Les cookies au cœur de l’actualité

Écrit par le , Modifié le

Dans notre précédent article sur les cookies, nous évoquions cet été les nouvelles lignes directrices de la CNIL venant entériner sa position selon laquelle le recueil du consentement par la poursuite de la navigation sur le site internet n’est pas valable. Les mois d’octobre et novembre 2019 ont été marqués par une actualité particulièrement riche puisque la Cour européenne de Justice (CJUE) et le Conseil d’Etat sont venus confirmer cette nouvelle doctrine de la CNIL.
Par ailleurs, tel qu’annoncé, la CNIL n’a pas cessé ses actions de contrôle en matière de cookies. En témoigne le courrier adressé au Figaro par la CNIL publié par Next Inpact.
Le projet de règlement e-Privacy relatif notamment à la règlementation applicable aux cookies a lui aussi connu des avancés courant octobre pour finalement retomber au point mort en novembre.

L’arrêt de la CJUE du 1er octobre 2019

Dans son arrêt du 1er octobre 2019, la CJUE confirme qu’une case cochée par défaut ne vaut pas recueil du consentement au dépôt de cookies. L’affaire portée devant la Cour implique la fédération allemande des organisations de consommateurs ainsi qu’une société allemande proposant des jeux promotionnels.

Sous le formulaire de participation au jeu, une case pré-cochée autorisait la société à déposer des cookies publicitaires sur le terminal de la personne concernée. Il était précisé que les cookies déposés seraient exploités par Remintrex, société allemande spécialisée dans le retargeting, afin de proposer à l’utilisateur des publicités ciblées. L’information dispensée par la société permettait notamment, en cliquant sur un lien contenu dans la phrase de recueil du consentement, d’identifier par leur nom les cookies concernés et détaillait les informations collectées.

Dans cet arrêt, la Cour s’est prononcée sur deux questions principales, à savoir :

  • le recueil du consentement au dépôt des cookies par l’intermédiaire d’une case pré-cochée est-il valable ?  ;
  • l’information qui doit être délivrée dans le cadre du dépôt de cookies doit-elle également comprendre la durée de fonctionnement des cookies et l’accès aux données par des tiers ?

Ainsi, sur le recueil du consentement, la CJUE a considéré que le consentement ne pouvait pas être recueilli valablement par le biais d’une case déjà cochée. En effet, l’exigence d’une « manifestation » de volonté de l’utilisateur évoque clairement un comportement actif de sa part et non pas passif. Il n’y a pas de comportement actif de la personne dans le fait de ne pas décocher une case. De plus, la Cour relève qu’il ne peut pas être exclu que l’utilisateur n’ait pas vu cette case, avant de poursuivre son activité sur le site.

Par ailleurs, s’agissant de l’information des personnes, même si celle délivrée par la société contenait déjà des éléments que beaucoup de sites internet ne fournissent pas, la CJUE a considéré qu’elle était insuffisante. Il était également particulièrement important selon elle de porter à la connaissance des utilisateurs la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Il ressort de cette décision, que les responsables de traitement doivent être vigilants concernant :

  • Les modalités de recueil du consentement ;
  • La complétude de l’information délivrée aux personnes concernées en matière de dépôt de cookies.

 

L’arrêt du Conseil d’État du 16 octobre 2019

Au niveau français, les deux associations la Quadrature du net et Caliopen ont contesté devant le Conseil d’Etat le plan d’action de la CNIL en matière de ciblage publicitaire en ligne. Elles reprochent en effet à la CNIL un certain laxisme dans l’application du RGPD. Ce plan d’action comprend deux grandes étapes :

  • La publication en juillet 2019 de nouvelles lignes directrices qui prévoient notamment la fin du « soft in », soit que la poursuite de la navigation vaut consentement ;
  • Une concertation avec les acteurs du secteur du ciblage publicitaire afin d’adopter des recommandations sur les modalités de recueil du consentement, prévue fin 2019/début 2020.

