Dure loi des cookies

Le 25 mai 2012

En Grande-Bretagne, les sites web affichant des bandeaux publicitaires encourent une amende de 500 000 livres. En France, l'amende est de 300 000 euros. Une directive européenne oblige maintenant les sites à demander aux internautes la permission d'envoyer des "cookies" dans leurs ordinateurs. Inapplicable, la loi n'est… pas appliquée. Mais fait trembler le marketing et la pub en ligne.

You Don't Wanna Steal Wookies Cookies CC by-nc-sa Pedro Vezini

You Don't Wanna Steal Wookies Cookies CC by-nc-sa Pedro Vezini

Ce 26 mai 2012, tous les sites web anglais ne respectant pas la nouvelle loi relative à la défense de la vie privée sur le web seront passibles de poursuites et d’amendes pouvant atteindre la modique somme de 500 000 livres. L’effet d’annonce est renversant, au moins autant que le constat : la loi est inapplicable.

Consentement

Cette nouvelle législation récemment rappelée par la Cnil, issue du Parlement européen, a pour but affiché une harmonisation des règles pour tous les pays de l’UE afin de garantir aux citoyens un meilleur niveau de protection de leurs données personnelles. Si la directive s’applique à tous les pays de l’UE, elle laisse toutefois une marge de manœuvre quant à sa transposition.

Facebook en redemande

Facebook en redemande

Le 21 décembre dernier en Irlande, l'autorité de régulation des télécoms rendait un audit très critique sur Facebook et ...

Selon l’adaptation britannique de la loi, tous les sites web devraient à partir du 26 mai passer en “opt in”. Autrement dit, obtenir le consentement préalable de l’internaute sur les cookies transitant par leur plateforme avant que ces derniers ne puissent recueillir des informations. Le texte vise tous ceux qui servent d’une manière ou d’une autre, à recenser les données personnelles d’un internaute (exceptées les données de navigation).

Les cookies, ce sont ces petits fichiers textes qui aident à stocker et à organiser les informations des internautes. S’ils stockent des données en tous genres (mot de passe, langue choisie, etc.) censées faciliter la navigation, ils permettent également de constituer un profil de l’utilisateur en recensant les sites web qu’il visite, ses goûts, les publicités auxquelles il est le plus sensible, etc. C’est également ce qui permet à tout le secteur de la publicité comportementale en ligne de prospérer en proposant des annonces ciblées.

Le responsable légal du site sera donc obligé par n’importe quel moyen de demander à l’internaute qui arrive sur la page d’accueil s’il accepte ou non les cookies. Il devra également détailler leurs buts précis et la société qui en est à l’origine. Le gros problème, c’est qu’actuellement, aucun navigateur n’est techniquement en mesure de faire la distinction entre les différents types de cookies.

Autrement dit, il ne peut reconnaitre ceux qui servent à rassembler les données personnelles de l’utilisateur pour le compte d’une régie publicitaire de ceux qui servent à retenir vos mots de passe et la résolution de votre vidéo.

Date limite

Il serait bien sûr possible de mettre en place une banderole demandant l’autorisation à l’internaute pour chacun des cookies présent sur un site, mais l’opération risquerait de le perturber, de lui poser des questions qu’il ne comprend pas forcément, et d’aboutir finalement à un refus des cookies par l’utilisateur.

On comprend mieux dès lors, le peu d’engouement des éditeurs de sites à appliquer la loi.
En effet, en dehors de certains sites comme “youronlinechoices” ou de l’option “do not track” sur certains navigateurs qui limitent l’utilisation par un tiers de ses données personnelles, aucun outil technique ne semble actuellement au point pour respecter ces directives.

On ne peut pas reprocher au gouvernement anglais d’avoir précipité la mise en œuvre de la loi. Cette dernière, qui devait normalement s’appliquer en août 2011, avait été repoussée d’un an pour laisser le temps aux différents acteurs de se mettre en conformité.

Malgré ce délai, Christopher Graham, le patron de l’Information Commissioner Office (la Cnil Britannique)1 a annoncé il y a peu que la majorité des sites publics comme privés ne seront pas à même de respecter la date limite imposée.

Apparemment embarrassé, M. Graham a également précisé que son organisation ne s’engagerait pas dans une croisade contre les sites illégaux au matin du 27, mais prendrait des sanctions au cas par cas si aucun effort allant dans le sens de la loi n’avait été engagé par les responsables légaux. Une déclaration qui se veut rassurante. En même temps, la majorité des sites du gouvernement anglais eux-mêmes ne seront pas en règle à la date prévue…

En France, c’est dans l’ignorance la plus totale que la même loi (en fait deux directives et un règlement) dite “Paquet télécom” a été transposée et mise en application il y a presque un an2.

