CNIL et COOKIES

WRInaute accro
Le soucis c’est que pour le moment, même si les navigateurs le gèrent, on oblige les éditeurs à mettre en place ce système de blocage. C'est stupide. Ils devraient nous laisser tranquille avec ça et se diriger direct vers les navigateurs et services tiers récoltant les informations. Ca devrait être transparent pour nous.

Stupide de faire changer des millions de sites alors qu'il suffirait de modifier quelques dizaines d'applications. un moyen peut etre de ramener des tunes aux états européens!
 
WRInaute accro
noren a dit:
Stupide de faire changer des millions de sites alors qu'il suffirait de modifier quelques dizaines d'applications. un moyen peut etre de ramener des tunes aux états européens!
sauf que les applications refusaient d'appliquer le DNT, le seul moyen est donc de passer par les éditeurs incluant de tels scripts
c'est la même chose quand un éditeur refuse de supprimer des données illégales et qu'il faut passer via l'hébergeur pour le faire.
 
WRInaute discret
Amauri a dit:
@Ajan ça c'est pour se passer du consentement,

Je ne crois pas, la CNIL dit, je cite:

Elle recommande que le délai de validité du consentement au dépôt des Cookies soit porté à 13 mois au maximum. À l'expiration de ce délai, le consentement devra être à nouveau recueilli.
En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l'équipement terminal de l'utilisateur (faisant suite à l'expression du consentement)

J'en déduis que le consentement (et le cookie correspondant) est limité à 13 mois, on est d'accord. Mais la deuxième phrase semble s'appliquer à tous les cookies, sinon pourquoi le pluriel? Non?
 
WRInaute discret
noren a dit:
Stupide de faire changer des millions de sites alors qu'il suffirait de modifier quelques dizaines d'applications.

Sauf qu'actuellement, et pendant encore longtemps je pense, la loi s'applique au niveau de chaque pays.
La plupart des applications dont tu parles étant en dehors de la juridiction française, la loi française n'a pas (ou très peu) d'action sur elles.
En revanche elle s'applique de plein droit aux sites hébergés en France...
...et j'ajouterais visité par un internaute français.
Car en effet la CNIL ne t'oblige pas à mettre en œuvre tout ce bazar pour un visiteur étranger (au moins extérieur à la communauté européenne d'où émane cette directive, mais comme on l'a vu au début de ce topic chaque pays de l'UE adapte la directive de manière différente, la France étant parmi les plus stricts)
 
WRInaute accro
mais si on prend le cas de la récente amende de la CNIL à GOOGLE, cela montre bien qu'ils doivent se plier à la législation française (donc de chaque pays) non?
Qu'il s'agisse de Facebook, adsense et autres applications, du moment qu'ils fournissent un service en France, ne sont-ils pas sous la coupe de la législation française?

Si ils ont des comptes à rendre concernant, par exemple, la collecte d'informations (d’où l'amende de google) pourquoi ne devraient-ils pas appliquer cette nouvelle loi (même si elle n’est qu’européenne)? Sachant que pour beaucoup de ces services tiers ont des antennes (succursales) dans chaque pays ou presque (enfin je suis pas certain de ça :mrgreen: )

Après j'imagine que c'est compliqué, et je n'y comprend pas grand chose au niveau international, mais on a surtout l'impression qu'on préfère embêter les petits éditeurs que les grosses multinationales.

PS : j'avais pas vu l'ajout dans ton poste :wink:
 
WRInaute discret
noren a dit:
mais si on prend le cas de la récente amende de la CNIL à GOOGLE, cela montre bien qu'ils doivent se plier à la législation française (donc de chaque pays) non?
Qu'il s'agisse de Facebook, adsense et autres applications, du moment qu'ils fournissent un service en France, ne sont-ils pas sous la coupe de la législation française?

Tu as raison, mais l'amende en question concernait les guides d'utilisation et de confidentialité de services directs à l'utilisateur final comme Gmail ou GG+.

Ici on est dans l'utilisation de services tiers par le biais des sites intermédiaires. Les règles d'utilisation de ces services étant masquées à l'utilisateur final par leur inclusion dans le site intermédiaire (inclusion souvent totalement invisible comme pour analytics), la CNIL considère que c'est à l'éditeur de chaque site d'en avertir l'utilisateur final.
 
WRInaute accro
Bonjour

J'ai mis en place sur mon site le script tarteaucitron.js

Tout marche, mais dans mes pages de courses, les tableaux ont tendance à se décaler un peu à droite, en dehors de l'écran.

Le visiteur peut recentrer les tableaux, mais c'est un peu gênant.

Super ton script.

Merci Monsieur.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
Bonjour Amauri

Je n'ai plus qu'une question à poser :

Le cookie de session Universal Analytics du visiteur, est-il bien réduit à 13 mois, comme spécifié par l'instruction suivante du script original :

ga('create', 'UA-XXXXXXX-X', 'auto',{'cookieExpires':34128000});

Sinon, comment réduire la durée de ce cookie avec ton package ?

Merci beaucoup de ta réponse.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
Rebonjour

Je sais que les cookies nécessaires au fonctionnement d'un panier de paiement, sont exonérés.

Cependant, quid des éléments *personnels* de ce panier, tels que : adresses ip et email, user agent des abonnés ?

Il serait difficile sur le plan pratique, de remplacer des adresses ip par des hash-codes.

Celà ne concerne que mes deux sites partenaires, que je suis en train d'arranger.

Mon site ( pour longtemps ), n'a pas de panier, il est gratuit.

Enfin, quid des liens hypertextes du type Google+ ou spécifiant que l'on est le "publisher" du site, pour Google ?

Est-ce que ces liens hypertextes, doivent être masqué ou non, au choix du visiteur ?

Et puis aussi : J'ai un anti-aspirateur, qui fonctionne très bien en ne mémorisant pas les adresses ip ( seulement les hash codes des ip ) , ni quoi que ce soit de personnel ( à part les User Agents ).

Il est impossible techniquement à partir des hash codes, de retrouver les ip, et je n'en ai pas du tout connaissance par les emails m'indiquant de blocages.

Ma dernière question : Dois-je supprimer la prise en compte des User Agent ?

Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo
 
WRInaute discret
ortolojf a dit:
Ma dernière question : Dois-je supprimer la prise en compte des User Agent ?

Bonjour Jean François,
Le user agent ne donne des infos que sur le programme qui a permis de se connecter sur ton site (browser, application, robot, etc, + éventuellement sa version et quelques autres caractéristiques). Il y a des millions de personnes qui utilisent le même user agent. Pas de risque d'identification personnelle là dedans. Il ne faut pas être trop parano quand même. A mon avis, tu peux dormir sur tes deux oreilles à ce sujet.

Pour les IP, c'est une autre histoire.
 
WRInaute discret
Encore une loi de merde de la part de la CNIL.

Encore une balle dans le pied du PIB français, c'est pas comme si nous étions les plus chers du monde.

Pourquoi une loi alors qu'il suffit d'informer le public sur la manière (tellement simple) de désactivé les cookies.

Je ne gagne presque rien avec Adsense, et maintenant voilà que je dois me conformer à une loi prévu pour les sites majors d'internet, débile.

Ensuite, franchement, je vois mal la CNIL visiter tous les sites Français pour faire respecter la loi.

Et de ce que j'ai lu, le site d'aide de GG ne serait pas complètement conforme.

Ensuite, il y a l'impact sur le référencement car pour le moteur la visite va se passé comment avec cette popup?
 
WRInaute accro
Ajan a dit:
ortolojf a dit:
Ma dernière question : Dois-je supprimer la prise en compte des User Agent ?

Bonjour Jean François,
Le user agent ne donne des infos que sur le programme qui a permis de se connecter sur ton site (browser, application, robot, etc, + éventuellement sa version et quelques autres caractéristiques). Il y a des millions de personnes qui utilisent le même user agent. Pas de risque d'identification personnelle là dedans. Il ne faut pas être trop parano quand même. A mon avis, tu peux dormir sur tes deux oreilles à ce sujet.

Pour les IP, c'est une autre histoire.


Bonjour Monsieur

Et pour les deux liens hypertextes, vers mon compte Google+, ou mon compte Publisher ?

Merci beaucoup de ta réponse.

Respectueusement.

Jean François Ortolo
 
WRInaute passionné
ortolojf, le problème c'est les cookies, pas les liens sortants heureusement. Il ne faut pas non plus se prendre trop la tête.
 
WRInaute discret
Après lecture rapide,

Je ne vois pas en quoi Adsense (ni m^me Analytics) est concerné: Il n'y a pas de collecte de données personnelle (sauf à considérer la navigation sur le site comme telle).

Bon je vais opter pour la bannière, car discret.
 
WRInaute accro
Caine_DVP a dit:
Je ne vois pas en quoi Adsense (ni m^me Analytics) est concerné: Il n'y a pas de collecte de données personnelle (sauf à considérer la navigation sur le site comme telle)
regarde les pages précédentes
 
WRInaute discret
Caine_DVP a dit:
Je ne vois pas en quoi Adsense (ni m^me Analytics) est concerné: Il n'y a pas de collecte de données personnelle

Ce qui est visé c'est le pistage (tracking) des internautes.
Si le ciblage des annonces par centre d'intérêt dans adsense et les statistiques par centre d'intérêt et démographiques dans analytics ne s'appuient pas sur le pistage et de la collecte d'information sur les utilisateurs, c'est sûrement que Google a inclus une boule de cristal dans ses algos :wink:
 
WRInaute accro
Petite question j'ai essayé le script présent ici :

https://www.cookiechoices.org/

section "Barre de notification"

Mais je ne comprend pas, la barre de notification s’affiche uniquement lorsque je vais sur la page d'accueil de mon site. Hors les visiteurs peuvent arriver la 1ere fois sur n'importe quelle page du site.
Ce qui est incompréhensible c’est que j’insère bien le script dans mon layout principal utilisé par l'ensemble des pages

une petite idée?

PS : probleme résolu :mrgreen:
 
WRInaute accro
Bon en fait j'ai un toujours un petit soucis avec ce script

https://www.cookiechoices.org/

tant que le visiteur ne clique pas sur ok, même si il navigue sur d'autres pages, le message reste. J'aimerais pouvoir retirer le bandeau dès que le visiteur visite une seconde page, mais je ne maitrise pas suffisamment le javascript pour le modifier :(

Si quelqu'un s’est déjà penché sur la question et a trouvé comment modifier ce script pour répondre à cette problématique, je suis preneur :mrgreen:

(je sans que ça va bien me souler cette nouvelle législation) :?
 
WRInaute passionné
noren a dit:
(je sans que ça va bien me souler cette nouvelle législation) :?

Surtout que PERSONNE ne leur a rien demandé, d'où sort cette loi stupide? D'accord ils sont payés chers à Bruxelles, mais ils ne faut pas qu'ils se sentent obligés pour autant de faire des lois juste histoire de dire qu'ils font quelque chose, des fois il vaut mieux qu'ils continuent de roupiller..

Bref, d'après l'exemple donné par Google :

Code:
<script>
  document.addEventListener('DOMContentLoaded', function(event) {
    cookieChoices.showCookieConsentBar('Your message for visitors here',
      'close message', 'learn more', 'http://example.com');
  });
</script>

Je pense que tu peux rajouter une ligne pour mettre le cookie quoi qu'il arrive, comme ça lors de la deuxième visite il n'y aura plus rien d'affiché.. cookieChoices.saveUserPreference();
Bien entendu, ça met le cookie sur l'ordinateur de l'utilisateur, donc c'est aussi débile que cette loi, mais apparemment il y a beaucoup de gens qui veulent respecter les lois quoi qu'il arrive, et peu importe la loi.. :)

Code:
<script>
  document.addEventListener('DOMContentLoaded', function(event) {
    cookieChoices.showCookieConsentBar('Your message for visitors here',
      'close message', 'learn more', 'http://example.com');
    cookieChoices.saveUserPreference();
  });
</script>

A tester pour voir si ca marche parce que je n'ai pas installé le script juste téléchargé pour voir les fonctions disponibles.
 
WRInaute accro
Je viens d'essayer ça ne fonctionne pas, mais tu dois pas être loin de la solution.

J'ai essayé en mettant le cookieChoices.saveUserPreference(); en 1er mais forcément le bandeau ne s'affiche pas :)

j'ai également essayé de le mettre ici :

Code:
  function _showCookieConsent(cookieText, dismissText, linkText, linkHref, isDialog) {
      if (_shouldDisplayConsent()) {
        _removeCookieConsent();
        var consentElement = (isDialog) ?
            _createDialogElement(cookieText, dismissText, linkText, linkHref) :
            _createHeaderElement(cookieText, dismissText, linkText, linkHref);
        var fragment = document.createDocumentFragment();
        fragment.appendChild(consentElement);
        document.body.appendChild(fragment.cloneNode(true));
        document.getElementById(dismissLinkId).onclick = _dismissLinkClick;
      }
      _saveUserPreference();
    }

idem le bandeau ne veut pas se barrer en naviguant sur le site. je vais continuer a regarder ca.

Une fois que ce script sera fonctionnel suffira normalement de désactiver certaines options d'adsense, et ca sera conforme (je crois)

PS je pense que le soucis vient du :

Code:
function(event)

Il ne peut pas créer le cookie si il n'y a pas eu un évènement (click, etc..) non?
 
WRInaute accro
Bonjour

J'ai un problème avec le service Twitter.

Il est bien acceptable ou refusable dans l'interface des cookies, mais s'il est accepté ( ou bien par défaut ), il y a un cookie de Twitter ( le cookie pid ), qui a comme durée de vie jusqu'au 23 Mars 2015, c'est-à-dire plus que 13 mois. ;(

Est-ce que celà est compatible avec la Directive Européenne ?

Merci beaucoup à Amauri pour son script.

Respectueusement.

Jean François Ortolo
 
WRInaute occasionnel
@ortolojf je ne pense pas que twitter donne la possibilité de modifier la date d'expiration du cookie mais je ne pense pas non plus que ça soit un problème ;) Dans l'exemple donné par la cnil, le cookie analytics n'est pas ramené à 13 mois.
Ce qui serait surement mieux c'est de supprimer les cookies quand un service est désactivé, j'attends d'avoir toute la liste pour mettre à jour : https://github.com/AmauriC/tarteaucitron.js/issues/1
 
Nouveau WRInaute
Ajan a dit:
Comme convenu voici un exemple de script (script ga.js) de l'analytics classique.
Code:
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXX']);
_gaq.push(['_setDomainName', 'yourdomain']);
_gaq.push(['_setCampaignTrack', false]);
_gaq.push(['_setCampaignCookieTimeout',2592000000]);
_gaq.push(['_anonymizeIp', true]);
_gaq.push(['_setVisitorCookieTimeout',34128000000]):
_gaq.push(['_setSessionCookieTimeout', 900000]):
_gaq.push(['_trackPageview']);

(function() {";
  var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;

  ga.src = ('https:' == document.location.protocol ? 'https://' : 'http://') + 'stats.g.doubleclick.net/dc.js';
  var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);})();
</script>
D'après la doc Google, il semble que l'instruction exacte pour anonymiser les adresses IP dans Google Analytics soit :
Code:
_gaq.push (['_gat._anonymizeIp']);
Par ailleurs, cette option efface le dernier octet de l'adresse IP V4 et non les deux derniers comme demandé par la CNIL.
 
WRInaute discret
Amauri a dit:
Dans l'exemple donné par la cnil, le cookie analytics n'est pas ramené à 13 mois.
Ce qui serait surement mieux c'est de supprimer les cookies quand un service est désactivé

Dans l'exemple de la CNIL les cookies d'analytics sont détruits à chaque nouvelle demande d'accord (donc au plus tous les 13 mois) donc nul besoin de les ramener à 13 mois. Néanmoins la CNIL demande que TOUS les cookies sensibles n'excèdent pas 13 mois. A titre d'exemple, dans la configuration Piwik qui peut se passer d'accord, ils ramènent bien la durée de vie du cookie piwik à 13 mois.

Quant à détruire les cookies, ce ne sera pas toujours possible à partir de ton script. Pour les cookies de ton domaine ce sera possible (comme ceux d'analytics qui sont créé dans le domaine du site qui utilise le service). Mais pour les cookies tiers (c'est à dire créés sous le domaine d'origine du service comme adsense, xiti, facebook etc...), tu ne pourras rien faire à cause des protections inter-domaines mises en place dans les navigateurs.

@ Odou tu as tout à fait raison, je me suis planté sur la syntaxe :oops: . De plus, difficile de tester si l'IP est bien traitée comme ils disent sachant qu'elle n'apparait nulle part en clair.
 
WRInaute accro
Ajan a dit:
Quant à détruire les cookies, ce ne sera pas toujours possible à partir de ton script. Pour les cookies de ton domaine ce sera possible (comme ceux d'analytics qui sont créé dans le domaine du site qui utilise le service). Mais pour les cookies tiers (c'est à dire créés sous le domaine d'origine du service comme adsense, xiti, facebook etc...), tu ne pourras rien faire à cause des protections inter-domaines mises en place dans les navigateurs.
Ce qui me pousse a penser que virer Analytics est pas une grosse perte et laisser les régies se démerder avec leur cookies est suffisant. Je vois vraiment pas ce qu'il faut de plus que prévenir l'utilisateur que les régies présentent sur le site les pistent et indiquer éventuellement comment s'en prémunir de façon générale via leur navigateur.

Cette histoire c'est faire peser sur l'éditeur une responsabilité qui ne lui incombe pas.

Pour les réseaux sociaux, perso je n'ouvre une frame qui elle implique le pistage que sur demande de l'utilisateur donc la navigation classique se fait sans communication avec les réseaux sociaux, il faut forcement un acte conscient de l'utilisateur pour afficher les boutons (image clicable)
 
WRInaute accro
zeb a dit:
Pour les réseaux sociaux, perso je n'ouvre une frame qui elle implique le pistage que sur demande de l'utilisateur donc la navigation classique se fait sans communication avec les réseaux sociaux, il faut forcement un acte conscient de l'utilisateur pour afficher les boutons (image clicable)
tout pareil. Il me semble que c'était suivant ton indication de faisabilité :wink:
 
WRInaute accro
h22o a dit:
désirs secrets de la CNIL. Pas utilisé les vilains outils de GG !
Ce qui au final pourrait être bénéfique pour tout le monde ... De toute façon depuis que les KW provenant du search ont disparu, le petit plus que Analytics donnait est disparu pour les petits sites et les moyens.
 
