Cookies - Comment vraiment respecter la loi ?

http://korben.info/respecter-loi-cookies-site.html
Vous n’êtes pas sans savoir que la loi impose maintenant à tous ceux qui font le Net, d’informer les internautes de la présence de cookies sur leur site ou leur application. Et c’est pour cela, que vous voyez maintenant partout, des barres d’information toutes moches, destinées à recueillir le consentement des internautes. En tant qu’éditeur…

Du coup j’espère que le script en question est compatible avec les extension pour les valider automatiquement comme https://chrome.google.com/webstore/detail/i-dont-care-about-cookies/fihnjjcciajhdojfnbdddfaoknhalnja/related?hl=fr-FR

Le plus drôle pour gérer ce genre de barre obliger de créer un cookie … En meme temps c’est la World Company qui a décider ça.

Pas forcément on peut passer par localStorage

Je ne connais pas, je viens voir un article sur Alsacreations (intéressent, merci ). Enfin de toutes façon ça reviens au même, stocké des information en local sur l’utilisateur.

Il y a quand même une grosse différence, c’est que c’est stocké côté client comme les cookies mais inaccessible côté serveur (pas de fonction getLocalStorage en PHP par exemple…).

En fait c’est le stockage idéal pour la mention légale pour les cookies :wink:

Il faudrait que j’analyse le plugin de Korben, je suis quasiment sûr que c’est ça qui est utilisé

est-ce qu’on est obligé de laisser le choix à l’utilisateur, cookie or not cookie, ou bien on peut mettre un message d’avertissement et s’il ne veut pas de cookies, c’est de sa responsabilité de ne pas surfer sur le site ?

autre question, pourquoi Piwik ou Xiti sont exemptés ?

Bonjour,
Merci pour cet article qui tombe à pique.
Je suis pour ma part en train de regader “tarteaucitron” : https://opt-out.ferank.eu/fr/
ça m’a l’air très bien également.
Certains parmi vous l’utilise t’il ?

j’ai cliqué non et je ne vois pas vraiment la différence … ca change quoi réellement à ma navigation sur ton site Korben ?

Un énorme :heart: avec les :open_hands: !
Vu le nombre de personnes qui se posent des questions sur le comment implémenter ce fichu bordel (et la récente décision de la CNIL à l’encontre de Boulanger est là pour le rappeler), je pense que ça va aider beaucoup de monde.

Probablement parce que c’est l’outil utilisé par la CNIL, qu’il est open source (et peut être auto-hébergé) et qu’il n’est pas utilisé a des fins publicitaires.

Pourquoi Piwik et XiTi sont exemptés ?
Un peu de contexte, je travaille chez AT Internet (XiTi) depuis 5 ans environ donc je connais plutôt bien le sujet. Ce qu’il faut savoir avec la CNIL c’est que la partie chiante que les éditeurs de site doivent faire sur leur site n’est qu’un bout de l’iceberg que demande la CNIL…
De notre côté en tant qu’éditeur d’outils de web analytics il nous a fallu plusieurs choses :

  • Supprimer 2 digits des IPs (en gros la détection des robos et la géoloc devient beaucoup moins précises. Par défaut on ne les supprime pas et on préfère la qualité des données, il faut qu’un client nous demande de le faire et on le fera gratuitement,)
  • Gérer tous nos cookies en changeant leur durée de vie pour passer de notre ancien système de 6 mois glissants à 13 mois fixes.
  • Travailler avec eux pour étudier TOUS nos outils et voir lesquels les gênent en terme de vie privée (des outils de croisement de données très poussés par exemple ils aiment pas)
  • Travailler avec eux toujours pour prouver qu’à partir de notre interface il est impossible d’identifier un visiteur (je ne parle pas des cas ou les utilisateurs se connectent au site mais dans le cas d’un site sans authentification)
  • Avertir tous nos clients voulant être exemptés que certaines pratiques avec notre solution ne sont pas autorisés (croisement de données a posteriori à des fins publicitaires).
  • Donner à nos clients les méthodes pour que leur site soit ok pour la CNIL. Le soucis, c’est que nos clients respectant réellement la CNIL perdent des informations… Le fait de ne pas poser de cookie tant que l’utilisateur n’a pas dit “d’accord” fait que ça crée des visites supplémentaires, des taux de rebond et pas mal de petits détails.
    Etc. je ne cite pas tout en détail car je n’ai pas travaillé à part entière sur le projet.

C’est très compliqué pour un éditeur web analytics et ça pénalise surtout les acteurs de taille moyenne comme nous AT Internet car GA s’en fiche complètement de la CNIL, le non respect c’est une amende assez importante pour un acteur web analytics (je ne donne pas de prix car j’ai peur de confondre, je préfère ne pas dire n’importe quoi), autant dire que pour nous c’est très lourd et c’est une sanction non négligeable, pour Google c’est rien de très important.

