Embed Size (px)
Citation preview
CNIL
Législation Privacy:
Tour d’horizon et
Perspectives
Vincent Toubiana18 Février 2015
Plan
2
La recommandation « Cookies et autres traceurs »
et la loi associée
L’accompagnement de la CNIL
Les contrôles en ligne
Quel contexte, quels enjeux ?
3
Un enjeu de protection de la vie privée.
Un enjeu légal : Article 32-II de la loi du 6 janvier 1978 :•Obligation d’informer tout utilisateur « de manière claire et complète », de la finalité de toute action « tendant à accéder à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s'y opposer. »•« Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord […] »
La recommandation de la CNIL vient préciser cette loi.
Un enjeu d’image et de confiance.
Une démarche de concertation pour trouver des solutions
pragmatiques et concilier développement de l'économie
numérique et la protection de la vie privée.
Quelles sont les technologies concernées ?
4
Toutes les technologies de traçage : Lecture et dépôt de cookies HTTP
Cookies « flash »
Pixels invisibles ou « web bugs »
Identifiant d'une application, d'un système d'exploitation ou d’un composant du terminal
Le « fingerprinting »
Tous les supports et médias : La consultation d’un site internet
La lecture d’un courrier électronique
L’installation ou de l’utilisation d’un logiciel ou d’une application mobile
Tous terminaux : ordinateurs, tablettes, smartphones, TV connectées, consoles de jeux
vidéos connectées au réseau Internet
Quels sont les cookies concernés ?
Certains cookies sont exemptés de consentement : Lorsqu’ils sont strictement nécessaires à l’utilisation du service Exemples :
Cookies de panier d'achat
Cookies de gestion des langues
Cookies d'authentification
Cookies de mesure d'audience remplissant certaines conditions (opposition possible,
finalité uniquement de statistiques pour le site visité, etc.)
Information et consentement pour les autres cookies :Exemples :
Publicité ciblée
Mesure d’audience (sauf exception)
Réseaux sociaux
Qui est concerné par le recueil du consentement ?
Les responsables de sites internet et d'applications mobiles
Les fournisseurs de services web tiersExemples
Editeurs de solutions d’analytics
Régies publicitaires
Réseaux sociaux
Comment obtenir le consentement sur internet ?
7
« Le consentement doit se manifester par le biais d'une action positive de la
personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. »
Pas de dépôt de cookies avant d’avoir obtenu le consentement
Cinématique en deux étapes (pour chaque site internet) :
1. Un bandeau d’information : exemple :
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour
vous proposer des publicités ciblées adaptés à vos centres d'intérêts et réaliser des
statistiques de visites.
Pour en savoir plus et paramétrer les cookies
2. Un clic sur « Pour en savoir plus et paramétrer les cookies » permet de disposer de solutions conviviales pour accepter ou refuser les cookies.
Ne pas déposer de cookies (ou recourir au fingerprinting) tant que la
personne n'a pas poursuivi sa navigation
La poursuite de la navigation peut s’exprimer par un click sur un élément
de la page (pas nécessairement sur « OK »)
En général, les paramètres du navigateur ne sont pas satisfaisants.
Ne pas conditionner le dépôt de cookies à l’accès au site internet
Durée de vie des cookies de 13 mois, non renouvelée à chaque visite
Les sites web et fonctionnalités
concernés
Solution de consentement intégrée
Nécessite un consentement
L’exemption pour la mesure d’audience
Pour bénéficier de l’exemption un outil de mesure d’audience doit respecter
5 conditions:
Information dans les conditions d’utilisation (pas obligatoirement de bannière);
L’internaute doit pouvoir s’opposer simplement;
La finalité du dispositif doit être limitée à la mesure d’audience, il ne doit pas y
avoir de recoupement avec d’autres traitement. L’utilisation du Cookie doit être
limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation sur
différents sites ;
Pas de géo-localisation plus précise que la ville et l’IP doit être supprimée ou
anonymisée;
Les cookies doivent avoir une durée de 13 mois et les informations collectées
par leur intermédiaire doivent être conservées treize mois maximum.
Les outils de mesure d’audience conformes
AT-Internet : En discussion
Bénéficie de l’exemption -> pas de demande de consentement,
Certains points restent à préciser.
Piwik : Ok
Bénéficie de l’exemption -> pas de demande de consentement
Pas de croisement de données.
Google Analytics : Nécessité de demander le consentement (Google croise les données)
La CNIL propose sur son site un tag qui :
– Bloque les cookies lors de la première visite,
– Demande le consentement,
– Fournit un moyen d’opposition.
Les boutons de partage conformes
Les réseaux sociaux tracent la navigation des internautes via les
boutons « Like », « Tweet », « +1 »
Un outil recommandé : « Social Share Privacy » :
– N’active le bouton de partage que si l’utilisateur clique dessus,
– Ne requiert qu’une légère modification de la page,
– Charte graphique des boutons adaptable,
– Disponible sous forme de plugin pour les principaux CMS (WordPress, Drupal,
Typo3),
– Un module en jQuery pour les autres cas.
Plus d’infos: http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/les-boutons-sociaux/
Les gestionnaires de Tag
Une solution globale au site :
• Le consentement est demandé une seule fois pour tous les cookies
• Possibilité de s’opposer par « famille » de cookies
• Bloque l’exécution des tags (« Like », « Analytics », Publicité) et demande le
consentement
Les solutions payantes :
•Attention: certaines solutions ne sont pas encore conformes (installent de cookies
d'opt-out avec des identifiants)
La solution gratuite, « Cookie-Cuttr » , « Tarte au citron »
Attention : Il est nécessaire d’encadrer juridiquement le recours aux
solutions de prestataires (une solution conforme un jour peut ne plus
l’être)
Les premiers retours des contrôles
Depuis 2014 la CNIL possède un pouvoir de contrôle en ligne,
Les premiers contrôles ont été effectués fin 2014,
Nous avons observé jusqu’à 350 cookies par site!
Quelques exemples de ce qui n’est pas conforme
Un consentement non libre,
Beaucoup de cookies déposés avant le consentement (lors de
l’arrivée sur la page),
La mise en conformité est parfois assez simple ( utilisation d’outils
fournis)