WRInaute accro
zeb a dit:
Ajan a dit:
Quant à détruire les cookies, ce ne sera pas toujours possible à partir de ton script. Pour les cookies de ton domaine ce sera possible (comme ceux d'analytics qui sont créé dans le domaine du site qui utilise le service). Mais pour les cookies tiers (c'est à dire créés sous le domaine d'origine du service comme adsense, xiti, facebook etc...), tu ne pourras rien faire à cause des protections inter-domaines mises en place dans les navigateurs.
Ce qui me pousse a penser que virer Analytics est pas une grosse perte et laisser les régies se démerder avec leur cookies est suffisant. Je vois vraiment pas ce qu'il faut de plus que prévenir l'utilisateur que les régies présentent sur le site les pistent et indiquer éventuellement comment s'en prémunir de façon générale via leur navigateur.

Cette histoire c'est faire peser sur l'éditeur une responsabilité qui ne lui incombe pas.

Pour les réseaux sociaux, perso je n'ouvre une frame qui elle implique le pistage que sur demande de l'utilisateur donc la navigation classique se fait sans communication avec les réseaux sociaux, il faut forcement un acte conscient de l'utilisateur pour afficher les boutons (image clicable)


Bonjour

Moi, comme cookies dépassant 13 mois, je n'ai ( de visu ), que le cookie 'pid' de Twitter.

D'ailleurs, pour ce qui est de Universal Analytics, la gestion des cookies ( autoriser ou non les campagnes, leur durée, etc... , se fait par l'interface d'administration de UA. Je confond dans mon esprit les campagnes et les informations de suivi de visiteurs ( âges sexes, profils et autres... ), que j'ai désactivé dans UA.

Si ce n'est pas la même chose,e merci de me le dire ?

Quant à Facebook ( mon seul service restant ), il ne me met aucun cookie.

Donc... Je vire Twitter et je laisse UA et Facebook ?

Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
Ajan a dit:
Pareil, j'ai seulement un bouton j'aime sur mon site qui conduit à ma page FB et aucun cookie FB n'est posé à la simple visite de mon site.
rectification : aucun cookie FB n'est posé sur ton site, par contre, quand on regarde les cookies générés par la visite de ton site, on a
https://www.facebook.com/plugins/like.php?href=http%3A%2F%2Fwww.facebook.com%2FAll-free-photos&layout=button_count&show_faces=false&width=180&action=like&font=verdana&colorscheme=light&height=21
9 cookies
la différence entre GA et FB, c'est que GA son but est de te donner les stats de ton site, ce qui fait que les cookies sont posés sur ton site, alors que FB son but est d'engranger le plus d'infos possibles sur le plus possible de visiteurs (même non inscrits sur FB !), donc les cookies n'ont aucun intérêt d'être posés sur ton site, contrairement à GA.
Après, au delà du simple respect de la vie privée de tes internautes, place-toi du côté entreprise : en ouvrant ainsi complètement tes stats à FB (et lui permettant ainsi de croiser les données avec toutes les visites de cet internaute sur TOUS les autres sites ayant un bouton "j'aime", tu lui permet d'affiner la segmentation des internautes et ainsi de vendre ses pubs plus ciblées.
un simple exemple : imaginons que je sois un e-commerce de produits électroménagers qui veuille faire de la pub sur FB. Imaginons aussi que tu sois dans le même domaine que moi. A FB je vais demander d'annoncer sur tes fans. Déjà, j'aurais une audience très ciblée. Mais je veux aller plus loin et je demande à FB de me cibler tes internautes qui ont été voir tels types de page sur ton site, voire, encore mieux, qui ont validé des ventes.
Techniquement, rien n'empêche FB d'accéder à mes demandes :roll: 8)
 
WRInaute accro
Leonick a dit:
la différence entre GA et FB, c'est que GA son but est de te donner les stats de ton site, ce qui fait que les cookies sont posés sur ton site, alors que FB son but est d'engranger le plus d'infos possibles sur le plus possible de visiteurs (même non inscrits sur FB !), donc les cookies n'ont aucun intérêt d'être posés sur ton site, contrairement à GA.
Après, au delà du simple respect de la vie privée de tes internautes, place-toi du côté entreprise : en ouvrant ainsi complètement tes stats à FB (et lui permettant ainsi de croiser les données avec toutes les visites de cet internaute sur TOUS les autres sites ayant un bouton "j'aime", tu lui permet d'affiner la segmentation des internautes et ainsi de vendre ses pubs plus ciblées.
un simple exemple : imaginons que je sois un e-commerce de produits électroménagers qui veuille faire de la pub sur FB. Imaginons aussi que tu sois dans le même domaine que moi. A FB je vais demander d'annoncer sur tes fans. Déjà, j'aurais une audience très ciblée. Mais je veux aller plus loin et je demande à FB de me cibler tes internautes qui ont été voir tels types de page sur ton site, voire, encore mieux, qui ont validé des ventes.
Techniquement, rien n'empêche FB d'accéder à mes demandes :roll: 8)


Bonjour Leonick

Oui, mais... Ces cookies n'apparaissent que si le visiteur a permis Facebook.

Du moment que les visiteur accepte les cookies Facebook, n'est-ce pas compliant avec la Directive Européenne ?

Quant à Twitter, le cookie pid ( durée 18 mois ), je dois le virer ?

Ce cookie apparaît,que Twitter soit accepté ou refusé.

Merci beaucoup de tes réponses.

Respectueusement.

Jean François Ortolo
 
WRInaute discret
Leonick a dit:
rectification : aucun cookie FB n'est posé sur ton site, par contre, quand on regarde les cookies générés par la visite de ton site, on a
https://www.facebook.com/plugins/like.php?href=http%3A%2F%2Fwww.facebook.com%2FAll-free-photos&layout=button_count&show_faces=false&width=180&action=like&font=verdana&colorscheme=light&height=21
9 cookies

Salut Leonick,
Ce que tu donnes c'est l'appel du script 'likeit' FB. Je sais bien que FB ne crée aucun cookie dans mon domaine contrairement à GA. Néanmoins les 9 cookies sont créés dans le domaine FB lors de la connexion à FB, pas par la simple visite de mon site.
La preuve en est que si je supprime tous les cookies de mon navigateur, et que je visite mon site SANS ETRE PREALABLEMENT CONNECTE A FACEBOOK, il n'y a aucun cookie créé dans le domaine facebook.

Si je me connecte à FB, les 9 cookies sont alors créés, certes dans ce cas les visites ultérieures de mon site participent au tracking. Mais il y a bien une action antérieure de l'utilisateur (inscription / connexion à FB). Ce devrait être FB qui avertit ses membres de ce type de tracking lors de leur inscription. D'ailleurs il le fait:

Par exemple, les cookies, le stockage local et les technologies similaires nous indiquent à quels moments vous êtes connecté(e) à Facebook, ce qui nous permet de vous montrer les informations sociales les plus pertinentes quand vous visitez d’autres sites web qui utilisent nos modules sociaux. Nous utilisons également ces informations pour analyser la manière dont les membres utilisent notre plate-forme ainsi que d’autres applications et services.

Mais je conteste que des infos soient collectées pour des utilisateurs même non inscrits sur FB comme tu le dis.

C'est une autre différence entre GA, adsense et les réseaux sociaux. Pour les 2 premiers le visiteur peut être suivi par une simple visite sur mon site, même s'il n'a explicitement joint aucun service au préalable. Pour les réseaux sociaux, il devra y être inscrit volontairement au préalable, et donc d'en avoir accepté les contraintes, pour faire l'objet d'un suivi.

Après, tout ce que tu dis à propos de la concurrence est exact et pourrait faire l'objet d'une discussion à part entière, mais on sort un peu du sujet.

A+
 
WRInaute discret
Je viens de penser à un truc qui me fait bien rigoler.

Tous les systèmes de bandeaux et autres autorisation que j'ai pu voir s'appuient sur javascript. Quid de ceux qui ont désactivé cette fonctionnalité. Pas de bandeaux pour eux ?

Encore plus drôle. Certains préconisent d'inviter simplement les visiteurs les plus paranos à désactiver les cookies au niveau de leur navigateur.
Admettons qu'ils le fassent. Comme le retrait d'affichage du bandeau est conditionné par un cookie d'acceptation (et je ne vois pas comment faire autrement), les bandeaux d'avertissement resteront affichés ad vitam sur toutes les pages de tous les sites !

Choisir le moyen le plus drastique et le plus efficace de se prémunir contre les cookies et voir prévenu en permanence de leur présence, c'est quand même ballot, non ? :lol:
 
WRInaute accro
Il me semblait qu'avant sur les navigateur (firefox en tout cas) on pouvait interdire les cookies sur des sites précis.
ce n’est plus le cas? ou ça n'a jamais été le cas?