Merci pour cet article. Je ne sais pas pour xiti, mais pour piwik, il y a quand meme une config à faire

D’autre part, ces derniers jours je suis passé en https, et sous piwik (opé confidentialité sur mes sites). Me suis rendu compte, en naviguant un peu partout, que bon nombre de site ne respectaient pas ces lois biscuit, mais aussi et surtout (et c’est le cas pour korben.info aussi) que des cookies de google analytics (entre autre) avaient une durée de vie de 2 ans (13 mois dans la loi il me semble).

Pour finir, et encore merci, cet article m’a permis d’apprendre que les boutons de partage créaient des cookies. Après vérification et revérification, le plugin premium wordpress que j’utilise pour ces boutons ne créé pas de cookie (pourquoi comment, j’en sais rien). Bref, pour le moment, j’évite encore le bandeau (mais je vais quand même mettre une info “non-intrusive” au sujet des cookies, j’imagine qu’à terme ce sera une valeur ajoutée pour les sites “propres” (avec plein de guillemets).

Je n’ai pas tout regardé en détail, mais si je comprends bien, le plugin fonctionne uniquement pour javascript, c’est ça ?

Le fait de ne pas gérer les cookies en PHP, c’est un oubli, ou c’est fait “exprès” parce que tous les cookies de tracking sont posés par du javascript ?

Bonjour,

En allant voir sur le site de la CNIL je ne vois pas qu’il est notion de demander à l’internaute s’il accepte ou non les cookies.

Sur cette URL : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/#c5576 il est juste précisé que l’on doit informer l’utilisateur que l’on utilise des cookies et que s’il continue sa visite il les accepte.

Il ne faut donc pas les utiliser si l’internaute est un nouveau visiteur et qu’il est sur sa 1ere page (là on l’informe) mais dès qu’il va sur une autre page on meut supprimer le bandeau et commencer à utiliser des cookies.

Ou alors j’ai mal compris…

Kaimite

Et si on rajoute une rustine en bas de page, qui vire les cookies créé précédemment c’est légal ?

<?php
  if( $_COOKIES["accept"] !== true ) {
    foreach( $_COOKIES as $id = $value ) {
      if( $id != "accept" ) setcookie($id, null, -1);
    }
  }
?>

Ce code PHP (non testé) en fin de toutes les pages, vérifie la présence du cookie bandeau cookie accepté, si il ne le trouve pas ou qu’il vaut faux, il vire tous les autres cookies de la page.

Bonjour,

Une nuance concernant l’acceptation cependant, la CNIL précise que la navigation vaut pour acceptation. C’est à dire que si l’internaute ignore le bandeau d’avertissement (qu’il ne clique ni sur ‘Ok’ ou ‘En savoir plus’) et poursuit sur un lien de la page sur laquelle il atterrit cela vaut pour acceptation (y compris des pages avec des boutons ‘like’ ou ‘tweet’)
Tous les cookies de suivi interne au site sont autorisés, seules les données permettant du re-targeting sont interdits sans le consentement (par exemple, l’internaute vient de Facebook via mon lien sponsorisé, mais avant il était sur trucmuche.com, et donc je lui pousserai d’autres pubs sur ces autres sites)
Quelques exceptions cependant, si la première page que l’internaute visite contient une vidéo Youtube (ou autre) à laquelle sont attachés des cookies de tracking, il faut bloquer la vidéo jusqu’à acceptation définitive (les cookies n’étant pas gérés par votre site) ou utiliser un player spécifique (genre jwmplayer) qui bloque les cookies Youtube.
J’utilise sur la page “En savoir pus” un script appelé “Tarte au citron” qui permet de valider ou invalider les réseaux sociaux tels que Youtube/FB et consorts.

Sous WP, j’utilisais Cookie Law, gratuitement.
Et j’avais mis une phrase genre “Vous restez sur le site vous acceptez les cookies ou vous partez”.
Sur le mot “Accepter”, un clic = fermeture de la barre.
Sur le mot “partez” un lien vers un autre site.

Pourquoi faire compliquer quand on peut faire simple.

Plus simple : ne rien faire et le pourcentage de chance que la CNIL t’emmerde = 0 pourcent. Voire moins :slight_smile:

Le pire étant : http://www.gouvernement.fr/mentions-legales#cookies

En extrait :

Les données générées par les cookies sont transmises et stockées par les
prestataires de mesure d’audience (Xiti et Google). Les données
générées par Google sont hébergées sur des serveurs situés aux
Etats-Unis

Et

En cas de refus de depôt de cookie, vous ne pourrez pas consulter le site Gouvernement.fr.

Donc pour visiter le site du gouvernement Français, on est OBLIGE d’accepter de transmettre des info perso à des sociétés US (donc au gouvernement US)

1 « J'aime »

Solution de Firefox : Bloquer les cookies tiers, c’est tellement efficace que le lobby des publicitaires se sont dépêchés de torpiller ça (http://www.blogdumoderateur.com/mozilla-firefox-22-blocage-cookies-publicitaires/) pour le remplacer par la solution de la CNIL: embêter l’utilisateur avec des bandeaux moches. Les utilisateurs râlent, c’est nul et peu efficace, voir même inutile vu qu’ils laissent par défaut plutôt que de bloquer.

Sinon, y’a le script tarteaucitron.js qui est pas mal: