Cookies - Comment vraiment respecter la loi ?

Blog
22

Moi j’utilise ce script sur mes sites e-commerces :

Il à l’avantage de déposer automatiquement tous les cookie sans recharger la page, une fois que l’utilisateur à cliqué sur « accepter »

23

J’imagine que tout est une question d’influence et de trafic… :smirk:

1 « J'aime »
24

Petit souci en ce qui me concerne … j’ai un cookie (PHPSESID) qui sert absolument pour tout.

  • Authentification
  • Mesure d’audience
  • Protection contre le Brute Force et le Hijacking
  • Personnalisation

Bien sûr toutes les informations ne sont pas stockés dans les $_SESSION mais on peut les récupérer à tout moment côté PHP grâce à l’identifiant. Dois-je le déclarer à mes utilisateurs ?

25

Je pense que oui, tu dois le déclarer

1 « J'aime »
26

A priori pas besoin, ce cookie à une durée de vie celle de la session, impossible de tracer quoi que ce soit.

2 « J'aime »
27

La CNIL précise bien que le service doit être accessible pourtant…

1 « J'aime »
28

Merci pour cet article instructif.

Concernant le système mis en place sur Korben, je remarque que le bandeau disparait dès qu’on défile sur la page, ce qui peut s’apparaitre à naviguer, mais dans les textes de la CNIL on parle uniquement de clic et changement de page il me semble (mis à part si on considère que le fait de recharger la page soit un changement de page).

Quitte à ne pas être en conformité, je préfère me contenter d’afficher la barre sans bloquer les cookies pour l’instant.
Je crains que la méthode mise en place par Korben risque de diminuer ses revenus publicitaires.

Mais ce n’est que l’humble avis d’un éditeur bien moins expérimenté que Korben.

29

Après, on est bien d’accord que techniquement, même en refusant ces cookies, le site est fonctionnel.
Mais je trouve ca choquant d’imposer un tel truc, pour un tel site.

31

@zed A priori, scroller sur le site = poursuivre la navigation, donc ça équivaut à un consentement. Tout comme le clic effectivement.
C’est un avocat CNIL qui n’a confirmé ça ce matin.
Après pour ce qui est des revenus pubs, je suis pas trop inquiet.

1 « J'aime »
32

Sinon, on peut stocker dans le localStorage, et par un petit tour d’Ajax on doit pouvoir renvoyer à notre serveur le contenu de ce localStorage (sachant il me semble que le localStorage comme un cookie n’est accessible qu’au domaine où il a été crée)… Du coup si on pouvais wrapper le cookie vers le localStorage, et communiquer avec à coup d’AJAX (bon, le JS se désactive on me dira, mais j’ai envie de dire que pas grand monde le désactive, et qu’en plus comme les cookies aussi y a moyen de les bloquer/limiter si on veux…)

Comme le localStorage n’est pas un cookie, alors on respecte la loi je suppose (même si ça repose un peu plus user-side que les cookies ptet) :sunglasses:

33

Merci pour cette précision, j’avais bien compris l’idée scroller = naviguer, maintenant si tu me dis qu’un avocat de la CNIL t’as confirmé que c’était conforme je vais étudier ça de plus près.
Le truc c’est que c’est tellement naturel de scroller que la plupart des lecteurs ne verront même pas le message, mais bon si c’est conforme ce n’est pas notre problème.

Sinon plus tard pour parfaire le script, on pourrait imaginer de ne mettre que le contenu des champs DIV à jour plutôt que de recharger la page, pour ceux qui s’y connaisse un peu en programmation.

34

Autant je suis complètement pour le fait d’essayer de donner aux utilisateurs des outils/services pour ce ““protéger”” un minimum sur ce genre d’abus que peuvent avoir les sites web (cf tracking entre-autre) autant s’attaquer aux cookies de cette manières qui existent depuis la nuit des temps et que de toute façon 98% du web se torche de cette mesure vue que la CNIL est française mais que le web ne l’est pas je trouve ça complètement absurde.

Ça donne juste l’impression que la France et toujours a la pointe pour faire des usines a gaz qui brassent du vent.

35

On peut blâmer la CNIL par le manque d’accompagnement des éditeurs, et à coté de ça un discours plutôt tourné sur les contrôles et les sanctions encourues en conséquence. En revanche, il faut pas oublier que ce n’est pas un exception française mais plutôt une application d’une directive européenne de 2009 (2009/136/CE) tansposée au droit français par une ordonnance de 2011 (n°2011-1012 du 24 août 2011).

Outre le fait que tout ça est pénible, complexe et assez inintéressant, ce qui me préoccupe le plus c’est que du coups toutes les attentions sont portées sur le fait d’éliminer le vilain cookie qui nous veut du mal, mais au final des technologies beaucoup plus furtives et moins contrôlables sont entrain de s’étendre, et je pense surtout au Fingerprinting ou tout simplement aux identifiants liés au matériel (IDFA et IDFV sur iOS par exemple). Le cookie lui au moins, on peut le lire, l’effacer, il a une durée de vie, il est propre à un navigateur et pas à un périphérique …

Mais comme bien souvent, la loi a un train de retard (enfin un paquebot même) sur la technologie et au final ça ne sert pas les intérêts de l’internaute tout en handicapant les éditeurs qui ont souvent déja bien du mal à monétiser leur activité…

Free the cookies :smile:

36

En parlant des bandeaux cookies, je pense que cela devrait être implémenté au niveau du navigateur, par exemple avec une balise meta sur les sites utilisant les cookies de pub.
Un peu comme les demandes de géolocalisation sur Firefox, car quand on vide les cookies et autres traces à la fermeture du navigateur, c’est vraiment chiant de devoir cliquer “oui” à chaque fois pour tous les sites, surtout quand le bandeau couvre le menu du site.

La cnil oublie que le web n’est pas constitué que d’un seul site, et que ça lasse les gens de voir ce message partout.

  • Autre solution que je présente à ces messieurs, s’ils passent par ici,
    c’est d’utiliser des plugins pour bloquer ces bandeaux (et donc fournir le consentement de ces biscuits si vilains aux sites web) pour approuver le choix plutôt que de perdre son temps à cliquer oui partout.
    Donc la CNIL devrait imposer un format HTML standard aux bandeaux pour pouvoir tous les masquer à la demande de l’utilisateur par le biais de cette extension.
37

Bonjour,
Il y a quelques jours on pouvait le bandeau s’afficher en haut de la page avec des boutons “oui” / “non”.
Désormais je ne voit plus qu’un bandeau en bas avec juste “OK”.
De mon point de vue, le site de Korben ne respecte donc plus la loin CNIL …
Votre avis ?
Cordialement

38

si car poursuivre la navigation = accepter

1 « J'aime »
39

Bonjour,
Ok pour l’accord implicite si on continue la navigation, mais la CNIL impose de devoir proposer un bouton de refus au visiteur.
Ce qui n’est pas (plus ?) le cas de Korben du coup …

40

Bonjour,
Étant développeur pas web mais avec la perspective de m’y mettre, je me pose une question suite à cet article. Y a t il un endroit qui centraliserait tout ce dont on est censé être au courant légalement en faisant un site ?
Je veux dire, les mecs de sourceforge par ex gèrent ce message sur les cookies alors que le site n’est a ma connaissance pas français. Comment s’assurer qu’on est Ok avec toutes les lois spécifiques web de ce genre qui seraient en vigueur ailleurs ?

41

Non, c’est faux ou alors j’ai loupé ce passage.

42

euh … c’est ce que tu as écris dans ton article : “Le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix //…// La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service”.

Dans le cas de ton blog, on ne peut QUE cliquer sur “OK” et si jamais on “scroll” un coup de moulette et bien c’est comme si on acceptait d’office. Du coup on ne peut jamais refuser le dépot des cookies et visiter le site sans avoir déposé de cookie traceur. Ce que la CNIL impose.