Dans ce cas autant avertir le visiteur qu'il peut interdire les cookies de notre site
 
WRInaute accro
Ajan a dit:
Ce que tu donnes c'est l'appel du script 'likeit' FB. Je sais bien que FB ne crée aucun cookie dans mon domaine contrairement à GA. Néanmoins les 9 cookies sont créés dans le domaine FB lors de la connexion à FB, pas par la simple visite de mon site.
effectivement, je viens de vérifier
Ajan a dit:
Mais je conteste que des infos soient collectées pour des utilisateurs même non inscrits sur FB comme tu le dis.
même sans cookie, on peut collecter des infos d'un visiteur. Rien que par l'appel au plugin ike, FB obtient l'ip (donc une géolocalisation plus ou moins précise), le navigateur, l'os, etc...
si tu as une ip fixe résidentielle, même sans cookie, même sans compte FB, FB pourra te tracker ! ça sera moins précis qu'un cookie, mais suffisamment quand même.
noren a dit:
Il me semblait qu'avant sur les navigateur (firefox en tout cas) on pouvait interdire les cookies sur des sites précis.
ce n’est plus le cas? ou ça n'a jamais été le cas?
Dans ce cas autant avertir le visiteur qu'il peut interdire les cookies de notre site
il me semble que ce n'est possible qu'avec des plugin.
de toutes façons, le but étant que l'internaute dise oui, donc mieux vaut ne pas lui indiquer comme bloquer uniquement notre site :wink:
 
WRInaute accro
Leonick a dit:
de toutes façons, le but étant que l'internaute dise oui, donc mieux vaut ne pas lui indiquer comme bloquer uniquement notre site :wink:

Ne serait-il pas préférable qu'à la première visite (page) on considère qu'il est d'accord mais qu'on lui laisse la possibilité de virer les cookies de notre site et autres traceurs si il le souhaite a n’importe quel moment? (je ne sais pas si c’est possible).
En gros utiliser la solution d'Amauri, mais de mettre "accepter" par défaut. Et si un visiteur clique sur "refuser" on supprime tous les cookies associés au service refusé.
je ne sais pas si c’est possible et si ça entrerait dans le cadre de la législation, mais ça ferait beaucoup moins de dégâts sur les sites éditeurs. Sachant que beaucoup de visiteurs ne s’intéressent pas du tout à ces histoires de cookies.
D'autant plus que la solution d'Amauri, celle de laisser un petit accès à la gestion des cookies en bas à droite des pages est très sympas.

PS : il faudrait peut être créer un topic sur la solution d'Amauri, pour qu'on puisse poser toutes nos éventuelles questions :)

PS2 : personne n'aurait de solution pour n'afficher qu'une seule fois (a la première page visitée) le bandeau sur les cookies, lorsqu'on utilise cookiechoices.org
Pour un script proposé par google je le trouve franchement très incomplet même pour un fonctionnement basique.
 
WRInaute accro
regarde si le script pose un cookie et si oui, si l'internaute te renvoie ce cookie, tu n'appelles pas le script
c'est quand même mieux que de faire gérer ça en chargeant à chaque fois le js
 
WRInaute discret
Leonick a dit:
regarde si le script pose un cookie

oui le script créée un cookie qui s'appelle 'displayCookieConsent' est dont le contenu est 'y'

Mais on voit bien qu'ils ne se sont pas beaucoup cassés pour créer ce script. Un stagiaire d'été sans doute :)
 
WRInaute accro
Le problème de ce script c’est qu'il pose un cookie seulement si l'utilisateur clique sur le bandeau. (function(event))
Donc tant qu'il ne clique pas, sur chaque page le bandeau apparait.

j’imagine qu'il me suffirait de forcer la création de ce cookie juste après l'affichage du bandeau, dès que l'utilisateur arrive sur le site (même sur la 1ere page), mais je ne sais pas trop si c’est très propre comme solution.
J'essayerais de tester ça.

@Ajan : je confirme. J'ai du déjà le modifié en ajoutant "path=/" sinon l'utilisateur était obligé de cliquer sur ok sur chaque page du site (ayant un sous dossier différent), et ça créait un cookie pour chacune de ces catégories. :roll:
 
WRInaute accro
et s'il refuse, y a-t-il le contenu 'n' dans ce même cookie ?
si oui, il te suffit de créer ce cookie dès la 1° visite, avec comme contenu 'waiting' et après, si tu as 'y' ou 'n' tu n'appelles pas le script
 
WRInaute accro
non ce script ne gère pas le 'n', pas de refus possible :wink:
Il sert uniquement a avertir qu'on utilise des cookies

d'ailleurs même si tu ne clique pas sur ok, il ne bloque rien
 
WRInaute discret
noren a dit:
j’imagine qu'il me suffirait de forcer la création de ce cookie juste après l'affichage du bandeau, dès que l'utilisateur arrive sur le site (même sur la 1ere page), mais je ne sais pas trop si c’est très propre comme solution.
J'essayerais de tester ça.

Ça doit marcher mais le problème c'est que si un visiteur vient sur ta page, voit le bandeau, se dit "Cela ne me plait pas, je me tire" et qu'il revient par hasard 3 mois après, il n'aura plus le bandeau (le cookie est créé pour 13 mois), ce qui n'est pas très conforme.

Je n'ai pas encore implémenté ma propre solution, mais ce que je comptais faire c'est à la première page poser un cookie de session (ou de durée très courte, 2mn), l'équivalent du 'waiting' de leonick. Puis si le gars revient avec ce cookie présent, je suis sûr que c'est une deuxième page de cette même visite et je peux poser le cookie d'acceptation de 13 mois.
 
WRInaute occasionnel
@noren Avec tarteaucitron c'est possible de tout passer en 'oui par defaut' (needConsent = false dans https://github.com/AmauriC/tarteaucitron.js/blob/master/tarteaucitron. ... ervices.js) mais ce n'est pas le comportement de base ;)

----

Pour savoir si un visiteur navigue sur le site, une façon de faire est de comparer le nom de domaine de la page en cours avec celui du referer, s'ils sont égaux, il y a navigation.

Modifications à faire pour cookiechoices :
Code:
<script type="text/javascript">
document.addEventListener('DOMContentLoaded', function(event) {
  
    var hostname = document.location.hostname,
    hostRef = document.referrer.split('/')[2],
    isNavigating = (hostRef === hostname) ? true : false;

    if (!isNavigating) {
	    cookieChoices.showCookieConsentBar('Your message for visitors here',
          'close message', 'learn more', 'http://example.com');
    } else {
	    cookieChoices._saveUserPreference();
    }

});
</script>

et dans cookiechoices.js, tout à la fin, juste avant "return exports;" :
Code:
exports._saveUserPreference = _saveUserPreference;

Au passage cookiechoice utilise domContentLoaded, incompatible avec IE <9 :s http://caniuse.com/#search=DOMContentLoaded
 
WRInaute discret
En plus, mis à part ceux d'analytics, tu ne pourras pas supprimer les cookies des autres services car ils ne sont pas créés sous ton domaine mais sous leur domaine propre.
 
Nouveau WRInaute
Merci pour le script tarteaucitron, il fonctionne trés bien.
Deux petites remarques :
- Quand on arrive sur la première page, et que l'on clique sur "Configurer", la page de configuration apparait. Si le visiteur clique sur "Fermer" sans configurer les différents plugins, les cookies se mettent automatiquement sur Off.
Le script est-il modifiable, pour que les plugins se mettent automatiquement sur On ?

- Mon site à une version "Responsive design", le bloc en bas à droite "Gestion des cookies" vient perturber la navigation sur téléphone (il est trop visible). Y'a t'il un moyen de ne pas l'afficher en permanence sur téléphone, et créer uniquement un lien en pied de page ?
 
WRInaute accro
Le mieux reste surement de combiner un simple bandeau d'avertissement et de virer la pub comportemental d'adsense, et configurer analytics. Il semble qu'il y ai des indications la dessus au début du topic

Mais de toute façon cette nouvelle législation est bien trop contraignante je doute qu'elle soit vraiment appliquée par la plupart des éditeurs. Elle finira par changer ou par ne pas être vraiment contrôlé.
Et même bon nombre de gros éditeurs ne l'applique pas à la lettre.
 
WRInaute accro
noren a dit:
Le mieux reste surement de combiner un simple bandeau d'avertissement et de virer la pub comportemental d'adsense, et configurer analytics. Il semble qu'il y ai des indications la dessus au début du topic

Mais de toute façon cette nouvelle législation est bien trop contraignante je doute qu'elle soit vraiment appliquée par la plupart des éditeurs. Elle finira par changer ou par ne pas être vraiment contrôlé.
Et même bon nombre de gros éditeurs ne l'applique pas à la lettre.


Hé hé...

Depuis que j'ai mis en place tarteaucitron sur mon site ( voir profil ), mon trafic UA est passé de 850 vu/jour, à 700 vu/jour environ hier.

C'est l'apparence...

Mais Google devrait réagir ?

J'ai envoyé un commentaire mentionnant cette différence dans les stats UA à Google.

Aucune réponse actuellement.

Très respectueusement.

Jean François Ortolo
 
WRInaute accro
ortolojf a dit:
Depuis que j'ai mis en place tarteaucitron sur mon site ( voir profil ), mon trafic UA est passé de 850 vu/jour, à 700 vu/jour environ hier.
euh, les visites sont variables selon pas mal de critères; donc regarder une évolution sur uniquement 1 semaine (voire moins) parait court.
Après, d'après ce que j'ai compris dans les pages précédentes, tu peux mettre GA dès la 1° page si tu n'actives pas les données personnelles. Donc cela ne devrait rien changer. Libre à toi, ensuite, après accord, d'activer cette option dès la page 2.
 
