne respecte pas la directive européenne ?

Et vous, avez-vous mis en place ce message sur vos sites ?

Toutes les infos sur le site de la cnil :Cookies & traceurs : que dit la loi ?

PS : Pas de message sur Alsacréations alors qu'il y a Google Analytics.
Modifié par benj (15 Dec 2014 - 02:55)

Je suis d'accord avec tout ce que tu as dis excepté le fait que ça peut permettre de sensibiliser les gens sur le sujet.

Le message est probablement cryptique pour la majorité des utilisateurs et le terme cookie n'a pas vraiment de sens pour définir le fait d'être pisté. C'est encore plus étrange de l'avoir choisi quand on voit que dans la liste des méthodes listées par la CNIL ils parlent bien des méthodes utilisées actuellement pour tracer les profils des internautes (empreinte machine, pixel espion...).

Et puis il y a tellement de techniques de tracking déployées un peu partout dans les logiciels et les réseaux que se focaliser sur un type particulier à un effet secondaire indésirable : le public (qui va s'intéresser à la question) risque de passer complètement à côté du fait qu'ils est pisté par plein d'autres choses que les cookies attachés aux bannières publicitaires des sites qu'ils visitent.

Même quand tu prends l'exemple d'Alsa en parlant d'Analytics tu as oublié qu'il y'a aussi des pubs Adsense, des liens d'affiliation Amazon et peut être d'autres.

Pour répondre à tes 2 autres questions :

Les risques si on n'affiche pas le message : je ne sais pas. Même le texte de loi ne le précise pas. Il faudrait demander à un juriste.

J'ai mis en place l'avertissement sur certains sites, par tous pour l'instant.

audrasjb a écrit :

Sans me prononcer forcément sur le bien fondé de la réglementation, je dirais au passage qu'il est aussi possible d'utiliser une alternative aux services de Google (et au passage open-source) telle que Piwik

Je pense que le sujet va bien au delà du "simple" Analytics ou même de Google.

Bien sûr, mais je pense que l'exemple des systèmes de suivi des statistiques regroupe tout de même une large part de ce que l'auteur de ce fil de discussion a voulu évoquer en l'ouvrant.

Pour rappel, sur la page linkée par benj à propos de ces messages d'avertissement :

CNIL a écrit :
Le cas des cookies de solutions de mesures d'audience (analytics)
Pour être exemptés de demande de consentement, les cookies de mesure d'audience doivent respecter les conditions suivantes :
une information doit être donnée aux utilisateurs qui doivent pouvoir s'opposer au traitement (cette opposition doit pouvoir se faire depuis n'importe quel terminal) ;
les données collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple) ;
le traceur déposé ne doit servir qu'à la production de statistiques anonymes et ne doit pas permettre le suivi de la navigation sur différents sites. Il ne doit pas être conservé au-delà de 13 mois et ne doit pas être prorogé lors des nouvelles visites ;
les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois ;
l'utilisation de l'adresse IP pour géolocaliser l'usager ne doit pas permettre de déterminer sa rue : seuls les deux premiers octets des adresses IPv4 peuvent être conservés et éventuellement utilisés pour de la géo localisation (pour IPv6 seuls les 6 premiers octets peuvent être conservés).
Aujourd'hui, peu d'outils permettent de respecter ces différentes conditions.
Les solutions d'analytics qui ne respectant pas les conditions ci-dessus doivent faire l'objet du recueil du consentement préalable des utilisateurs.

Modifié par audrasjb (15 Dec 2014 - 22:09)

Pas besoin de faire de rappels en ce qui me concerne, c'est un sujet que j'étudie depuis longtemps.

Les outils de statistiques sont un mot valise dans lequel on peut englober l'intégralité des outils utilisés par les commerciaux/petits patrons/gens du marketing à l'heure actuelle. (...)

Tu veux que je te donnes un exemple simple ?

Tu es branché design/graphisme. Est-ce que tu pourrais imaginer que ton logiciel de prédilection, celui que tu as installé sur ton ordi et que tu utilises à longueur de journée au travail... est-ce qu'il t'es déjà arrivé d'imaginer que ce programme utiliserais Google Analytics (ou un autre) pour transmettre au créateur du logiciel : l'heure exacte où tu lances le programme, l'heure à laquelle tu le fermes, combien de temps tu as été effectif avec et combien de temps tu as glandé avec le soft ouvert; la configuration exacte de ta machine et un tas d'infos qui t'identifies en bonus ?

Est-ce que c'est un scénario qui te parais possible à l'heure actuelle ?
Modifié par LaJota (15 Dec 2014 - 23:10)

En effet le terme "cookie" est malheureux et peut en effet être contre productif. J'ai l'impression que même pour les professionnel du web c'est très mal compris et que le mot traceur est plus adapté.

Pour ma part, pour les sites que je gère, la question ne se pose quasiment que pour les stats (Google Analytics et xiti). Pour mes sites perso j'ai donc commencé il y a déjà quelques temps à mettre la solution Piwik qui répond à l'ensemble de mes besoin. Au boulot, c'est plus compliqué et je ne me voit mal dire à mon boss que je vais passer plus d'une semaine à mettre en place sur l'ensemble du parc ce fameux message.

Mais en écrivant sur le sujet, je ne voulais pas forcément parler que de mon cas. Je voulais un retour d’expérience et un ressentie.

a écrit :
Les outils de statistiques sont un mot valise dans lequel on peut englober l'intégralité des outils utilisés par les commerciaux/petits patrons/gens du marketing à l'heure actuelle. (...)

Oui comme par exemple sur lemonde.fr. Il y a des stats pour chaque services.

benj a écrit :

PS : Pas de message sur Alsacréations alors qu'il y a Google Analytics.

S'pas faux, faut voir avec le Dew
En même temps pareil pour mon portfolio, mon blog, et 90% des sites du woueb. Mais bon, faut voir comment techniquement tu peux mettre ça en place sans plomber les performances du site (miam un script au chargement de plus...)

Sinon j'ai lu tracteur. Et ce commentaire n'apporte rien à la conversation. Bisou^^

je viens de trouver un article de juillet dernier sur le site de la cnil Cookies : des contrôles à partir d'octobre

a écrit :
Selon le bilan des ces contrôles, la CNIL pourra, le cas échéant, adopter des mises en demeure voire des sanctions à l’égard des organismes à l’encontre desquels des manquements à la loi auront été relevés.

Pas de news depuis sur la cnil...

Un petit lien vers un article qui résume très bien la situation : http://blog.axe-net.fr/cnil-et-cookies-etes-vous-prets/

Quelqu'un sait ce qu'il en est pour les autres pays ? La Suisse en ce qui me concerne, mais aussi Belgique, Canada...

Perso je pense que ces messages sont totalement inutiles. A mon avis, bien rares sont les consciences qui ont commencé à se poser des questions, et encore plus rares sont celles qui savent ce que sont les cookies et comment ils fonctionnent. ET en plus, comme déjà dit, on a assez d'autres moyens pour pister sans même utiliser des cookies. A commencer par le localStorage de JavaScript qui est une parfaite v2.0 de nos antiques cookies; et les stockages locaux similaires quasi-ineffaçables de flash; et des études qui ont déjà montré que rien qu'avec ce qu'envoie le navigateur tout seul dans son user agent string, on peut reconnaître un utilisateur précis avec 70% de chances.

a écrit :
Tu es branché design/graphisme. Est-ce que tu pourrais imaginer que ton logiciel de prédilection, celui que tu as installé sur ton ordi et que tu utilises à longueur de journée au travail... est-ce qu'il t'es déjà arrivé d'imaginer que ce programme utiliserais Google Analytics (ou un autre) pour transmettre au créateur du logiciel : l'heure exacte où tu lances le programme, l'heure à laquelle tu le fermes, combien de temps tu as été effectif avec et combien de temps tu as glandé avec le soft ouvert;
la configuration exacte de ta machine et un tas d'infos qui t'identifies en bonus ?

