Cookies : les nouvelles règles de 2021 : vos questions

Olivier Duffez (admin)
Membre du personnel
J'espère que vous le savez, de nouvelles règles encore plus contraignantes (pour les éditeurs de sites et applis) s'appliquent concernant les cookies.

Si vous n'êtes pas au courant ou perdu/e un peu/beaucoup/à la folie, lisez ce post et surtout : transmettez-moi vos questions (voir en de message). Je vais faire intervenir des personnes/sociétés spécialisées qui apporteront des réponses (et leurs solutions).

Un petit rappel très rapide :

  • en 2018, le RGPD est entré en application
  • le 4 juillet 2019, la CNIL a adopté des lignes directrices rappelant le droit applicable. Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’Etat.
  • le 31 mars 2021 est le dernier jour de la période d’adaptation tolérée par la CNIL
Quelques exemples des nouveautés :
  • Concernant le consentement des utilisateurs :
    • la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
    • les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
  • Refuser les traceurs doit être aussi aisé que de les accepter.
  • Concernant l’information des personnes :
    • elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
    • elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Quelques liens sur la CNIL pour en savoir plus :

Vous avez malheureusement très peu de chance d'échapper à tout ça... Vous êtes concerné si vous rentrez dans une ou plusieurs de ces situations :
  • vous affichez de la publicité sur votre site (en direct et/ou via une régie)
  • vous utilisez Google Analytics (ou une autre solution Analytics)
  • vous intégrez des scripts tiers (vidéo, iframe, ...)
  • des cookies sont déposés lors d'une visite sur votre site (par vous ou un tiers), sauf très rares exceptions
Vous avez sans doute plein de questions. Voici quelques exemples de questions que vous pourriez vous poser :
  • sur les CMP (Consent Management Platform) :
    • Qu'est-ce qu'une CMP ?
    • Une CMP est-elle obligatoire ?
    • Une CMP est-elle suffisante pour se mettre en conformité avec la réglementation en vigueur ?
  • sur le TCF (Transparency & Consent Framework) de l'IAB Europe
    • Qu'est-ce que le TCF ?
    • Est-il obligatoire ?
    • Quel intérêt de choisir une solution qui lui est compatible ?
  • sur le consentement :
    • Le consentement est-il obligatoire pour Google Analytics, même en configurant bien le paramétrage ?
    • Puis-je exclure de mon site les utilisateurs qui ne donneraient pas leur consentement ?
    • Comment monétiser l'audience qui ne donne pas son consentement ?
  • sur les cookies :
    • Pourquoi les tiers ne conditionnent-ils pas eux-même leurs scripts au consentement par l'utilisateur ?
    • Comment identifier les scripts qui posent des cookies sur mon site ?

Merci de poser vos questions uniquement par ce formulaire de contact, je les regrouperai et les transmettrai à des personnes qui viendront ensuite en discuter avec nous sur le forum.

⌛️ Vous avez jusqu'au 17 mars pour poser vos questions en amont. Ensuite, vous pourrez encore en poser dans la discussion qui sera créée quelques jours plus tard.
 
Nouveau WRInaute
Pour évaluer de façon rigoureuse la conformité RGPD de votre site web, vous pouvez vérifier tous les points de cette checkliste RGPD.
 

Fichiers joints

  • Checklist RGPD.pdf
    306.7 KB · Affichages: 31
WRInaute passionné
Déjà que 95% des sites ne sont même pas encore en phase avec la loi du 27 avril 2016, alors là on n'a pas fini de "rigoler" ....

quand la loi est en parfait décalage avec les us et coutumes des utilisateurs d'internet.......

si des personnes se demande ce que je veux dire par là, c'est simple : 95% des personnes montrent leur "c.." sur Internet mais cri au scandale dès lors qu'un malheureux cookies les tracent pour leur rendre un service de qualité... il faut être cohérent
 
WRInaute occasionnel
Oui, ce sont des recommandations il me semble, ils nous recommandent de faire en sorte de ne plus gagner d'argent, de travailler gratuitement alors qu'ils sont eux même payés à ne rien faire à part nous emm....

Si Google ne nous oblige pas à suivre ces recommandations...
 
Nouveau WRInaute
non, c'est la loi !

sinon à ce jour, a t-on des statistiques sur le nombre d'utilisateurs de site qui "gère" les cookies (en désactivant certains cookies) ?

Bonjour,

Les résultats varient fortement mais en moyenne sur la semaine dernière on a :
- Tout accepter : 86%
- Tout refuser : 5%
- Préférences : 9%

Donc plutôt encourageant même si c'est une grosse contrainte.
Olivier
 
Olivier Duffez (admin)
Membre du personnel
Je vois pas mal de bannières qui gèrent soit-disant le consentement, mais qui n'en tiennent pas compte en fait. C'est d'ailleurs mon cas pour ce qui concerne Google Analytics (mais je vais sans doute changer ça....).

Donc dans ces cas-là, ces stats ne veulent pas dire grand chose ;-)
 
Nouveau WRInaute
Ces stats concernent uniquement les sites qui utilisent notre CMP. Il est vrai que nous voyons énormément de sites qui collectent les consentements mais qui ne bloquent pas les cookies et codes tiers en l'absence de consentement ^^
 
Nouveau WRInaute
Bonjour, désolé, ça m'a pris un peu de temps pour obtenir les chiffres par secteur d'activité que voici.
Donc pour le eCommerce on est à 85%. Mais souvent les sites de eCommerce préfèrent avoir un taux de rebond le plus bas possible, plutôt qu'un taux d'acceptation le plus haut possible. Donc au lieu de mettre de grosses fenêtres de consentement au milieu de l'écran, ils vont privilégier des fenêtres de consentement plus discrètes.
 

Fichiers joints

  • ConsentRatesByIndustry.png
    ConsentRatesByIndustry.png
    258 KB · Affichages: 9
Nouveau WRInaute
Bonjour,

Question bête, tout le monde ramène cela aux "cookies", mais alors, lorsqu'un navigateur bloque les cookies tiers, plus besoin de recueillir un consentement (si on n'utilise pas de cookies soi-même bien entendu)? Et quid des LocalStorage, SessionStorage, WebSQL et TrustTokens? Personne ne semble en parler.
 
Nouveau WRInaute
Bonjour,

Question bête, tout le monde ramène cela aux "cookies", mais alors, lorsqu'un navigateur bloque les cookies tiers, plus besoin de recueillir un consentement (si on n'utilise pas de cookies soi-même bien entendu)? Et quid des LocalStorage, SessionStorage, WebSQL et TrustTokens? Personne ne semble en parler.

Bonjour, c'est une très bonne remarque.
Toute forme d'ID est concerné : Cookies 1st Party, 3rd party, LocalStorage, IndexDB, Token, fingerPrint etc.
Ces ids sont les "véhicule" , ceux qui va permettre d'acheminer les données collectées pour lesquelles vous ou vos partenaires doivent obtenir une base légale de traitement.
Voila ce que rappelle la CNIL:
L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

Par autre traceur, il faut entendre tout "ID" qui permettrait de tracer l'individu et donc cela inclus la liste que vous décrivez.

Si le navigateur bloque les cookies tiers, cela ne garantit pas que d'autres types de données ne soit pas traitées: Cookies 1st party, login ( hash email ) etc.
 
WRInaute passionné
BOnjour,
je constate que des sociétés proposent leurs services pour la gestion de l'agrément pour les cookies.
D'ailleurs WRI utilise SIRDATA si je ne m'abuse...
ET un intervenant de ce POST, @consentmanager France proose lui aussi ce genre de service il me semble

Quel est l'interêt de passer par de telles sociétés ? Quelle est leur plus-value ?
 
WRInaute discret
Quel est l'interêt de passer par de telles sociétés ? Quelle est leur plus-value ?
Pour certains, ce sont des soucis en moins. C'est comme ceux qui font des sites avec Wordpress, parce que ça s'utilise assez facilement, et de manière visuelle (on clique sur des boutons, on glisse des trucs, on choisit des machins). D'autres, comme moi, préfèrent développer eux même leurs propres outils. C'est plus difficile, long, compliqué, c'est plus de soucis, mais aussi plus de flexibilités et de libertés.

Pour en revenir à la question, c'est aussi ne pas avoir à se soucier de tous les détails et subtilités, les sociétés spécialisées, comme le nom l'indique, c'est leur dada. Elles proposent des solutions conformes jusque dans les moindres détails, ainsi que des adaptations à l'évolution des régles. Ça, c'est la théorie, ça ne décharge pas l'éditeur d'un site des responsabilités, d'un point de vu légal.
 