WRInaute accro
Leonick a dit:
euh, les visites sont variables selon pas mal de critères; donc regarder une évolution sur uniquement 1 semaine (voire moins) parait court.
Après, d'après ce que j'ai compris dans les pages précédentes, tu peux mettre GA dès la 1° page si tu n'actives pas les données personnelles. Donc cela ne devrait rien changer. Libre à toi, ensuite, après accord, d'activer cette option dès la page 2.


Bonjour Leonick

J'ai de toute façon, anonymisé les adresses ip, désactivé les stats UA de profils des visiteurs ( je ne sais le faire que sur mon interface UA ), et réduit le cookie de session des visiteurs à 13 mois.

La durée des "campaigns" ( d 'après mon interface UA ), est à 30 jours, mais j'ai laissé les stats de profiles des visiteurs, désactivées.

Je ne sais pas strictement parlant, comment désactiver les données personnelles ( s'il y en a d'autres que celles-ci ), et en tout cas de manière évidente ( en configurant à la main le script tarteaucitron.services.js , à l'emplacement du code du service de UA ).

Merci beaucoup de de ta réponse.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
ortolojf a dit:
Je ne sais pas strictement parlant, comment désactiver les données personnelles
ça a été indiqué au dessus
Code:
_gaq.push(['_setCampaignTrack', false]);
_gaq.push(['_setCampaignCookieTimeout',2592000000]);
_gaq.push(['_anonymizeIp', true]);
_gaq.push(['_setVisitorCookieTimeout',34128000000]);
_gaq.push(['_setSessionCookieTimeout', 900000]);
 
WRInaute accro
Leonick a dit:
ça a été indiqué au dessus

Code:
_gaq.push(['_setCampaignTrack', false]);
_gaq.push(['_setCampaignCookieTimeout',2592000000]);
_gaq.push(['_anonymizeIp', true]);
_gaq.push(['_setVisitorCookieTimeout',34128000000]);
_gaq.push(['_setSessionCookieTimeout', 900000]);


Bonsoir Leonick

Comment adapter ces instructions ci-dessus, au script tarteaucitron.services.js ?

Voici le contenu de mon script à la ligne 116 :

Code:
     tarteaucitron.addScript('//www.google-analytics.com/analytics.js', '', function () {
            ga('create', tarteaucitron.user.analyticsUa, 'auto');
            ga('create', tarteaucitron.user.analyticsUa, {'cookieExpires':34128000});
            ga('set', 'anonymizeIp', true);
            ga('send', 'pageview');
            if (typeof tarteaucitron.user.analyticsMore === 'function') {
                tarteaucitron.user.analyticsMore();
            }
        });

Je ne m'y connais pas suffisamment en Javascript. ;(

Super merci pour ta réponse.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
remonte dans les post précédents, car la personne ayant mis ces instruction avait aussi indiqué celles qui étaient nécessaire pour ton type d'appel GA (moi, je ne suis pas encore passé à UA !)
 
WRInaute accro
Leonick a dit:
remonte dans les post précédents, car la personne ayant mis ces instruction avait aussi indiqué celles qui étaient nécessaire pour ton type d'appel GA (moi, je ne suis pas encore passé à UA !)


Bonjour Leonick

Voici le code indiqué dans ce thread, pour UA ( code original de Google arrangé pour adapter quelques trucs ) :

ga('create', 'UA-XXXXXX','YourDomain',{'cookieExpires':34128000});
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');


Le code dans mon script tarteaucitron.services.js , et que j'ai indiqué dans mon précédent message, est celui qui m'a été donné en message privé par Ajan ( je crois ).

Cependant je ne sais pas, à partir du code ci-dessus, adapter à tartaucitron.services.js , l'équivalent du code GA que tu donne.

Ce code inscrit en dur dans tarteaucitron.services.js , me permettrait peut-être de mettre UA actif par défaut sur mon site ( cookies et autres compliants avec la directive européenne ).

Merci beaucoup de ta réponse.

Respectueusement.

Jean François Ortolo
 
WRInaute discret
ortolojf a dit:
Cependant je ne sais pas, à partir du code ci-dessus, adapter à tartaucitron.services.js , l'équivalent du code GA que tu donne.
Bonjour Jean François,

Dans le script du module tarteaucitron qui s'appelle tarteaucitron.services.js
au début du script (vers a ligne 90) tu a quelques chose comme ça:
Code:
           tarteaucitron.addScript('//www.google-analytics.com/analytics.js', '', function () {
            ga('create', tarteaucitron.user.analyticsUa, 'auto');
            ga('send', 'pageview');
tu modifes la deuxième ligne de cette manière:
Code:
ga('create', tarteaucitron.user.analyticsUa, 'auto',{'cookieExpires':34128000});
et tu insères la ligne suivante entre la 2ème et la 3ème.
Code:
 ga('set', 'anonymizeIp', true);

Et surtout il faut que tu inhibes les stats de campagnes et de centre d'intérêt dans ton profile UA et que tu n'utilises pas le SDK du measurement protocol de UA pour envoyer des informations au serveur google (je pense que tu ne le fais pas, mais c'est juste pour être complet).

A+
 
WRInaute discret
ortolojf a dit:
Cependant je ne sais pas, à partir du code ci-dessus, adapter à tartaucitron.services.js , l'équivalent du code GA que tu donne.
Bonjour Jean François,

Dans le script du module tarteaucitron qui s'appelle tarteaucitron.services.js
au début du script (vers a ligne 90) tu a quelques chose comme ça:
Code:
           tarteaucitron.addScript('//www.google-analytics.com/analytics.js', '', function () {
            ga('create', tarteaucitron.user.analyticsUa, 'auto');
            ga('send', 'pageview');
tu modifes la deuxième ligne de cette manière:
Code:
ga('create', tarteaucitron.user.analyticsUa, 'auto',{'cookieExpires':34128000});
et tu insères la ligne suivante entre la 2ème et la 3ème.
Code:
 ga('set', 'anonymizeIp', true);

Et surtout il faut que tu inhibes les stats de campagnes et de centre d'intérêt dans ton profile UA et que tu n'utilises pas le SDK du measurement protocol de UA pour envoyer des informations au serveur google (je pense que tu ne le fais pas, mais c'est juste pour être complet).

A+
 
WRInaute accro
Ajan a dit:
ortolojf a dit:
Cependant je ne sais pas, à partir du code ci-dessus, adapter à tartaucitron.services.js , l'équivalent du code GA que tu donne.
Bonjour Jean François,

Dans le script du module tarteaucitron qui s'appelle tarteaucitron.services.js
au début du script (vers a ligne 90) tu a quelques chose comme ça:
Code:
           tarteaucitron.addScript('//www.google-analytics.com/analytics.js', '', function () {
            ga('create', tarteaucitron.user.analyticsUa, 'auto');
            ga('send', 'pageview');
tu modifes la deuxième ligne de cette manière:
Code:
ga('create', tarteaucitron.user.analyticsUa, 'auto',{'cookieExpires':34128000});
et tu insères la ligne suivante entre la 2ème et la 3ème.
Code:
 ga('set', 'anonymizeIp', true);

Et surtout il faut que tu inhibes les stats de campagnes et de centre d'intérêt dans ton profile UA et que tu n'utilises pas le SDK du measurement protocol de UA pour envoyer des informations au serveur google (je pense que tu ne le fais pas, mais c'est juste pour être complet).

A+


Bonjour Ajan ;)

J'ai déjà adapté ton code à tarteaucitron.services.js

J'ai déjà inhibé les stats de campagne et de centre d'intérêt dans mon profile UA.

Mais.. Est-ce que celà suffit pour que permettre le fonctionnement de UA par défaut, soit compatible avec la directive européenne ?

Logiquement non, sinon il n'y aurait pas besoin d 'utiliser tarteaucitron.js pour UA ?

Merci beaucoup de ta réponse.

Très respectueusement.

Jean François Ortolo
 
WRInaute discret
ortolojf a dit:
Mais.. Est-ce que celà suffit pour que permettre le fonctionnement de UA par défaut, soit compatible avec la directive européenne ?
Logiquement non, sinon il n'y aurait pas besoin d 'utiliser tarteaucitron.js pour UA ?

Ce que je puis dire c'est qu'en configurant UA de cette manière, il est au plus près des conditions permettant d'être conforme à la législation. Néanmoins, c'est mon interprétation, je n'ai aucun aval de la CNIL pour l'affirmer.

Il y a un point sur lequel il n'est pas tout à fait conforme, c'est que le traitement de l'IP met à zéro le dernier octet alors que la CNIL préconise de mettre à zéro les deux derniers octets.

Par ailleurs, et là personne ne peut répondre à part Google, lorsqu'on appelle un script quel qu'il soit, il peut très bien envoyer des informations masquées à son serveur sans que l'on puisse facilement savoir de quoi il s'agit. Peut être les experts de la CNIL en savent plus, peut-être pas, et il ne s'agit simplement pour eux que de viser les produits Google.