Elle stipule (c’est la Cnil qui le précise) “qu’il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement“. Comme l’explique Sophie Nerbonne, directrice adjointe des affaires juridiques à la Cnil :

La loi s’applique à tous les sites notamment aux réseaux sociaux et aux boutons like et tweet des sites partenaires de Twitter et Facebook (pour diffuser un article une vidéo, etc). Par contre, l’obligation de recueil de consentement ne s’applique pas aux cookies liés aux préférences linguistiques, à la mise en mémoire d’un mot de passe, à la résolution d’une vidéo visionnée online, à un cookie flash ou encore à la mémoire relative à un panier d’achat. En effet, ces informations sont directement liées à une demande de l’utilisateur et ont pour finalité exclusive de faciliter la communication.

L’immense majorité des sites web français sont donc également dans l’illégalité la plus totale et risquent des sanctions financières pouvant aller jusqu’à 300 000 euros.

L’Europe délaisse la neutralité du Net

L’Europe délaisse la neutralité du Net

La commissaire européenne en charge des affaires numériques Neelie Kroes a livré ce matin sa vision d'un Internet ...

À la différence de la Grande-Bretagne, la transposition en droit français implique qu’au lieu d’avoir des cookies en “opt in”, les internautes doivent être informés par les éditeurs de sites “de manière claire et complète de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement”.

Concrètement, les responsables de plateformes françaises ont l’obligation de placer une bannière sur leur page d’accueil renvoyant à une note qui explique en détail à quoi servent précisément les cookies, d’où ils proviennent et comment faire pour les refuser.

La Cnil, dont le rôle est de faire respecter la loi, doit donc chasser tous les sites qui dans un coin n’ont pas affiché un bordereau ou un moyen d’informer les internautes, ce qui est matériellement impossible. En témoigne Sophie Nerbonne :

Nous savons pertinemment que la majorité des sites sont dans l’illégalité et il faudra évidemment des mois pour trouver les solutions et pour les faire rentrer dans la conformité. C’est compliqué car certains d’entre eux ont aujourd’hui tellement de cookies qu’ils ne savent même plus à quoi ils servent. Sur le plan des moyens, la Cnil peut s’auto-saisir et nous avons déjà procédé à des contrôles et à des mises en demeure même si nous nous montrons compréhensifs. En réalité, nous comptons surtout sur la persuasion et la prise de conscience des internautes et des professionnels quant aux enjeux cruciaux du respect de la vie privée sur le web. Nous comptons également sur le développement prochain des moyens techniques permettant de mettre les sites en conformité

En dehors des plaintes de particuliers concernant certains sites, la Cnil est donc obligée de s’attaquer aux plus gros acteurs sans être aucunement en mesure de faire respecter la loi à court ni même à moyen terme pour les millions de site actuellement hors la loi.

Équilibre

Les enjeux économiques de l’application de la loi sont, eux aussi, motif de friction. Si les internautes décidaient massivement de refuser les cookies pour protéger leurs données personnelles, c’est l’ensemble des acteurs de la publicité comportementale et, par extension, les éditeurs de sites web, qui seraient privés d’une partie non négligeable de leurs revenus comme l’explique Fabienne Granowski du Syndicat national de la communication directe à Owni:

Nous voulons trouver l’équilibre entre l’aspect économique et la protection des données personnelles. Nous n’avons vraiment pas intérêt à brader la vie privée parce que nous serions perdants vis à vis de la confiance des internautes. Si l’“opt in” cookie passait en France il nous serait strictement impossible de travailler car nous n’aurions plus de données personnelles.

Dans un communiqué de Presse du 5 Mai 2012, le SNCD annonçait une perte potentielle de 60% des emplois du marketing direct et une augmentation de plus de 16% de demandeurs d’emplois en cas d’application de la loi . Ces chiffres, issus de leur propre étude, sont de nature à justifier les protestations du secteur. Mais Sophie Nerbonne relativise :

Nous comprenons les inquiétudes mais nous avons eu les mêmes protestations des sociétés liées à la communication directe en 2004 lors de la loi sur la confiance en l’économie numérique. A l’époque, les acteurs avaient peur d’un effondrement du système et de pertes d’argent colossales ce qui n’a pas eu lieu. Ethiquement, il n’est pas possible de continuer à faire prospérer un système économique sur de la récolte de données personnelles alors que l’internaute n’est pas au courant de ce que l’on en fait précisément. Il est nécessaire de développer des techniques efficaces permettant aux internautes d’être conscients de ce qu’on fait de ses informations sans que cela pèse pour autant sur l’économie de la publicité ciblée.

