Quelles avancées dans la doctrine de la CNIL sur les cookies ?

Le 28 juin dernier, la CNIL a annoncé qu’elle allait modifier sa doctrine en matière de cookies. Depuis quelques temps en effet, il était précisé sur les pages de son site internet dédiées aux cookies que leur contenu était obsolète et en cours de mise à jour.

Elle a adopté un plan d’actions en deux temps qui consiste en :

– l’adoption prévue de nouvelle lignes directrices en juillet 2019 ;
– l’adoption de recommandations sur les modalités de recueil du consentement prévue fin 2019/début 2020.

L’évolution de la doctrine de la CNIL en matière de cookies

La CNIL a donc décidé de ne pas attendre l’adoption du Règlement e-Privacy pour modifier sa doctrine.

Rappelons en effet, que la Directive e-Privacy est en cours de révision pour être remplacée par un règlement dont l’adoption tarde. Ce texte devait initialement s’appliquer en même temps que le RGPD. E-privacy est une règlementation spécifique qui concerne notamment la prospection commerciale et les cookies. Les règles spécifiques qui y sont définies l’emportent sur les dispositions générales contenues dans le RGPD.

Cette décision de la CNIL s’explique également par les demandes de clarification des acteurs du secteur du marketing en ligne sur les règles applicables et par les nombreuses réclamations individuelles et collectives reçues.

La CNIL a donc annoncé officiellement que sa recommandation relative aux cookies de 2013 va être abrogée. De nouvelles lignes directrices vont venir la remplacer. Elles seront publiées en juillet 2019.
Une période transitoire d’un an sera cependant laissée aux organismes pour se conformer aux principes qui divergent de sa précédente recommandation.

La CNIL profite également de cette communication pour préciser aux organismes qu’il n’est désormais plus possible de considérer que la poursuite de la navigation est une modalité valable de recueil du consentement aux dépôt de cookies. De nouvelles modalités de recueil du consentement devront donc à terme être mises en place.

La politique de contrôle de la CNIL sur les cookies

La CNIL insiste également sur le fait qu’elle continuera à effectuer des contrôles sur les cookies. Ces contrôles ne porteront pas dans un premier temps sur les nouveaux principes dégagés.

Toutefois, elle pourra contrôler le respect des principes contenus dans sa recommandations de 2013 non modifiés par les nouvelles lignes directrice et, en particulier, qu’aucun cookie n’est déposé avant que l’internaute n’ait poursuivi sa navigation.

Il est donc important de ne pas considérer que la CNIL stoppe tout contrôle sur le sujet cookies durant la période transitoire.

La question des modalités de recueil du consentement

La CNIL va par la suite organiser des sessions de travail avec les associations représentatives des différents acteurs afin de définir des modalités pratiques de recueil du consentement.

A l’issue de ces travaux, la CNIL adoptera en fin d’année une recommandation qui sera soumise à consultation publique. Une nouvelle période transitoire de 6 mois sera laissée aux acteurs pour s’y conformer. Cette période démarrera suite à son adoption définitive probablement mi-2020. Ainsi, il semble raisonnable de penser que les acteurs devront avoir mis en place des modalités de recueil du consentement d’ici fin 2020.

L’exemple de la CNIL et de son homologue britannique

Afin de donner l’exemple, la CNIL a d’ores et déjà modifié ses modalités de recueil du consentement au dépôts des cookies. Elle a donc supprimé le bandeau cookies de son site internet. Les personnes qui souhaitent accepter le dépôt des cookies doivent désormais se rendre sur la page dédiée qui se présente comme suit :

Fenêtre de gestion des préférences sur les cookies

Il incombe donc à l’internaute d’aller chercher la page dédiée aux cookies pour les accepter. Un pop-up n’apparait donc pas lors de son arrivée sur le site internet. Une solution radicale mais qui a l’avantage de ne pas obliger l’internaute à répondre pour continuer sa navigation sur le site.

L’ICO (l’autorité de protection des données anglaise) a, quant à elle, choisi une solution différente dans la mesure où la page apparait lors de la première connexion. L’internaute est obligé de répondre pour continuer sa navigation. En revanche, une étiquette « c » dans l’angle demeure sur chaque page du site qui permet ainsi à l’internaute de revenir facilement sur son choix.

ICO cookies policy

Les étapes à retenir

Les organismes ont donc trois grandes étapes à retenir en matière de documentation produite par la CNIL :

– la publication en juillet 2019 de nouvelles lignes directrices ;
– la publication du projet de recommandations sur les modalités de recueil du consentement ;
– l’adoption définitive des recommandations sur les modalités de recueil du consentement.

Les trois périodes clés à retenir pour la mise en conformité des sites sont quant à elles :

– juillet 2020 pour se conformer aux nouvelles lignes directrices ;
– aux alentours de fin 2020 pour mettre en place des modalités de recueil du consentement conformes aux recommandations de la CNIL.

Il est enfin recommandé de rester également en veille sur les avancées du règlement e-Privacy.

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article