Sinon pour ce qui concerne tarteaucitron, c'est un script qui vise à être drastiquement conforme à la législation et il est clair qu'il y parvient.
UA et GA ne sont pas conformes de base et la CNIL ne donne aucun paramétrage permettant de le rendre conforme contrairement à ce qu'elle fait avec piwik (il ne faut pas rêver quand même), donc il est normal que tarteaucitron traite le cas de ces services.

Enfin tu parles de communauté européenne. Comme je l'ai dit au début de ce topic, la directive européenne donne un cadre nettement plus flexible. La CNIL a choisi la position la plus dure pour l'appliquer à la France. Beaucoup d'autres pays de l'UE ont une position beaucoup moins rigide et UA par défaut et à fortiori configuré comme je le dis est légal dans la plupart des autres pays d'Europe.
 
WRInaute accro
Bonjour Ajan ;)

Super merci pour ton script. ;)

Je vais faire de suite un audit de mes cookies et traceurs me permettant de faire fonctionner mon site.

Ces cookies ou bien variables de session ( aucun(e) n'est gardé à la sortie de mon site ), sont tous nécessaires au fonctionnement de mon site.

Aucune ne contient d'adresse ip en clair ( seulement le hash code d'un mix de l'adresse ip et de l'user agent du visiteur ), qui me sert uniquement à pouvoir afficher mes stats en Javascript, et aussi une variable de session ( AFFIC ), qui me permet de mémoriser les préférences du visiteur durant sa visite uniquement ( affichage/pas d'affichage des Historiques Graphiques des courses passées ).

Le hash code ci-dessus, n'est mémorisé dans une table MySQL, que pendant moins d'une minute, et ne peut pas me servir à localiser ou quoi que ce soit, d'aucun de mes visiteurs. Sa durée est très largement inférieure à celle d'une visite.

A part çà, il y aurait le panier qui n'est pas activé pour l'instant, car mon site est gratuit.

Cependant, dans la version actuelle, si mon site devenait payant, les pseudo, emails et mots de passe des abonnés seraient mémorisés ( en cas de réclamation ), ainsi que peut-être les adresses ip. Et aussi : date/heure de début et fin d'abonnement.

A ce sujet : Serais-je obligé, si mon site devenait payant, de ne pas mémoriser les adresses ip, seulement leurs hash codes, sachant qu'on ne peut pas retrouver les ips à partir des hash codes ?

Ce type de mémorisation fait-il partie du panier, donc exonéré ?

Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo
 
WRInaute discret
ortolojf a dit:
Cependant, dans la version actuelle, si mon site devenait payant, les pseudo, emails et mots de passe des abonnés seraient mémorisés ( en cas de réclamation ), ainsi que peut-être les adresses ip. Et aussi : date/heure de début et fin d'abonnement.

A ce sujet : Serais-je obligé, si mon site devenait payant, de ne pas mémoriser les adresses ip, seulement leurs hash codes, sachant qu'on ne peut pas retrouver les ips à partir des hash codes ?

Ce type de mémorisation fait-il partie du panier, donc exonéré ?

Salut Jean François,

Dans ce cas tu tombes dans une autre obligation de la CNIL (qui date déjà d'un certain temps) de déclaration de fichier clients contenant des données personnelles (fichier étant à prendre au sens large: toute forme de conservation de ces informations, de toutes façons il ne s'agit plus seulement de cookies, ni de tracking)

Voir cette page:
http://www.cnil.fr/vos-obligations/...uid]=0&cHash=09ffcc8c1fcca2a63d167a5689ff70b9
 
WRInaute accro
Ajan a dit:
Salut Jean François,

Dans ce cas tu tombes dans une autre obligation de la CNIL (qui date déjà d'un certain temps) de déclaration de fichier clients contenant des données personnelles (fichier étant à prendre au sens large: toute forme de conservation de ces informations, de toutes façons il ne s'agit plus seulement de cookies, ni de tracking)

Voir cette page:
http://www.cnil.fr/vos-obligations/...uid]=0&cHash=09ffcc8c1fcca2a63d167a5689ff70b9


Bonjour Ajan ;)

J'ai soigneusement mémorisé ton url dans un fichier texte que j'ai archivé.

Pour l'instant, mon site n'étant pas payant ( pas de panier ni de fichier client, seulement ce que j'ai décrit avant "Cependant" dans mon post précédent ) , je suppose que je n'ai pas besoin pour l'instant de faire de déclaration à la CNIL pour mon site ?

Merci beaucoup pour ton aide.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
Rebonjour Ajan

Là j'ai un autre problème.

C'est que le code Universal Analytics n'est pas reconnu par Google sur mon site, et que donc GWT m'a demandé de revalider mon site.

J'ai essayé avec mon compte UA, mais çà ne marche pas car le code UA n'est pas reconnu ( il est remplacé par le code associé à tarteaucitron.js ).

Donc, j'ai revalidé mon site sous GWT, avec le fichier *.html de Google.

Mais... Mes comptes UA et GWT ( pour mon site ) ne sont plus associés entre eux par Google car sous mon profil Google+, menu "Page", sous-menu "gestion de page", je ne peux plus accéder aux statistiques de fréquentation de mon site.

Effet collatéral inattendu de tarteaucitron.js : Le code n'est plus de l'UA pur, donc Google ne le reconnaît plus comme tel, bien que mes stats UA soient correctes ( à peu près ).

Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
pour GWT, la validation par fichier html est ce qui se fait de mieux (à mon sens), d'autant plus que, contrairement à bing, un même fichier peut valider tous tes sites. Il suffit juste de le recopier à la racine de tous tes sites. Bing fait 1 fichier différent par site !
 
WRInaute discret
Salut Jean François,

Ce qui peut se passer c'est que le script tarteaucitron.js masquant partiellement le code UA, lorsqu'un robot explore ton site il ne voit pas ce code. Comme on ne sait pas trop les relations entre GWT, UA et le robot GG, cela peut avoir un effet de bord.

Tes stats sont à peu près correctes parce que tarteaucitron fait son travail pour les visite normales (passé la première page), mais ne trouvant jamais le cookie d'autorisation pour une visite de robot, il ne lui présente jamais un code UA valide.

Personnellement, j'ai modifié mon script UA dans le sens que j'ai donné plus haut dans ce topic et tout a l'air de bien se passer, mais je n'ai pas encore intégré tarteaucitron. Donc je ne peux pas investiguer plus loin.

Si le problème de robot était confirmé, il faudrait inhiber tarteaucitron pour le robot GG (à partir d'un test du user agent) et lui présenter le script UA sous sa forme d'origine.

Pas impossible qu'il y ait aussi un pb similaire avec le robot adsense.

@amaury, si tu passes par là, peux-tu regarder ce possible problème de robot.
 
WRInaute discret
La nuit porte conseil...

A partir de mon post précédent, je pense qu'il serait judicieux de ne pas utiliser tarteaucitron pour les services de google (Analytics, UA et adsense) mais s'orienter vers une solution pure PHP pour inclure ou non les scripts sans les modifier en fonction du cookie d'acceptation.

Cela interdit bien entendu de pouvoir valider ou invalider les services à la volée sans recharger la page (je pense sincèrement que la très grande majorité des visiteurs ne mettrons pas en œuvre cette possibilité et que l'acceptation se fera tacitement par passage à une page suivante).

Mais en revanche cela permet de ne pas se faire virer d'adsense pour non respect de leur directives d'utilisation.
En effet, il est interdit de modifier leur script ou de l'activer via un autre script js. C'est ce que fait tarteaucitron. Et même si le rendu final de la page est le même, les bots google vont s'en apercevoir.
 
WRInaute accro
Ajan a dit:
La nuit porte conseil...

A partir de mon post précédent, je pense qu'il serait judicieux de ne pas utiliser tarteaucitron pour les services de google (Analytics, UA et adsense) mais s'orienter vers une solution pure PHP pour inclure ou non les scripts sans les modifier en fonction du cookie d'acceptation.

Cela interdit bien entendu de pouvoir valider ou invalider les services à la volée sans recharger la page (je pense sincèrement que la très grande majorité des visiteurs ne mettrons pas en œuvre cette possibilité et que l'acceptation se fera tacitement par passage à une page suivante).

Mais en revanche cela permet de ne pas se faire virer d'adsense pour non respect de leur directives d'utilisation.
En effet, il est interdit de modifier leur script ou de l'activer via un autre script js. C'est ce que fait tarteaucitron. Et même si le rendu final de la page est le même, les bots google vont s'en apercevoir.


Bonjour Ajan

Si je comprend bien, le problème c'est seulement celui des bots Google ?

Si bot Google détecté, code normal sinon tarteaucitron...

Ce serait plutôt du cloaking ?

Sinon, avec les balises <nocscript> ... </noscript> après tarteaucitron.js , celà devrait coller ?

Très respectueusement.

Jean François Ortolo
 
WRInaute accro
Rebonjour Ajan

J'ai fait une grossière erreur.

<noscript> implique que ce n'est pas du Javascript.

Le problème est plus général.

1- N'avoir qu'une seule interface d'acceptation/refus,

2- Ne pas faire de cloaking,

3- Si UA ( ou Adsense ) acceptés/pas refusés, présenter leur code inchangé, sans code Javascript autour.

Solution :

1)

- Commenter/supprimer dans tarteaucitron.servcices.js , les instructions Javascript relatives à UA/GA ou Adsense.