Par ailleurs, le développement de logiciels et d’interfaces permettant de gérer les cookies et de trouver des solutions peut représenter une manne financière non négligeable


Images : You Don’t Wanna Steal Wookies Cookies CC by-nc-sa Pedro Vezini, et you ate my heart CC by-nc-nd Adam Foster | Codefor

  1. L’Information Commissioner Office est une organisation semi gouvernementale anglaise financée par le ministère de la Justice et chargée de faire respecter les mesures en matière de protection des données et de libertés informatiques []
  2. Adopté par le Parlement et le Conseil européen le 25 novembre 2009 et transposé en droit français par l’ordonnance du 24 août 2011 []

Laisser un commentaire

  • ##fl## le 25 mai 2012 - 19:34 Signaler un abus - Permalink

    -Sinon ya une extension FF qui s’appelle Cookie Monster et qui permet de n’accepter que les cookies des sites qui ont été autorisés à en déposer.
    http://www.revoltenumerique.herbesfolles.org/2012/03/25/cookie-monster-gerer-les-cookies-au-cas-par-cas/
    C’est sûr que cela ne fait pas avancer cette histoire de législation et que cela ne fait pas forcément le tri entre les cookies de traçage et de navigation mais bon, pour l’utilisateur c’est déjà un controle supplémentaire et c’est pas mal!

    -Par contre, c’est pas une coquille le “CCNIL” dans le 2e paragraphe?

    Oups, merci, on a corrigé. Par ailleurs, on a volontairement mis de côté les nombreux plugins ou extensions permettant de zapper la pub qui, eux, ne sont pas “hors la loi” /-)

    OWNI

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • _kud le 25 mai 2012 - 21:11 Signaler un abus - Permalink

    “Une directive européenne oblige en effet les sites à demander aux internautes la permission d’envoyer des “cookies” dans leurs ordinateurs, afin de pouvoir les identifier tout au long de leur surf.”

    Je trouve la phrase mal tournée. On dirait que la directive européenne oblige la mise en place de cookie pour suivre les gens.

    Pour le reste de l’article, cette loi est un vrai “lol”.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • DomC le 26 mai 2012 - 11:09 Signaler un abus - Permalink

    “Ghostery” sur Firefox . Et on peut aussi effacer tous les cookies a chaque fermeture du navigateur et surtout effacer l’historique ou alors ne le garder que sur un jour. Ca change pas la loi je sais bien…mais ça donne bien peu de valeur aux cookies quand aux renseignements collectés :)

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
    • Nicolas le 29 mai 2012 - 10:05 Signaler un abus - Permalink

      C’est une fonctionnalité de base de Firefox pas besoin d’extension.
      options > vie privé

      Par défaut, je supprime les cookies tiers et je demande d’effacer tous les cookies présent à la fermeture du logiciel. On ne peut pas tous les supprimer car beaucoup de site web fonctionne mal ensuite.

      • Vous aimez
      • Vous n'aimez pas
      • 0
      Lui répondre
    • Jal le 17 septembre 2012 - 11:57 Signaler un abus - Permalink

      Je ne connaissais pas le pluging.
      Merci pour l’information, on va essayer tout de suite;o))

      • Vous aimez
      • Vous n'aimez pas
      • 0
      Lui répondre
  • C’est très bien !… et je croyais que c’était NORMAL ! “…la permission d’envoyer des “cookies” dans leurs ordinateurs…”

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
    • Thibault Milan le 26 mai 2012 - 17:55 Signaler un abus - Permalink

      partant tu principe que le navigateur permet de définir si on veut :

      recevoir tt les cookies
      recevoir uniquement les cookies du site visité et non les cookies tiers (donc les cookies du site owni.fr passent mais pas ceux de twitter, facebook, … et de tt services tiers intégrés sur le site)
      recevoir aucun cookies

      Je trouve un peu abusé d’en venir là …

      • Vous aimez
      • Vous n'aimez pas
      • 0
      Lui répondre
  • Soul le 26 mai 2012 - 12:41 Signaler un abus - Permalink

    Aller, on va tous faire une pop up pour faire chier le visiteur !

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Thibault Milan le 26 mai 2012 - 17:54 Signaler un abus - Permalink

    Ahah stocker des mots de passe dans des cookies. J’ai jamais autant souris :) . Blague à part cette loi est ridicule tant elle va au mieux être inutile (les navigateurs permettent de ne pas accepter les cookies) au pire être le truc le plus pète couille possible pour les internautes.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Mrs. Z le 27 mai 2012 - 11:11 Signaler un abus - Permalink

    J’ai beaucoup de mal a trouvé une info récente sur l’application de la loi en France, mais d’après cet article, la loi devrait déjà être appliquée ??

    En d’autres termes, cela signifie que pratiquement tous les sites français sont dans l’illégalité en ce moment ?