Ils le font tous de toute façon, on le sait maintenant, même si on ne coche pas les super cases bien planquées qui demandent de ne pas envoyer d'informations... mais même ça c'est du peanuts. En fait, je vais vous le dire: le plus gros mouchar présent sur nos PC, en fait, c'est.... l'anti-virus.

Évidemment qu'il doit tout analyser ce qui passe pour faire son boulot ! Mais on est bien naïf de croire qu'il garderait bien sagement à la maison tout ce qu'il récupère.

Pour ce qui est de la Suisse, ce n'est pas demain qu'on aura ce genre d'obligations, la seule mention spécifique concernant le net dans nos lois est la révision de 2012 de la concurrence déloyale. Donc la seule obligation légale concernant les sites internets en France se résume à cela:

a écrit :
«Agit de façon déloyale celui qui, notamment, propose des marchandises, des oeuvres ou des prestations au moyen du commerce électronique sans remplir les conditions suivantes:

- Indiquer de manière claire et complète son identité et son adresse de contact, y compris pour le courrier électronique,
- indiquer les différentes étapes techniques conduisant à la conclusion d'un contrat,
- fournir les outils techniques appropriés permettant de détecter et de corriger les erreurs de saisie avant l'envoi d'une commande,
- confirmer sans délai la commande du client par courrier électronique»

kustolovic a écrit :
Pour ce qui est de la Suisse, ce n'est pas demain qu'on aura ce genre d'obligations, la seule mention spécifique concernant le net dans nos lois est la révision de 2012 de la concurrence déloyale.

Tu es sûr?
Le fait que la Suisse ne soit pas membre de l'UE ne signifie pas qu'elle n'ait pas, sur de nombreux points, à se conformer aux directives européennes en raison de son appartenance à l'EEE.
C'est un point que les gouvernements des membres de l'EEE se gardent bien de mettre en avant: pour en faire partie, il faut appliquer les directives, mais comme ils ne font pas partie de l'UE ils ne peuvent pas en discuter les termes. Lorsque les Britanniques auront quitté l'UE, ils vont le découvrir, ce qui promet un spectacle intéressant dans les années qui viennent...
Maintenant, sur ce point précis, ce n'est peut être pas le cas, sauf pour les utilisateurs qui accèdent au site depuis un pays membre de l'UE, ce qui veut dire de toute façon que les sites suisses vont devoir développer le bout de code en question.

À ce sujet, mon site utilise deux cookies, l'un pour se souvenir du nom de l'utilisateur qui accède à la partie privée du site (et qui est donc enregistré par ailleurs), l'autre pour se souvenir d'une fois sur l'autre si l'utilisateur préfère ou non avoir une musique de fond en accédant à la page d'accueil. Pour autant que je comprenne, je n'ai pas besoin de changer mon code... ou est-ce que je me trompe?

PapyJP a écrit :
Tu es sûr?

Absolument, vu que la Suisse n'est pas membre de l'EEE. En lieu et place on a des accords bilatéraux qui nous permettent de négocier chaque point de manière particulière.

Pour la suisse => voir http://www.kmu.admin.ch/kmu-betreiben/03260/03263/03274/index.html?lang=fr

Pour être soumis à la législation d'un pays, il ne suffit pas que des utilisateurs y accèdent au site (sinon on serait soumis aux législations de tous les pays du monde…) mais il faut y vendre des produits ou services de manière ciblée:

Lukas Bühlmann a écrit :
[…]les entreprises visant un marché donné doivent toujours se conformer au droit local si elles s'adressent à des consommateurs. Néanmoins, le terme "viser" est sujet à interprétation. On ne peut pas dire qu'un site ne réalisant qu'une très faible part de son chiffre d'affaires en Allemagne et ne faisant rien pour l'augmenter ne "vise" réellement ce marché d'un point de vue juridique. En revanche, il semble évident qu'un site disponible en langue allemande, qui fait de la publicité en Allemagne, avec des prix indiqués en euros, vise ce marché.