- Faire en PHP pur, la gestion de l'affichage/pas d'affichage du code UA ou GA ou Adsense, de manière propre et strictement conforme au code de Google, en fonction de la variable : $_COOKIE['tarteauctiron']

2)

- Transformer tarteaucitron en code PHP, tout gérer en PHP.

=> Plus de Javascript, à part l'interface elle-même, copiable à partir du script actuel.


Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
ortolojf a dit:
Solution :

1)

- Commenter/supprimer dans tarteaucitron.servcices.js , les instructions Javascript relatives à UA/GA ou Adsense.

- Faire en PHP pur, la gestion de l'affichage/pas d'affichage du code UA ou GA ou Adsense, de manière propre et strictement conforme au code de Google, en fonction de la variable : $_COOKIE['tarteauctiron']


Rebonjour Ajan

Je sais qu'il faudrait supprimer/commenter une partie du code de tarteaucitron.services.analytics dans tarteaucitron.services.js , mais je suis une tuile en Javascript.

Je ne sais pas quelle fraction du code il faut enlever, pour éviter que UA ne soit activé par tarteaucitron si accepté/non refusé, de manière à ce que PHP affiche ce code UA sans tarteaucitron ( d'après $_COOKIE['tarteaucitron'] ) .

Pour le PHP je sais faire.

Merci beaucoup de ta réponse.

Respectueusement.

Jean François Ortolo
 
WRInaute discret
Je pense que la première solution que tu cites est la meilleure et la seule qui soit conforme aux règles adsense. Une activation/désactivation d'un service "à la volée" doit alors entraîner un ré-affichage de la page (mais je ne suis pas certain que beaucoup de visiteurs s'amuseront à gérer ces options une par une).

Présenter un code différent au robot relève en effet du cloaking, c'était ma première (et mauvaise) idée d'hier soir. Je devais être fatigué :oops:
 
WRInaute accro
Ajan a dit:
Je pense que la première solution que tu cites est la meilleure et la seule qui soit conforme aux règles adsense. Une activation/désactivation d'un service "à la volée" doit alors entraîner un ré-affichage de la page (mais je ne suis pas certain que beaucoup de visiteurs s'amuseront à gérer ces options une par une).

Présenter un code différent au robot relève en effet du cloaking, c'était ma première (et mauvaise) idée d'hier soir. Je devais être fatigué :oops:



Bonjour Monsieur ;)

Dans ce code ci-dessous de tarteaucitron.services.js , il faudrait ne pas activer UA ( vis-à-vis de Google ), probablement en commentant ou en supprimant un bloc d'instructions.

Ceci, pour laisser l'affichage de UA au code PHP lisant le cookie tarteaucitron.

Mais... Je ne sais pas ce que fait la fonction : tarteaucitron.user.analyticsMore() , je ne connais pas grand chose sur le côté orienté objet de Javascript, et je ne sais pas comment et où cette fonction est déclarée.

Quelles sont les limites du bloc à commenter/effacer dans le code ci-dessous ?

Merci beaucoup de votre aide.

Respectueusement.

Jean François Ortolo


Code:
// google analytics
tarteaucitron.services.analytics = {
    "key": "analytics",
    "type": "analytics",
    "name": "Analytics (Google)",
    "uri": "https://support.google.com/analytics/answer/6004245",
    "needConsent": true,
    "js": function () {
        "use strict";
        window.GoogleAnalyticsObject = 'ga';
        window.ga = window.ga || function () {
            window.ga.q = window.ga.q || [];
            window.ga.q.push(arguments);
        };
        window.ga.l = new Date();

        tarteaucitron.addScript('//www.google-analytics.com/analytics.js', '', function () {
            ga('create', tarteaucitron.user.analyticsUa, 'auto');
            ga('create', tarteaucitron.user.analyticsUa, {'cookieExpires':34128000});
            ga('set', 'anonymizeIp', true);
            ga('send', 'pageview');
            if (typeof tarteaucitron.user.analyticsMore === 'function') {
                tarteaucitron.user.analyticsMore();
            }
        });
    },
    "lang": {
        "en": "Google Analytics uses cookies to generate internal reports about your interactions on this website. These cookies are used to store information that does not identify you personally. First-party cookies are stored on your browser and are not valid from one domain to another.<br/><br/><em> Google provide a policy about the use of tracking technologies and cookies.</em>",
        "fr": "Google Analytics utilise des cookies internes permettant de g&eacute;n&eacute;rer des rapports sur vos interactions sur ce site web. Ces cookies sont utilis&eacute;s pour stocker des informations ne permettant pas de vous identifier personnellement. Les cookies internes stock&eacute;s sur votre navigateur ne sont pas valables d'un domaine &agrave; l'autre.<br/><br/><em>Google met &agrave; disposition une politique sur l'utilisation de ses syst&egrave;mes de suivi et l'utilisation des cookies.</em>",
        "de": "",
        "es": "",
        "it": ""
    }
}
 
WRInaute accro
Rebonjour Ajan

J'ai tâté un peu de tarteaucitron.js ;)

Ne pensez-vous pas, que ce serait faisable de modifier le code de la fonction "addScript" dans tarteaucitron.js , de cette façon :

En gros, on ne change le html, que quand le service est différent de "analytics " ou "adsense" ?

Merci de valider ou non ce code :

Seul le html est touché, le reste ne l'est pas.

Respectueusement.

Jean François Ortolo



Code:
    "addScript": function (url, id, callback) {
        "use strict";

        is_affic = true;

        for (index = 0; index < tarteaucitron.job.length; index += 1) {
                service = s[tarteaucitron.job[index]];

                if(service == 'analytics')
                {
                        is_affic = false;
                }
                else if(service == 'adsense')
                {
                        is_affic = false;
                }
        }

        if(is_affic)
        {
                var script = document.createElement('script'),
                        done = false;

                script.type = 'text/javascript';
                script.id = (id !== undefined) ? id : '';
                script.async = true;
                script.src = url;

                if (typeof callback === 'function') {
                        script.onreadystatechange = script.onload = function () {
                                var state = script.readyState;
                                if (!done && (!state || /loaded|complete/.test(state))) {
                                        done = true;
                                        callback();
                                }
                        };
                }
                document.getElementsByTagName('head')[0].appendChild(script);
        }
    },
 
WRInaute discret
Il faut supprimer tout le bloc. Et faire de même pour le bloc correspondant à adsense.

Ces services ne seront plus gérés par tarteaucitron. Donc n'apparaitront plus dans le page d'information et de validation.
Si tu veux qu'il ne soient plus gérés pour les appels au scripts mais apparaissent quand même dans la page d'information c'est un peu plus compliqué, il faut être un peu plus chirurgical dans le script principal et éventuellement ajouter des variables. Si tu ne maîtrise pas JS, je ne te recommande pas de te lancer là dedans.

Sinon tarteaucitron.user.analyticsMore est une fonction facultative permettant de rajouter les éléments au script. Elle n'est pas déclarée si inutile, c'est pour cela que l'appel est conditionné par le test de type 'function' qui sera faux si rien n'est déclaré.

A+
 
WRInaute accro
Ajan a dit:
Il faut supprimer tout le bloc. Et faire de même pour le bloc correspondant à adsense.

Ces services ne seront plus gérés par tarteaucitron. Donc n'apparaitront plus dans le page d'information et de validation.
Si tu veux qu'il ne soient plus gérés pour les appels au scripts mais apparaissent quand même dans la page d'information c'est un peu plus compliqué, il faut être un peu plus chirurgical dans le script principal et éventuellement ajouter des variables. Si tu ne maîtrise pas JS, je ne te recommande pas de te lancer là dedans.

Sinon tarteaucitron.user.analyticsMore est une fonction facultative permettant de rajouter les éléments au script. Elle n'est pas déclarée si inutile, c'est pour cela que l'appel est conditionné par le test de type 'function' qui sera faux si rien n'est déclaré.

A+


Bonjour Ajan

Je ne comprend pas...

Si le script PHP lit le cookie tarteaucitron, pour vérifier si ces services ( analytics ou adsense ) sont activés ( par la même interface ), il faut bien que ces services soient visibles par tarteaucitron ?

1- Il faut une seule interface,

2- Il faut que l'interface gère les cookies en écriture/lecture,

3- Les cookies ( le cookie tarteaucitron ) doit être alimenté/modifié par l'interface, aussi pour ces services analytics/adsense.

4- Le code html ne doit pas être modifié par tarteaucitron, pour ces deux services.

Respectueusement.

Jean François Ortolo
 
WRInaute discret
ortolojf a dit:
Ne pensez-vous pas, que ce serait faisable de modifier le code de la fonction "addScript" dans tarteaucitron.js , de cette façon :

Je pense qu'on est en train de pourrir ce topic avec ces échanges ! Contactes moi en MP si tu veux.

Pour répondre à cette question, dans ton script modifié la boucle du début ne sert à rien. Le résultat est que si tu as analytics ou adsense dans ta liste de services, is-affic sera à faux et tu n'inséreras aucun service quel qu'il soit.

Par ailleurs essayer de faire un mixte entre le PHP et tarteaucitron pour un même service rajoutera une complexité supplémentaire à une solution qui l'est déjà beaucoup.
 
