Quand la CNIL ne respecte pas les recommandations de… la CNIL

Pour parler des recommandations de la CNIL, il faut d’abord expliquer ce qu’est un cookie. Vous avez sans doute entendu parlé de ces petits fichiers enregistrant des données courtes dans votre navigateur lorsque vous naviguez. Leur utilité est simple : Rappeler au site que vous visitez qui vous êtes. Le plus souvent le cookie contient un identifiant qui vous est propre. Il est donc utile quand cela vous évite de retaper vos identifiants car le site vous a reconnu. Ce n’est donc en aucun cas un virus. Il est d’ailleurs appelé chez nos amis quebecois “Témoin de connexion“.

Là où ça se complique, c’est qu’ils permettent également aux régies publicitaire de vous identifier. En fonction des sites que vous visitez, de vos achats, de vos visites, les régies enrichissent votre portrait de consommateur. Pour éviter tout abus, la CNIL a imposé ses règles découlant des directives européennes.

Que dit la CNIL en matière de gestion des cookies ?

La CNIL impose aux sites faisant usage de cookie d’en informer l’internaute et surtout de lui proposer de refuser l’usage de cookie SANS interrompre le service. En d’autres termes un internaute doit pouvoir refuser l’usage des cookies tout en pouvant poursuivre la navigation sur le site.

La CNIL a totalement diabolisé l’usage des cookies en imposant un bandeau d’information sur les sites en faisant usage. Vous avez sans doute déjà vu ce genre de message anxiogène : “Vous devez accepter l’usage des cookies pour poursuivre la navigation sur le site”. En plus de casser l’ergonomie du site, voir la rendre impossible sur mobile, ce message fait peur à l’internaute et pas toujours à juste titre puisque le cookie est présent pour des raisons techniques avant les raisons publicitaires ou de mesure d’audience.

Dans les faits, aucun site ne s’aventure à proposer de telles options pour la gestion des cookies. La plupart des sites se contentent de demander à l’internaute de quitter le site en cas de refus des cookies.

Les éditeurs de site web tous véreux ?

Non. Il est très difficile de connaitre toutes les technologies et services faisant usage de cookie. Explication : une petite boutique en ligne veut ajouter un bouton de partage Facebook sur ses pages produits. Se faisant, le webmaster va rajouter un cookie Facebook sans en être forcément conscient. Cet exemple est valable pour beaucoup de service (Google+, Twitter, Facebook, Google Maps…).

Le seul site que j’ai trouvé offrant la possibilité de gérer finement les autorisations de ses cookies est… LA CNIL. Je vous invite à vous rendre sur le site et admirer le bandeau en en-tête. Vous pouvez soit cliquer sur “OK, tout accepter”, soit cliquer sur “Personnaliser”.

Bandeau de gestion des cookies du site de la CNIL

Quand vous cliquez sur “Personnaliser”, vous avez le choix d’autoriser ou d’interdire le cookie de chaque service : “Twitter”, “Facebook”, etc..

Menu de gestion des cookies

La CNIL respecte donc bien les règles qu’elle a fixé ?

Oui…mais non. Je suis amenée par mon métier à utiliser une petite extension Firefox nommée “Wappalyzer” qui une fois installée, indique les technologies présentes sur le site. En regardant avec cette extension, je peux remarquer que la CNIL utilise comme service de mesure d’audience : Piwik (équivalent opensource de Google Analytics pour ceux qui connaissent).

Technologies utilisée par la CNIL

Piwik a besoin des cookies pour fonctionner mais nul part dans le menu d’autorisation des cookies, je n’ai vu mentionner Piwik. Par réflexe, je regarde le code source pour vérifier la présence du script Piwik et là je fais une découverte amusante, un développeur a laissé un commentaire sur ce qu’il reste à faire dans le code : “/* Ajouter la fonction personnalisée utilisée pour être en conformité avec nos propre recommandations sur la durée de conservation des cookies.*/“. N’étant pas irréprochable sur l’orthographe, je ne commenterais pas la phrase laissée par le développeur.

Code source de la CNIL script Piwik

La CNIL ne permet donc pas de refuser le cookie de mesure d’audience du service Piwik

Vous l’aurez compris, la CNIL n’est pas en conformité avec ses propres recommandations. Alors, je suis pointilleux car il semble qu’il s’agisse d’un oubli, plutôt qu’une volonté de frauder cependant, cela soulève la question de la complexité pour les développeurs et éditeurs de site de se conformer à la loi. Il faut savoir également que les cookies sont apparus dans les années 1990. Il existe désormais une multitude de méthodes autre que le cookie pour identifier un internaute : le fingerprinting par exemple. Alors, la CNIL a t-elle raison d’imposer ce bandeau sur l’usage des cookies ? On peut s’interroger.

Tags:,

Ajouter un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *