Cookies : premier bilan après les six mois de transition accordés par la CNIL
Le 1er octobre 2020, la CNIL publiait ses dernières lignes directrices et modifiait sa recommandation sur l’usage de cookies, laissant aux éditeurs de sites six mois pour se mettre en se mettre en conformité. Ce délai ayant expiré le 31 mars, nous disposons déjà de quelques éléments pour faire un premier point sur les changements constatés. La CNIL a publié dès le 2 avril un premier bilan.
1. Les pratiques observées
Les éditeurs de sites ayant recours à ces traceurs ont eu plusieurs types de comportements (décrits ici par ordre décroissant de respect des droits et libertés des internautes) :
• certains sites étaient déjà en conformité depuis octobre ou plus longtemps, les premières lignes directrices de la CNIL permettant déjà aisément de comprendre comment simplifier l’information et le recueil des consentements nécessaires : ils disposaient déjà de bandeaux d’information clairs sur les finalités des cookies, comportant un lien vers une politique de protection des données ou dédiée aux cookies et des boutons aussi accessibles l’un que l’autre permettant d’autoriser ou refuser le dépôt de cookies n’étant pas strictement nécessaires à la fourniture du service demandé par le visiteur.
On peut signaler dans cette catégorie les plus vertueux, qui ont choisi de renoncer à l’utilisation de tout cookie non essentiel, rendant facultative la mise en place d’un bandeau d’information (cf. l’article publié dans Le Monde Informatique qui n’a pas encore mis son site en conformité).
• certains sites se sont mis en conformité et ont rejoint ceux de la catégorie précédente entre début octobre et la dernière minute du 31 mars.
• certains sites n’ont rien changé, imposant parfois au visiteur de devoir personnaliser leurs préférences pour refuser tout dépôt de cookies (en permettant, ou pas, de tous les rejeter d’une seule action).
• certains sites ont choisi d’avoir recours aux cookie walls. Rappelons que cette pratique consiste à empêcher le visiteur d’accéder au contenu du site s’il n’accepte pas le dépôt de l’ensemble des cookies non essentiels du site (servant principalement mesure d’audience ou à la publicité personnalisée).
La CNIL avait, dans ses premières lignes directrices et suivant la doctrine du CEPD, proscrit cette pratique. À la suite d’un recours initié par plusieurs associations et syndicats professionnels de la publicité en ligne, de l’e-commerce et des médias, le Conseil d’État avait invalidé cette position, jugeant que la CNIL allait ainsi au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices, qui sont un instrument de « droit souple ».
• certains sites ont exploité la pratique du cookie wall en y intégrant un facteur financier : les internautes peuvent profiter du contenu du site sans dépôt de cookies permettant l’affichage de publicité personnalisée contre un abonnement de 1 à 2€ par mois (ils verront néanmoins toujours de la publicité non personnalisée).
Face à ce recours aux cookie walls, très fréquents sur certains sites d’information « pure players« , la CNIL a rappelé le 2 avril être « dans l’attente d’une clarification pérenne sur cette question par le législateur européen. [Elle] appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé. »
Des exemples de ces différents choix de configurations sont rassemblés dans une série de tweets du compte Pixel de Tracking.
2. L’évaluation par la CNIL de certaines solutions de mesure d’audience
Dans ses lignes directrices, la CNIL indiquait dans quelles conditions une solution de mesure d’audience pouvait entrer dans le champ des cookies exemptés de consentement, du fait de leur objet strictement nécessaires à la bonne administration d’un site.
Voici listées les conditions de la CNIL :
« Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent :
• avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur.
• servir à produire des données statistiques anonymes uniquement. À l’inverse, pour être exemptés de consentement, ces traceurs ne doivent pas :
• conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers ;
• ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Toute solution utilisant un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites) pour croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.
La vérification de ces critères d’éligibilité à l’exemption restant malgré tout délicate pour les éditeurs de sites, se trouvant parfois démunis face aux argumentaires des fournisseurs de ces solutions, la CNIL est allée plus loin dans son accompagnement des professionnels en lançant, au mois de mars, un programme d’évaluation des solutions de mesure d’audience. Les fournisseurs de solutions de mesures d’audience peuvent ainsi décider de faire analyser par les services de la CNIL un paramétrage particulier et d’évaluer sa compatibilité avec les critères d’exemption. »
À ce jour, deux solutions ont été soumises, évaluées dans le cadre de ce dispositif :
• la solution Analytics Suite Delta de AT Internet dans sa version disponible à la date du 30 mars 2021 (visée par ce guide de configuration)
• la solution SmartProfile de Net Solution Partner dans sa version 21 (visée par ce guide de configuration).
À lire l’article de notre juriste Anne-Lise Boulet : La CNIL a tranché : Google Analytics n’est pas RGPD-compatible (février 2022)
3. L’avenir du ciblage publicitaire : le recours aux cookies en passe de tomber en désuétude face à la puissance technologique et commerciale des géants du net
On constate donc aujourd’hui que les professionnels tirant l’essentiel de leurs revenus de l’affichage sur leurs pages de publicité personnalisée ont fort mal anticipé une réforme pourtant annoncée de longue date sur un marché fonctionnant de la même façon depuis plus de dix ans. Ces acteurs devront d’ici peu faire preuve d’encore plus d’ingéniosité pour pouvoir continuer à générer de telles recettes, au regard de choix technologiques réalisés par deux géants d’internet : Google et Apple.
Google a en effet décidé d’apporter une modification importante dans son navigateur Chrome (représentant une part de marché de 60%) à partir de janvier 2022, en bloquant les cookies « tiers », essentiels pour le ciblage publicitaire. Ne comptant évidemment pas se priver d’une activité représentant 88% du chiffre d’affaires de sa société-mère Alphabet, Google pourra continuer à analyser la navigation et les préférences des utilisateurs par d’autres moyens, directement liés au navigateur et aux autres applications qu’il propose, moyens dont ne disposent pas ses concurrents.
Afin d’éviter que ce changement bouleverse le marché de la publicité en ligne, la Commission européenne a annoncé au Parlement s’être saisie de ce sujet.
>> À lire l’article de Numerama : La fin des cookies tiers dans Google Chrome préoccupe la Commission européenne
Apple a pour sa part décidé d’aller plus loin en imposant, via la dernière mise à jour d’iOS, le système d’exploitation des iPhones, le recueil du consentement de l’utilisateur pour permettre aux annonceurs et éditeurs d’applications d’utiliser l’IDFA (IDentifier For Advertisers), identifiant aléatoire attribué aux terminaux de la marque particulièrement utile pour servir de la publicité ciblée aux détenteurs d’iPhones (20% de part de marché pour près d’1 milliard d’appareils en activité) et iPads. Ici encore, Apple limite la concurrence tout en préservant le fonctionnement de son propre service de publicité en ligne, Search Ads, en ajoutant une étape pour désactiver la personnalisation de ses publicités personnalisées.
>> À lire l’article de Numerama : iOS 14.5 : comment désactiver le pistage publicitaire sur iPhone et iPad
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?