WRInaute discret
Pour moi le but était ici de discuter des solutions possibles pour rester plus ou moins dans le cadre de ce règlement.

Insérer un bandeau non intrusif, une page d'explication, un cookie d'acceptation et configurer ses services pour être au mieux en règle avec la loi ce n'est pas la mer à boire pour le webmaster moyen.

Pour un petit site qui aura fait cet effort minimum, je pense en effet que le risque de se faire sanctionner est pratiquement nul.
Et ceci même si la loi n'est pas respectée à la lettre (en particulier concernant l'autorisation/refus des cookies service par service, sachant qu'aucun visiteur ne fera cet effort pour un petit site où il viendra ponctuellement visionner quelques photos ou lire un bout d'article pour ne plus y revenir ensuite).
 
WRInaute discret
Bonjour, j'ai placé le script avec cookiechoices.js
Mais il ne permet pas de refuser les cookies de google adsense.

N'y a-t-il pas un code google adsense qui permet de refuser les cookies ?
 
WRInaute discret
terry a dit:
Bonjour, j'ai placé le script avec cookiechoices.js
Mais il ne permet pas de refuser les cookies de google adsense.

N'y a-t-il pas un code google adsense qui permet de refuser les cookies ?

cookiechoice est un simple bandeau d'avertissement sans possibilité de refuser les cookies individuellement ou globalement.

Pour faire cela il faut utiliser tarteaucitron.js par exemple (voir plus haut dans ce topic.)

Tu peux aussi invalider les annonce à ciblage par centre d'intérêt dans ton compte adsence, ainsi les cookies adsense ne sont plus sujet à autorisation car seulement basés sur le contexte de la page et non sur les habitudes du visiteur obtenues par traçage.

Ou encore inviter ton visiteur à aller sur cette page de google:
https://support.google.com/ads/answer/2662922?hl=fr
où il pourra désactiver les annonces sensibles, l'intérêt étant qu'il peut le faire globalement et non sur chaque site qu'il visite (c'est aussi fait par un cookie google, mais celui la est pour la bonne cause !)
 
WRInaute discret
Ajan a dit:
Tu peux aussi invalider les annonce à ciblage par centre d'intérêt dans ton compte adsence, ainsi les cookies adsense ne sont plus sujet à autorisation car seulement basés sur le contexte de la page et non sur les habitudes du visiteur obtenues par traçage.

C'est suffisant comme ça ?


Avec ça, je n'aurai plus besoin d'afficher le message d'avertissement ?

Je n'ai pas trouvé d'information pour Xiti.

Et pour les boutons +1 de facebook & tweeter ? Ils n'enregistrent pas de cookies je crois.
 
WRInaute discret
terry a dit:
Avec ça, je n'aurai plus besoin d'afficher le message d'avertissement ?

Je n'ai pas trouvé d'information pour Xiti.

Et pour les boutons +1 de facebook & tweeter ? Ils n'enregistrent pas de cookies je crois.

A priori la mesure d'audience Xiti ne semble pas faire de mesures par centre d'intérêt, cependant la CNIL ne la cite pas explicitement comme exemptée d'autorisation.
Les boutons de réseau sociaux nécessitent une autorisation ou un mécanisme à double clic.
Dans tous les cas un bandeau d'avertissement sur la première page visitée me semble le minimum.
 
WRInaute discret
Toujours dans le but de ce topic de fournir des ressources à ceux qui veulent se mettre en conformité avec la législation européenne et française sur les cookies, le problème porte pour la majorité des sites sur deux points: la mesure d'audience et la publicité ciblée par centre d'intérêt.

Sur ce dernier point, il m'apparait de plus en plus évident que demander au visiteur de valider ou non l'usage de ce type de publicité pour chaque site qu'il visite est non seulement fastidieux, mais aussi totalement improductif puisque tant que tous les sites n'auront pas fourni une solution d'opt-out (refus), le tracking du visiteur continuera.

La seule solution envisageable est donc de gérer l'opt-out au niveau de chaque service publicitaire. Google fournit cette possibilité à travers cette page https://support.google.com/ads/answer/2662922?hl=fr

Mais quid des autres fournisseurs d'annonces en ligne.

J'ai trouvé cette page http://www.youronlinechoices.com/fr/controler-ses-cookies/ qui fait une analyse des cookies publicitaires de plus de 80 sociétés présents sur votre ordinateur (un surf sur quelques sites en ramène déjà un belle fournée) et permet en outre de faire l'opt-out global ou individuel de chaque régie.

Il faudrait tester en détail, mais dans le principe ce type de service me parait nettement plus efficace et intelligent que de faire cela site par site.
 
WRInaute impliqué
Bonjour,

Qu'est ce qui empeche de mettre un petit bandeau discret tout en bas de la page ?
Pourquoi tout le monde mets ce popup qui emmerde tous le monde tout en haut ?
 
WRInaute discret
Stellvia a dit:
Qu'est ce qui empeche de mettre un petit bandeau discret tout en bas de la page ?

Rien du tout.
Je suis d'accord avec toi, je trouve cela beaucoup mieux.
Google a donné un exemple avec un bandeau en haut, tarteaucitron a continué comme ça. Mais j'ai vu d'autres site qui l'on mis en bas.
 
WRInaute accro
si tu le mets en haut, d'une taille suffisante, l'internaute va effectuer une action, le plus souvent positive, pour cacher le bandeau. Ce qui fait que tu pourras afficher aussitôt de la pub, dès la 1° page
alors qu'en bas ça serait plutôt pour qu'on n'en tienne pas compte et que dès la 2° page on peut faire ce qu'on veut !
 
WRInaute discret
Leonick a dit:
si tu le mets en haut, d'une taille suffisante, l'internaute va effectuer une action, le plus souvent positive, pour cacher le bandeau. Ce qui fait que tu pourras afficher aussitôt de la pub, dès la 1° page

Ça se défend comme position.
Mais mettre en exergue ce bandeau qui sera forcément très laid en plus d'être inutile pour la plupart de mes visiteurs, ça me gène un peu.
 
WRInaute impliqué
Pour moi ce popup est :

1) inutile mais obligatoire. ( merci l'europe :roll: )

2) emmerde tous le monde, mais alors vraiment TOUS le monde.
Et je suis même persuadé que les rares extrémistes anti-cookie sont aussi emmerdé par ce popup cnil car il ne peuvent plus effacer les cookies dans leurs navigateurs ( car sinon ils ont ce popup tout le temps et partout, et oui car il faut un cookie pour ne plus l'afficher c'est con.... ).

Du coup je préfererais le mettre en bas et peu visible, voir même il faut utiliser l'ascenseur pour le voir.

Quand à la pub, vous voulez vraiment mettre un adblock adsense à disposition aux visiteurs de vos sites web ? Car finalement c'est bien de ca que l'on parle : autoriser les visiteurs à ne pas afficher du adsense. On marche sur la tête là !!!
L'adblock par défaut, vous l'avez rêvé ? la cnil l'a fait !
Je sais pas si vous êtes au courant mais la cnil conseil l'utilisation d'adblock sur leur site web officiel, donc quand on à lu ça on a tout compris, c'est sur que eux ont pas trop de soucis pour financer leur site web c'est financé par l'état ( et donc c'est nos impôts !!!!).

Quand l'argent coule à flot c'est pas trop dur pour eux d'être pro adblock :evil: :evil: :evil: .
 
WRInaute accro
Bonjour Stellvia

Il me semble, que la CNIL veut que la bannière soit bien visible et facilement accessible.

Moi, celà ne me choque pas d'avoir une telle bannière au début de la navigation d'un ( théorique ) primo-visiteur.

Je suis en train d'essayer de programmer un script mixant le PHP et le Javascript, reprenant la logique du script tarteaucitron.js et ses services , mais qui permettra théoriquement, de présenter le code html en dur ( en fonction du cookie tarteaucitron ), des services déclarés par le webmaster.

Ainsi, il n'y aura plus de problème de code html de service non reconnu.

Je ne sais pas si j'arriverai à le mettre au point.

Bien amicalement.

Jean François Ortolo
 
WRInaute passionné
aircraftstories a dit:
Est ce que, pour nos petits sites, ça vaut vraiment le coup de se faire ch*** avec ça ?

Tout dépend le respect que tu as pour tes internautes, perso je trouve cela plutot correct de mettre en place ce genre de chose
 
WRInaute discret
Stellvia a dit:
Du coup je préfererais le mettre en bas et peu visible, voir même il faut utiliser l'ascenseur pour le voir.

Quand je disais être plutôt partisan de le mettre en bas, c'était bien évidemment fixe en bas de l'écran, indépendamment de tout scrolling, et non en bas de page accessible par scrolling.

Tant qu'à mettre un bandeau qu'il soit au moins conforme aux exigences de la CNIL donc visible.

Quant à la pub, seule la pub comportementale est visée. La pub contextuelle est autorisée.

Si adsense permettait de choisir le mode de ciblage dynamiquement, ce serait parfait, mais ça n'est pas le cas pour l'instant.
Apparemment DFP le permet, mais afficher essentiellement de l'adsense avec DFP est-il efficace en terme de revenu ? Si quelqu'un a des infos à ce sujet je suis preneur.
 
Discussions similaires
Haut