    Si l’un de vous peut m’envoyer un lien vers un article détaillant l’application de la loi en France, ce serait sympa !

    Quoi qu’il en soit, cette loi est d’une absurdité totale! Les institutions communautaires (ou étatiques) devraient arrêter de vouloir régir à tout prix le web…

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • anonymous le 27 mai 2012 - 13:51 Signaler un abus - Permalink

    Les solution sont techniquement possible (au-delas de la simple interdiction des cookies) mais personne ne veut les implementer car ca tuerais la publicitee ciblee.
    La publicitee tout court pourrais continuer a fonctionner quand meme (quand vous etes sur un site de voiture, mettre des pubs en rapport avec les voitures).

    Quelques pistes techniques :
    – Suppression du Http Referer (ca ne sert absolument a rien en dehors du tracking).
    – Interdiction des iframes distantes (fini le tracking par bouton).
    – Interdiction des posts cross-domain via des formulaires (ca ajouterais un peu de securité aussi au passage…).
    – Suppression du css:visited (le truc qui permet d’afficher les liens visités en bleu clair) : Oui c’est un outil de tracking aussi….
    – Supression des cookies http/flash a chaque redemarrage (non, ce n’est pas tres contraignant etant donne que l’on peut toujours enregister les mots de passe).
    – Supression du cache web/preferences http par defaut a chaque redemarrage.

    Donc oui, les solutions sont bien possibles (avec ca, il est deja beaucoup plus difficile de proceder a du tracking) et assez peu contraignantes mais personne ne veut se mouiller pour implementer ca dans les specs officiels.

    Pour les plugins firefox qui peuvent aider :
    – Ghostery (bloque le tracking, pensez bien a cocher toutes les options)
    – BetterPrivacy (suppression automatique des cookies)
    – TrackMeNot (spam google de requetes aleatoires)
    – Adblock (notament la liste AntiSocial qui supprime les boutons).
    – about:config pour la suppression du referer et du css:visited

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Pressmyweb le 27 mai 2012 - 23:24 Signaler un abus - Permalink

    Merci pour l’info car on en parle pas souvent de cookies. Devrait on également traiter ce sujet dans l’ée-reputation ? puisqu’ils tracent ou on a été et les informations qu’on a laissé

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Anonymous le 29 mai 2012 - 15:47 Signaler un abus - Permalink

    On fait des lois inapplicable qui emmerde royalement toute une population de sites honnêtes fait par des amateurs pour des amateurs à cause d’ un tout petit pourcentage de professionnels que l’on peut classer comme profiteurs et traficants (en l’occurence ici de données personnelles) qui n’auront jamais l’intention de suivre la loi puisque quand c’est massif (comme Zukerberg le fait), revendre ces données rapporte plus gros que l’amende, alors à quoi çà sert de légiférer pour ceux là et emmerder les autres puisqu’ils ne respecteront pas la loi quand il génère 1 milliard de CA par mois.

    Ils ont leurs plus gros trafiquants de données de tout les temps mais non, il rentre tranquillement en bourse. Et après une loi “lol”, c’est plusieurs tonnes de CO pour la planète pour cette mise à jour des mentions légales prévenant les utilisateurs des cookies utilisés tout çà pour quelques mots échangés entre “personne de la haute-sphère” qui ont (très bien) réfléchi à la question et on LA réponse (pour nous tous)… Mouhahaha…

    Ne faite rien, ne dite rien et engraissez-vous au resto avec vos petits copains, c’est mieux.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • unread le 29 mai 2012 - 18:45 Signaler un abus - Permalink

    Et si demain le secteur du marketing perd 60% de ses revenus, ça change quoi dans la structure de production ?
    Les gens arrêtent de dépenser tout leur salaire en Kellogs et Nike, ou est-ce que l’argent ainsi économisé est réparti entre d’autres postes ?

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • digit le 8 juin 2012 - 20:53 Signaler un abus - Permalink

    Il faut surtout arrêter d’essayer de trouver des compromis. L’Etat doit tout d’abord protéger ces citoyens, ce qu’il ne fait pas au détriment du marketing et ainsi, la sphère privée est bafouée….merci à nos états !

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Philippe le 18 décembre 2013 - 6:51 Signaler un abus - Permalink

    On peut identifier un utilisateur même sans cookies.

    “La dame chinoise toute petite avec un gros chien noir qui passe devant chez moi tous les matins entre 7h00 et 8h00″

    C’est ce que fait visitor-intelligence.com

    On ne sait pas comment s’appelle cette dame ni quels sites Internet elle va voir, on sait juste que c’est elle. Cela permet de faire des promos, etc…

    C’est quand même plus sain que ces cookies qui vous effectivement permettent tout et n’importe quoi.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
9 pings

Derniers articles publiés