WRInaute passionné
ça s'utilise assez facilement, et de manière visuelle
Ok mais encore faut il prendre en compte les réponses des utilisateurs pour activer ou non les fonctionnalités liées au cookies sur le site. donc le plus gros du travail reste à faire
 
Nouveau WRInaute
Ok mais encore faut il prendre en compte les réponses des utilisateurs pour activer ou non les fonctionnalités liées au cookies sur le site. donc le plus gros du travail reste à faire

Bonjour saluts92,
Au niveau intégration technique de la CMP, oui c est la partie la plus délicate. Mais plusieurs techniques vont vous faire gagner du temps. Je vous donne des exemples de notre propre CMP, mais d’autres offrent les mêmes approches . Par exemple pour toute la famille Google ( Analytics , AdWords etc ), nous les pilotons directement via Google Consent Mode. Tous les vendors IAB, soit +700 partenaires, sont pilotés via le TCF ( Transparency & Consent Framework ) qui est activé nativement dans la CMP.
Donc il reste les réseaux sociaux et une poignées d’acteurs qu il faut conditionner manuellement pour que les choix des internautes soient respectés. Si vous utiliser un outils de type tag manager, alors c est encore plus simple car vous allez pouvoir utiliser des évents ou variables émises par la CMP pour conditionner les tags récalcitrants.
En derniers recours, vous avez tout une collection de variables accessibles afin de connaître l’état d’acceptation par finalité ou par partenaire.

Bonne journée.

Bruno
 
Nouveau WRInaute
Non du tout et heureusement, c ´ est beaucoup plus simple - le Google Consent Mode est une collection d’options qui permet de piloter le comportement « cookies » directement via les tags sans que vous ayez à intervenir ( a part un copier coller à faire parfois qui peut dépendre de votre implémention GA )
 
WRInaute passionné
Qu'en est il du SEO ? En effet, si on doit afficher un popup bloquant l'utilisations du site tant que l'utilisateur n'a pas répondu à la question sur les Cookies. que va en penser Google ? qui "interdit" l'affichage en surimpression d'un site au dessus de la ligne de flottaison ?
Comment va t-il faire la différence entre un popup publicitaire et le popup de gestion des cookies ?
 
WRInaute passionné
ça fait 3 ans que c'est en place sur bcp de sites..
oui mais la différence majeure est que le site DOIT être bloqué et attendre l'acceptation (ou non) du visiteur, ce qui n'était pas le cas avant ou en tout cas pas obligatoire étant donné que "..de continuer à naviguer impliquait l'acceptation des cookies.."
et les popups, à ma connaissance, étaient bcp plus discret.
Maintenant sur ceux que je vois la plupart prennent la page entière
 
Olivier Duffez (admin)
Membre du personnel
chacun choisit la taille du pop-up ainsi que le fait de laisser la visite se poursuivre (sans les cookies) ou pas
je ne vois pas avoir vu de pb SEO à cause de ça
 
WRInaute passionné
OK
sinon je viens de tester le site WRI (qui utilise le CMP sirdata) avec l'outil de la CNIL CookieViz et avant même l'acceptation ou non des cookies je constate qu'il y a déjà 4 cookie de déposé dont GGA qui fait partie des cookies soumis à acceptation

On est d'accord que cela n'est pas normal ?
 
Olivier Duffez (admin)
Membre du personnel
oui, ça fait 3 ans que ce n'est pas "normal". Je n'ai pas "conditionné" le script GA à l'acceptation des cookies. Il est probable que je change ça bientôt, même si j'ai bcp de mal à supporter l'idée que GA soit encore moins fiable à l'avenir à cause de ce fichu RGPD.
 
WRInaute passionné
même si j'ai bcp de mal à supporter l'idée que GA soit encore moins fiable à l'avenir à cause de ce fichu RGPD.
et oui comment dire à nos clients que les stats de visites baisseront de 15% mais que c'est normal .....

surtout que c'est d'une utilité relative étant donné que :" ..l'on va tracker le refus d'un client pour prouver qu'il a refusé d'être tracké ....." ==> il n'y a que moi que cela étonne la stupidité de cette loi ?
 
Dernière édition:
WRInaute passionné
Je n'ai pas "conditionné" le script GA à l'acceptation des cookies
je crains qu'une grande majorité des sites fassent de même....(ce qui est déjà le cas)
les controles CNIL ne se faisant quasi exclusivement que sur dénonciation

reste plus qu'à etre gentil avec tout le monde
 
Olivier Duffez (admin)
Membre du personnel
je ne comprends pas bien la remarque. si un visiteur arrive pour la 1ère fois sur le site, on enregistre ses choix quant aux cookies et pour ça on dépose un cookie. Quelles données personnelles sont récoltées à ce moment ?
 