Pour la mise en place de ce plan d’action, la CNIL a annoncé qu’elle laisserait aux acteurs une période transitoire de 6 mois pour leur permettre de se mettre en conformité.

C’est l’existence de cette période transitoire qu’ont souhaité attaquer les deux associations en contestant la légalité de cette décision.
Le Conseil d’Etat a rejeté leur recours aux motifs notamment la CNIL a entendu fixer un délai qui a pour objet de permettre, au plus tard à son terme, à l’ensemble des acteurs de respecter effectivement les exigences.
De plus, la CNIL n’a pas mis un terme à toute action relative aux cookies et a bien précisé dans son plan d’action qu’elle continuerait à réaliser des contrôles et à veiller à la bonne application de la règlementation. L’affaire du Figaro évoquée ci-après en est d’ailleurs une parfaite illustration.

D’après le Conseil d’Etat, la démarche de la CNIL a été ici de laisser une échéance raisonnable aux acteurs pour se mettre en conformité.
Ce délai qui apparaît particulièrement long aux deux associations est susceptible dans les faits d’apparaître particulièrement court pour les acteurs. En effet, la mise en place d’un module efficace de gestion des cookies n’est pas un mince chantier surtout lorsque l’on dispose de plusieurs site internet. Six mois passent vite surtout quand il s’agit de faire le bon choix en matière d’outil.

La plainte contre Le Figaro

Next Inpact a publié le 14 octobre dernier un courrier de la CNIL en réponse à une plainte d’un internaute ayant constaté le dépôt de cookies sur son navigateur sans recueil de son consentement. La CNIL y précise avoir adressé un courrier au délégué à la protection des données (DPO) du Figaro.

Il a ainsi été rappelé au Figaro que seuls les cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur peuvent être déposé sans consentement. Rappelons également que les cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique font également l’objet de cette exception.
La CNIL continue donc d’agir contre les éditeurs de sites internet afin de faire respecter la règlementation en matière de cookies.

La sanction de la compagnie aérienne Vueling

Il convient de noter que les autorités de protection européenne continuent également de traiter des affaires relatives aux cookies même en l’absence d’adoption du règlement e-Privacy. En effet, la compagnie aérienne Vueling a été sanctionnée à hauteur de 30 000 euros par l’AEPD, la CNIL espagnole. L’autorité espagnole a reproché à Vueling de renvoyer les internautes vers les paramètres du navigateur afin d’exercer leur droit d’opposition au dépôt des cookies ou vers l’utilisation de dispositifs « Do not track ».
Il lui été également été reproché de ne pas mettre à disposition des utilisateurs un système leur permettant de décider du type de cookies auxquels ils souhaitaient s’opposer.

L’autorité espagnole a ainsi rappelé que le renvoi vers les paramétrages des cookies n’est qu’un moyen complémentaire qui peut être mis à disposition des personnes. En effet, un module de gestion des préférences en matière de dépôt de cookies doit être proposé à titre principal.

La proposition de règlement e-Privacy

S’agissant enfin du texte européen e-Privacy tant attendu, une avancée importante a marqué le mois d’octobre 2019 puisque le Président du Conseil avait publié une version révisée de la proposition de règlement qui contenait très peu de modifications. Cela laissait penser que le texte serait adopté en l’état très prochainement.
Reuters rapporte en cette fin novembre que les Etats membres n’ont finalement pas réussi à se mettre d’accord sur le texte. La Commission européenne a en effet rejeté le texte.

Que faire en attendant ?

Il est recommandé de suivre les avancées du texte e-Privacy ainsi que l’évolution de la doctrine de la CNIL.
Dans l’attente de la publication des nouvelles guidelines de la CNIL, il est recommandé de compléter votre politique telle que le préconise la CJUE et de vous assurer que le consentement au dépôt des cookies est valablement recueilli sur votre site internet.

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article