PapyJP a écrit :
À ce sujet, mon site utilise deux cookies, l'un pour se souvenir du nom de l'utilisateur qui accède à la partie privée du site (et qui est donc enregistré par ailleurs), l'autre pour se souvenir d'une fois sur l'autre si l'utilisateur préfère ou non avoir une musique de fond en accédant à la page d'accueil. Pour autant que je comprenne, je n'ai pas besoin de changer mon code... ou est-ce que je me trompe?

Non cela n'entre bien entendu pas dans le cadre de cette loi. Par contre il faut peut être le mentionner dans les mentions légales de votre site.

QuentinC a écrit :
ET en plus, comme déjà dit, on a assez d'autres moyens pour pister sans même utiliser des cookies. A commencer par le localStorage de JavaScript qui est une parfaite v2.0 de nos antiques cookies; et les stockages locaux similaires quasi-ineffaçables de flash

Le terme cookies, ici, englobe tous cela. J'en convient c'est pas très logique.
Modifié par benj (07 Jan 2015 - 13:12)

Merci pour vos réponses. Je suis rassuré.

Est-ce que ça signifie qu'avec cette loi française, le session_start() systématique, vu qu'il envoie d'office un cookie, ne serait pas légal ? Si je comprends bien, oui tant que l'utilisateur n'a pas donné son consentement explicite (ou implicite en se loggant), donc à la première page ça ne le serait pas. Parce que ça poserait des gros problèmes...

ET maintenant, la question de la mort qui tue: moi en tant que propriétaire officiel du site, je suis citoyen du pays A, mais mon site est hébergé dans le pays B et le nom de domaine est enregistré chez un registrard du pays C. A quelle(s) loi(s) suis-je soumis ?

QuentinC a écrit :
Est-ce que ça signifie qu'avec cette loi française, le session_start() systématique, vu qu'il envoie d'office un cookie, ne serait pas légal ?.

Oublie le mot cookie et pense plutôt "traceur".

QuentinC a écrit :
ET maintenant, la question de la mort qui tue: moi en tant que propriétaire officiel du site, je suis citoyen du pays A, mais mon site est hébergé dans le pays B et le nom de domaine est enregistré chez un registrard du pays C. A quelle(s) loi(s) suis-je soumis ?

Voir ce sujet sur le forum

QuentinC a écrit :
ET maintenant, la question de la mort qui tue: moi en tant que propriétaire officiel du site, je suis citoyen du pays A, mais mon site est hébergé dans le pays B et le nom de domaine est enregistré chez un registrard du pays C. A quelle(s) loi(s) suis-je soumis ?

La question est éminemment complexe. Cela dépend des lois. Selon les lois (droit d'auteur, droit des contrats, etc.) il existe un ou des accords internationaux, parfois il y en a pas. Si on a un problème a devoir régler impérativement, le mieux est de faire appel à un juriste spécialisé (de manière générale, pour l'e-commerce et la plupart des services payants, c'est une quasi obligation).

Sinon, de manière empirique l'importance des législations est généralement dans cet ordre: Pays du siège de l'éditeur > Pays «cible» des services > Pays de l'hébergement / registrar / etc.

Après il y a la question de l'applicabilité. Pour tout ce qui n'est pas pénal, généralement on ne s'amuse pas à traverser les frontières. Par exemple si Alsacréations était Suisse, mais qu'en France on découvre qu'Alsa s'adresse à un public français mais n'a pas le bandeau d'avertissement des cookies, on ne va pas mettre en œuvre une coopération internationale pour ça… Par contre si un des services est assuré par un prestataire français, un juge pourra toujours éventuellement ordonner sa suspension (registrar/DNS/serveur).