Le point sur les cookies

La vie privée… des… internautes. Faisons le point !

🔗 Débroussailler le sujet

“Il n’y a pas vraiment de cadre juridique”. Faut pas dire ça, encore moins l’écrire !

2009 : “Paquet télécom”, niveau : Europe. Voir la directive “vie privée dans le secteur des communications électroniques”, on va jusqu’à faire référence aux Droits de l’Homme et aux libertés fondamentales. Je dis “jusqu’à” non pas pour me moquer mais au contraire pour insister sur le caractère important de l’affaire. Les communications électroniques doivent être protégées.

2011 : Loi “Informatique et Libertés” française, article 32 II.

Je vous épargne le détail de la loi, s’il vous intéresse suivez le lien donné en source. Ce qu’il faut comprendre est qu’ici toute démarche qui consiste à lire ou à écrire des informations sur le terminal d’un utilisateur dépend de cet article ! Nous somme directement concernés.

source : legifrance

Au premier rang des actions souvent menées dans ce cadre, on va retrouver les cookies mais pas que, également le local storage HTML5 et les etag par exemple.

2013 : personne n’y comprenant rien à ce truc de technocrate, la CNIL publie ses recommandations avec l’idée générale que l’utilisateur doit pouvoir choisir si “oui” ou “non” il donne son consentement pour ce type d’action. Sachant que ceci doit être révocable à tout moment. Cela veut dire que quand je visite un site je dois avoir un sorte de call to action qui me demande la permission de me tracer moi et ma machine et que je peux très bien dire “oui” puis dire “non” puis redire “oui”, etc.

ET si l’utilisateur ne fait aucun choix ? Bah là c’est pas clair les amis. On parle de “consentement à l’aveugle”, un terme que j’ai pu rencontrer dans mes lectures pour cet article.

Vous savez les mentions légales dans les pubs pour les crédits bancaires :

Wow crédit exceptionnel ! c’est nous qui vous donnons de l’argent, taux record […] Offre soumise à conditions…

Et là vous avez 4 pages de conditions particulières qui défilent en accéléré. Je me demande si on tombe pas un peu là-dedans et en même temps on peut comprendre que ça emmerde les sites, surtout ceux qui vivent du trafic, parce qu’en fait y a bon nombre de techniques de roublards pour identifier (donc pas dans l’anonymat) ses visiteurs. On en parlera plus tard dans l’article.

A partir de là, vous avez quantité de sites qui se sont mis à afficher un bandeau “au fait on vous trace” en popup et basta.

🔗 Le traitement des données

Le plus important c’est le traitement. Que faites-vous des données collectées ? Les données ça peut se croiser, c’est d’ailleurs tout l’intérêt, on fait des recoupements. Avec très peu de connaissances informatiques on peut facilement arriver à le faire alors avec… on pourra ainsi se baser sur ce que l’on appelle des “profils prédictifs” qu’on croisera avec des données de navigation, par exemple si l’utilisateur s’est enregistré (compte utilisateur), tout ça pour reconstituer presqu’entièrement la vie de l’internaute, savoir quel(s) terminal(aux) il (elle) utilise, lui envoyer des mails ciblés, etc.

Et là, la CNIL, elle aime pas trop. Elle peut faire sa chieuse même si tu t’appelles Google, y aura pas de points supplémentaires.

🔗 Concrétement

A lire les textes de loi, même si tu veux pas faire du marketing digital avec tes données, le fait de tracer tes visiteurs fait que l’article 32 II s’applique. Pourquoi ? Parce que ce traçage n’est pas nécessaire à la navigation. En gros, rien ne t’oblige à tracer tes visiteurs. Si les informations sont dites “sensibles”, par exemple les goûts sexuels (si si c’est sensible), bien demander la permission surtout. A plus forte raison, on a envie de dire.

MAIS :

Tout ce qui est outil statistique, AB testing, évaluation des parcours clients, n’est pas soumis à l’article ! Là aussi sous réserve de conditions par contre, vous pensez bien que sinon ce serait comme donner un “joker ergonomie” à quiconque veut faire du tracking sur son site :

  • ne produire que des données statistiques
  • pas de croisement avec des données extérieures
  • la possiblité de dire “non”

🔗 et donc ?

Peu importe le traçage c’est bien le traitement qui importe. On peut tout de même en faire beaucoup sans avoir à demander d’accord préalable spécifique de l’utilisateur mais il faut se renseigner. Un bandeau à la YouTube avec un bouton “ok” et un lien vers les mentions légales pourra suffire dans la plupart des cas mais encore faut-il permettre à l’utilisateur de bloquer le traçage à tout moment pour respecter les recommandations de la CNIL.

🔗 On fait quoi alors ?

Afin d’être parfaitement clair, je vais l’écrire de manière claire : avoir un code de suivi n’oblige pas à installer un bandeau cookies. Pour peu qu’on rentre dans le cadre (recommandation “cookies” de l’article de loi), on peut les déposer dès l’arrivée du visiteur sans lui demander quoi que soit.

Piwik ou encore Xiti ont des options spécifiques pour se mettre en conformité sans avoir à afficher un bandeau au visiteur du site.

OUI MAIS GOOGLE ANALYTICS NE PERMET PAS D’OPT-OUT ! Et comme la grosse grosse majorité des sites utilise Google Analytics, tous les sites français ou presque y vont de leur bandeau mais dans la plupart des cas donc incomplets puisque pas d’opt-out. Cela ne rendra pas totalement les plugins WP dédiés inutiles, mais presque ^^.

J’avais lu dans la documentation de Google (bien cachée quand même) que l’on pouvait désactiver le suivi comme suit :

window[ga-disable-UA-XXXXXX-X] = true;

Je bossais sur mon code perso et puis j’ai trouvé le compte GitHub de la CNIL, plus d’excuse pour ne pas l’intégrer.

A priori cela fonctionne plutôt bien. Est-ce le meilleur code js, avec en plus du HTML et du CSS inline, je ne sais pas, en tout cas ça fera le job et surtout mettra en VRAIE conformité un site. Si vous souhaitez forker mon plugin WP, ne vous génez pas smile

Je vous laisse là-dessus, à plus tard.

🔗 Et les réseaux sociaux ?

Oui c’est pas faux G☈eg, on ne s’éloignera pas trop avec cet add-on smile Et bien en fait, là aussi c’est le grand n’importe quoi à l’heure actuelle. En fait, on s’aperçoit que des cookies peuvent être déposés alors même que l’utilisateur n’a encore rien fait avec. Malheureusement je n’ai pas trouvé de solution universelle complète. Chez nous, dans WordPress, on a quelques plugins, plus ou moins maintenus, vous pourrez les retrouver avec les mots-clés “share+privacy”.

Ici pour bien faire il faudrait en effet empêcher les third party (en Français “Tiers”) de venir poser leurs cookies même quand l’utilisateur ne partage rien d’autant qu’elles s’en servent la plupart du temps pour la pub… mais si vous voulez mon sentiment là-dessus je doute qu’un opt-out suffise à bloquer les géants Twitter, Facebook et Google pour ne citer qu’eux :

Vous êtes ici.
Putain on m’observe !

Comme dit le sketch.