Les obligations d’utilisation des cookies sur votre site web


Depuis quelques temps la loi européenne oblige tout site internet à obtenir le consentement de l’internaute pour l’utilisation de cookie.

Source : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/

En application de la directive européenne dite  » paquet télécom « , les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs. Ils doivent disposer d’une possibilité de choisir de ne pas être tracés lorsqu’ils visitent un site ou utilisent une application. Les éditeurs ont donc l’obligation de solliciter au préalable le consentement des utilisateurs.

D’un point de vue technique c’est plus que pénible puisqu’il s’agit de recueillir le consentement de chaque internaute pour chaque Cookie, de lui permettre d’en activer certains et en désactiver d’autres etc. Quand on a un simple blog et peu de connaissances techniques, cela semble un peu mission impossible.

D’autant que n’espérez même pas dire au revoir aux personnes refusant les cookies en leur fermant les portes de votre site internet puisque vous avez l’obligation de les accepter quand même (oui on est plus chez soi) :

La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service (l’accès à un site internet par exemple).

Si vous pensez également être à l’abri en ne recueillant que des informations basiques et non personnelles, détrompez-vous :

Ces obligations s’appliquent que les cookies collectent des données à caractère personnel ou non.

Le Cookie, kesako ?

Pour ceux qui ne sauraient pas ce qu’est un cookie, il s’agit d’un fichier que télécharge votre navigateur internet afin de garder en mémoire des informations de votre navigation, certaines pouvant être personnelles.

Parfois les cookies sont utilisés pour ne pas avoir à retaper certaines informations  d’authentification (cookies de session), d’autres fois pour savoir où vous êtes allé, ce que vous avez fait et ainsi vous proposer de la publicité en conséquence (Cookies de mesure d’audience).

Bouh j’ai peur, comment supprimer mes cookies de mon navigateur ?

Cookies & CNIL

– Non ce n’est pas QUE ça un cookie –

Même s’il y a peu de chances que quelqu’un d’autre qu’un robot soit intéressé par le fait que vous ayez 40 ans et soyez passé chez Cdiscount avant Meetic, vous pouvez effacer toutes les données collectées en suivant ce guide (la méthode diffère suivant le navigateur) :

ANDROID

  1. Dans votre navigateur, appuyez sur « Menu » >> « Plus » >> « Réglages » >> «Paramètres de confidentialité » >> « Vider le cache » ou « Effacer l’historique

CHROME

  1. Dans la barre d’adresse, indiquez  « chrome://settings/clearBrowserData »
  2. Cochez la case « Cookies »
  3. Appuyez sur le bouton « Effacer les données de navigation »

Firefox

  1. Appuyez sur les touches Ctrl + Maj + Suppr
  2. Cochez la case « Cookies »
  3. Appuyez sur le bouton « Effacer maintenant »

Internet Explorer 8 et plus

  1. Cliquez sur « Outils » >> « Options Internet »
  2. Dans l’onglet « Général », section « Historique de navigation », cliquez sur « Supprimer »

Safari Mobile pour iOS (iPhone, iPod touch, iPad)

  1. Apartir de l’écran d’accueil, appuyez sur « Paramètres » / « Safari »
  2. Au bas de l’écran Appuyez sur « Effacer les données et les cookies » ou « effacer les cookies et Vider le cache ».

Safari

  1. Dans le menu d’options, sélectionnez « Réinitialiser Safari »
  2. Cochez « Cookies » dans le menu puis validez

Je suis propriétaire de site, dois-je m’inquiéter ?

Oui, parce que si vous ne vous mettez pas en conformité avec la loi, vous risquez 150 000 euros d’amende (rien que ça).

Oui, parce qu’on ne rigole pas avec la loi et que les caisses de l’Etat sont vides

Non parce qu’en fait la plupart des cookies sont exemptés de consentement :

Sont exemptés du recueil du consentement les traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. Ainsi, par exemple, les traceurs suivants ne requièrent pas de consentement :

  • les cookies de  » panier d’achat  » pour un site marchand ;
  • les cookies  » identifiants de session « , pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas ;
  • les cookies d’authentification ;
  • les cookies de session créés par un lecteur multimédia ;
  • les cookies de session d’équilibrage de charge ( » load balancing « ) ;
  • certaines solutions d’analyse de mesure d’audience (analytics) ;
  • les cookies persistants de personnalisation de l’interface utilisateur.

J’ai un blog WordPress, suis-je concerné ?

Par défaut, WordPress ne stocke que des informations de session et ces plateformes ne sont donc normalement pas concernées à la base (mais cela peut dépendre des plugins que vous ajoutez).

Je suis tranquille, j’ai un plugin qui fait dire que je suis d’accord

Il existe certains plugins comme https://wordpress.org/plugins/cookie-notice/ qui permettent d’indiquer à l’internaute que le site utilise des cookies, youpi merci.

Cookies Notice

– L’utilisation de Cookie Notice sur le site de l’Agence –

Le problème est qu’ils ne répondent pas entièrement à l’obligation légale, parce que :

  • Les cookies sont envoyés AVANT le consentement (FAIL)
  • L’annonce ne renvoie pas vers une page indiquant clairement les tenants et les aboutissants (FAIL)
  • Il n’est plus possible après avoir donné son accord de le retirer (FAIL)
  • Il n’est pas possible de choisir pour quels cookies on donne son accord ou pas (FAIL)

Au secours que dois-je faire ?

Le problème des Cookies pour la CNIL se pose en fait principalement pour les systèmes de mesure d’audience comme Google Analytics ou de remarketing comme Positeo.

L’outil d’analyse Piwik permet de se passer de contentement en suivant scrupuleusement ce tutoriel :

http://www.cnil.fr/fileadmin/documents/approfondir/dossier/internet/Configuration_piwik.pdf

Mais comme nous utilisons presque tous Google Analytics et que nous n’avons pas envie d’aller en prison, voici pour vous LE code pour Analytics, inspiré de cette page http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/la-mesure-daudience/#c5584  et un peu amélioré.

Nb : ce code est à placer AVANT votre TAG Analytics :

// Axel chanfrault pour l’Agence 404 http://www.agence404.com

// D’après la CNIL

// http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/la-mesure-daudience/#c5584

// Remplacez la valeur UA-XXXXXX-Y par l’identifiant analytics de votre site.

gaProperty = ‘UA-XXXXXX-Y’

// Désactive le tracking si le cookie d’Opt-out existe déjà.

var disableStr = ‘ga-disable-‘ + gaProperty;

if (document.cookie.indexOf(‘hasConsent=false’) > -1) {

window[disableStr] = true;

}

//Cette fonction retourne la date d’expiration du cookie de consentement

function getCookieExpireDate() {

var cookieTimeout = 34214400000;// Le nombre de millisecondes que font 13 mois

var date = new Date();

date.setTime(date.getTime()+cookieTimeout);

var expires = « ; expires= »+date.toGMTString();

return expires;

}

// Cette fonction est appelée pour afficher la demande de consentement

function askConsent(){

var bodytag = document.getElementsByTagName(‘body’)[0];

var div = document.createElement(‘div’);

div.setAttribute(‘id’,’cookie-banner’);

div.setAttribute(‘style’,’width:100%;position:fixed;bottom:0;background:rgba(0,0,0,0.9);left:0;color:white;text-align:center;’);

// Le code HTML de la demande de consentement

// Vous pouvez modifier le contenu ainsi que le style

div.innerHTML =  ‘<div style= »padding:20px »>Ce site utilise Google Analytics.\

En continuant à naviguer, vous nous autorisez à déposer des cookies à des fins de \

mesure d\’audience. <input type= »submit » value= »OK » onclick= »javascript:depotCookie(); » /> <br>Pour s\’opposer à ce dépôt vous pouvez cliquer  \

<a href= »javascript:gaOptout() »>ici</a>.</div>’;

bodytag.insertBefore(div,bodytag.firstChild); // Ajoute la bannière juste au début de la page

document.getElementsByTagName(‘body’)[0].className+=’ cookiebanner’;

}

// Retourne la chaine de caractère correspondant à nom=valeur

function getCookie(NomDuCookie)  {

if (document.cookie.length > 0) {

begin = document.cookie.indexOf(NomDuCookie+ »= »);

if (begin != -1)  {

begin += NomDuCookie.length+1;

end = document.cookie.indexOf(« ; », begin);

if (end == -1) end = document.cookie.length;

return unescape(document.cookie.substring(begin, end));

}

}

return null;

}

 

// Fonction d’effacement des cookies

function delCookie(name )   {

path = « ;path= » + « / »;

domain = « ;domain= » + « . »+document.location.hostname;

var expiration = « Thu, 01-Jan-1970 00:00:01 GMT »;

document.cookie = name + « = » + path + domain + « ;expires= » + expiration;

}

 

// Efface tous les types de cookies utilisés par Google Analytics

function deleteAnalyticsCookies() {

var cookieNames = [« __utma », »__utmb », »__utmc », »__utmz », »_ga »]

for (var i=0; i<cookieNames.length; i++)

delCookie(cookieNames[i])

}

 

// La fonction d’opt-out

function gaOptout() {

document.cookie = disableStr + ‘=true;’+ getCookieExpireDate() +’ ; path=/’;

document.cookie = ‘hasConsent=false;’+ getCookieExpireDate() +’ ; path=/’;

var div = document.getElementById(‘cookie-banner’);

// Ci dessous le code de la bannière affichée une fois que l’utilisateur s’est opposé au dépôt

// Vous pouvez modifier le contenu et le style

if ( div!= null ) div.innerHTML = ‘<div style= »padding:20px »> Vous vous êtes opposé \

au dépôt de cookies de mesures d\’audience dans votre navigateur<br><input type= »submit » value= »Je change d\’avis » onclick= »javascript:depotCookie(); » /></div>’

window[disableStr] = true;

deleteAnalyticsCookies();

}

 

// Ce code dépose le Cookie:

function depotCookie() {

document.cookie = ‘hasConsent=true; ‘+ getCookieExpireDate() +’ ; path=/’;

document.getElementById(« cookie-banner »).remove();

}

 

//Ce bout de code vérifie que le consentement n’a pas déjà été obtenu avant d’afficher la bannière

var consentCookie =  getCookie(‘hasConsent’);

if (!consentCookie) {//L’utilisateur n’a pas encore de cookie de consentement

var referrer_host = document.referrer.split(‘/’)[2];

if ( referrer_host != document.location.hostname ) { //si il vient d’un autre site

//on désactive le tracking et on affiche la demande de consentement

window[disableStr] = true;

window[disableStr] = true;

window.onload = askConsent;

} else { //sinon on lui dépose un cookie

depotCookie();

}

}

Récupérer le fichier.txt

Test « OK » : On a bien les cookies Analytics ainsi qu’un cookie de consentement (hasConsent , valeur : true)

Test « NON »: lorsqu’on dit « non », on a 2 nouveaux cookies qui indiquent qu’on ne veut pas de cookies (vous avez bien lu).

  • Nom : ga-disable-UA-xxxxxxxx-x, Valeur : true
  • Nom : hasConsent, Valeur : false

Génial, merci, c’est fini ?

En fait pas encore, il vous faut normalement créer une page entière expliquant ce que sont les cookies, pourquoi vous les utilisez et comment les désactiver. Vous pouvez vous inspirer par exemple de cette page : http://www.buzger.com/cookies.php

Je vous conseille également d’ajouter un lien qui permettra d’accepter les cookies après les avoir refusés ou de les refuser après les avoir acceptés. Celui-ci par exemple fera réapparaître tout simplement la bannière :

<a href= »javascript:askConsent(); »>J’ai changé d’avis et je veux revoir mon consentement</a>

Merci de m’avoir suivi jusqu’ici ! Notez que cet article est donné uniquement à caractère d’information et ne constitue en rien un avis juridique. De même, l’utilisation des codes HTML et Javascript ci-dessus est sans garantie de fonctionnement ni de validité légale.