WRInaute passionné
Quelles données personnelles sont récoltées à ce moment ?
Il n'y a pas de données personnelles en tant que telles (nom ou autre) mais si on utilise un CMP par exemple, celui-ci va déposer un cookie avec un identifiant unqiue
cet identifiant unique servira à archiver une information dans la base du CMP pour prouver (à la CNIL) que tel identifiant à refusé ou accepté les cookies
cet identifiant étant unique et rattaché au navigateur/ordinateur du visiteur cela constitue (au sens de la loi de 2018) une donnée pouvant identifier une visiteur (à l'instar d'une adresse IP)

mais je sais que l'interprétation de "données personnelles" reste floue
 
Olivier Duffez (admin)
Membre du personnel
pose la question aux CMP, mais explique-moi comment stocker le consentement sinon ?
n'oublie pas que certains cookies sont exemptés de consentement, par exemple pour enregistrer l'option "dans quelle langue souhaitez-vous consulter le site ?"
 
WRInaute passionné
mais explique-moi comment stocker le consentement sinon ?
c'est bien là le problème, et ma réflexion ironique du début, cette loi se mord la queue
et je rappelle qu'il ne faut pas juste stocker le consentement, mais aussi le refus (c'est surtout là que c'est risible (pour éviter d'en pleurer))

par exemple pour enregistrer l'option "dans quelle langue souhaitez-vous consulter le site ?"
dans ton exemple, il ne s'agit pas d'un identifiant unique, mais juste d'un code langue
 
WRInaute discret
si on doit afficher un popup bloquant l'utilisations du site tant que l'utilisateur n'a pas répondu à la question sur les Cookies
Personne n'a dit qu'il fallait bloquer l'utilisation d'un site en attendant le consentement ou non du visiteur...

Pour les stats de fréquentations, il n'y a pas que Google dans la vie ... je vois même que, ce bon vieux awstats, existe encore !

Et concernant les CMP, c'est bien, mais ça n'est pas dans l'esprit de la loi, d'ajouter un autre acteur tiers dans la chaîne de traitement des données personnelles.
 
WRInaute passionné
Pour les stats de fréquentations, il n'y a pas que Google dans la vie ... je vois même que, ce bon vieux awstats, existe encore !
bien sur mais le problème est le même, il faut un consentement quelque soit l'outil d'analyse (même interne)

Et concernant les CMP, c'est bien, mais ça n'est pas dans l'esprit de la loi, d'ajouter un autre acteur tiers dans la chaîne de traitement des données personnelles.
Peut être, mais ça evite de passer son temps son temps à une société (surtout TPE ou PME) de lire les innombrables textes de loi et de s'y conformer (aussi bien légalement que techniquement), parce que ce n'est pas fini...
 
WRInaute discret
bien sur mais le problème est le même, il faut un consentement quelque soit l'outil d'analyse (même interne)
Je dis peut-être une bêtise, mais il me semble que si les données sont anonymisées pas de problème. Dans mon cas, je ne stocke pas l'IP des visiteurs, juste le pays. Je ne compte pas non plus les visiteurs uniques, juste le nombre de pages vues, oui, je suis plutôt homme des cavernes, mais ça me suffit pour avoir une idée de ce qui se passe sur mes sites.

reste plus qu'à etre gentil avec tout le monde
J'vais être dans une de ces m....
 
Dernière édition:
WRInaute accro
Allez faire un tour sur https://www.allocine.fr/ en prenant soin de vider les cookies. Ils ont tout compris :D:D:p

Accéder au site pour 2€ TTC pendant 1 mois sans cookie publicitaire
... ou accéder au site gratuitement en acceptant les cookies publicitaires :eek:
 
WRInaute accro
En fait, c'est tous les site du groupe webedia qui a tout compris à la RGPD et à la CNIL. Même sur jeuxvideo.com il y a la même.

Reste à savoir si c'est borderline ou si la CNIL a laissé une porte béante ouverte à ce genre de pratique. :rolleyes:

Par contre, je te dis pas le rebond !
 
WRInaute discret
En fait, c'est tous les site du groupe webedia qui a tout compris à la RGPD et à la CNIL. Même sur jeuxvideo.com il y a la même.

Reste à savoir si c'est borderline ou si la CNIL a laissé une porte béante ouverte à ce genre de pratique. :rolleyes:

Par contre, je te dis pas le rebond !
Ça va nous permettre de (sa)voir assez rapidement si ce type de pratique est toléré et/ou fonctionne bien...
 
WRInaute discret
Sur le site de L'équipe, ils sont malins, ils ont mis "fermer et accepter" en lien, en haut à droite, là où nombreux sont ceux qui "cachent" le "continuer sans accepter".

Quant aux sites de Google, ils jouent à la transparence en inondant le visiteur de longs textes, mais, il faut encore aller chercher un refuser sur une seconde page...

Idem pour Facebook...

Et Twitter, ils ne se sont même pas embêté à changer quoique ce soit, juste une bouton "fermer", avec une acceptation implicite...
 
WRInaute accro
Chez Prisma presse c'est soit tu passes par la case réglages, soit tu acceptes ou tu refuses mais tu t'abonnes. :confused:

En fait, chacun fait un peu sa soupe à sa manière.
 
WRInaute discret
Ce matin sur un gros site sportif, j'ai à peine effleuré leur bandeau CMP sur mobile sans cliquer sur un bouton, le CMP a disparu et deux pubs et une vidéo se sont lancés ! En voiture Simone :cool:
Si les gros ne respectent rien, on a pas grand chose à craindre :p
 
WRInaute discret
Accéder au site pour 2€ TTC pendant 1 mois sans cookie publicitaire
Notons la subtilités, que les 2€ c'est pour ne pas avoir de cookies publicitaires, mais pas pour ne pas avoir de publicité. Donc, c'est payer, mais continuer d'avoir des publicités... Bon, au final, tout le monde va dire : gratuit, avec pub, mais je prends un bloqueur de publicités, ou un navigateur qui bloquent les scripts / cookies tiers. hop!
 
WRInaute passionné
les personnes doivent consentir au dépôt de traceurs par un acte positif clair
donc si mon site n'utilise que des cookies nécessaires au bon fonctionnement de mon site : déposé par mon site lui meme (gestion de connexion) ou des tiers (mais nécessaire au fonctionnement) tel que un Chat
Et que tous les cookies tiers ne stockent aucune informations permettant de tracer mes utilisateurs pour les réutiliser pour de la PUB par exemple, je n'ai donc pas besoin de consentement ?

Il ne me resterait donc plus que GG Analytics à gérer, mais j'ai lu que l'utilisation d'Analytics (uniquement pour avoir des statistiques de fréquentation de mon site) était sujet à caution : a t-on un avis clair et précis sur ce cas ?
En effet que penser de ce paramètrage de GG analytics ?:
Code:
gtag('consent', 'default', {

  'ad_storage': 'denied',
  'analytics_storage': 'denied',
});
GG dit qu'l continuera à fonctionner de façon limité : mais je n'arrive pas à déterminer où se situe la limite. Quelqu'un à des infos là dessus ?
 
WRInaute impliqué
et oui comment dire à nos clients que les stats de visites baisseront de 15% mais que c'est normal .....

Dans mon cas, les cookies sont acceptés à 75%, j'ai donc 25% des visiteurs qui ne sont pas comptabilisés puisque j'ai conditionné Analytics.
Mais il faut garder à l'esprit qu'on ne connait que les taux d'approbation et de refus de son propre site, or, lorsque l'on refuse ou accepte les cookies, ce choix vaut généralement pour tous les autres sites qui utilisent le même bandeau. De fait, en réalité, c'est le flou total.

La Search Console reste un indicateur intéressant, mais qui a évidemment pour point faible de ne concerner que Google, idem pour l'outil de Facebook etc. Et on ne va pas commencer à reconstituer des stats, forcément partielles de surcroît, à partir de morceaux récupérés ici et là...

Si Google ne vire pas les cookies d'Analytics, et apparemment il n'est pas pressé de le faire, on n'aura pas le choix, il faudra adopter un concurrent sans cookie. La plupart étant payants, notamment, hélas, ceux qui valent le coup...
 
Nouveau WRInaute
Bonjour à tous,

Nous devons mettre en phase nos sites par rapport au RGPD, nous ne captons pas de données Cookies. Les seules données personnelles que nous avons ce sont les inscriptions à la newsletter.
Nous avons des annonceurs qui paient des bannières publicitaires et hormis ça nos lecteurs n'ont pas trait à être ciblés d'une autre manière.

Comment gérer ça pour être conforme RGPD svp ? Je pensais faire un Accepter les Cookies ou Refuser. Mais dans le cas ou le lecteur refuse. Peut il dire qu'il a refusé et que donc les annonces publicitaires il les voit et que donc nous ne sommes pas conformes à la loi car il a refusé les RGPD et il voit les bannières ?

Je suis assez perdu merci pour vos éclaircissements.
 
Dernière édition:
Olivier Duffez (admin)
Membre du personnel
si aucun cookie n'est déposé par le site, pourquoi demander de les accepter ou refuser ?

pour le reste du RGPD, il faut voir tout le process en dehors des cookies (le RGPD ne se limite pas à ça)
 
Discussions similaires
Haut