CNIL et COOKIES

Nouveau WRInaute
Bonjour,

Je me penche actuellement sur la reglementation CNIL en ce qui concerne la gestion des cookies et j'ai trouvé cet article que je trouve plutôt préoccupant. http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/la-mesure-daudience/

Celui-ci explique notamment que tant que l'internaute n'a fait aucune action, le tag analytics et la délivrance de cookies doit être bloqué. La CNIL propose même un JS pour que cette désactivation soit effective.

Mes questions réactions sont les suivantes :
- Si l'internaute n'active plus le marqueur à son arrivé mais qu'au moment où il fait une action (en partant du principe que cette action signifie qu'il accepte l'analytics), cela veut-il dire qu'en fait le marqueur ne sera activé réellement que lors de son passage en deuxième page ? J'en déduit donc qu'on va perdre d'un coup toute les infos concernant la page d'arrivée ce qui me parait catastrophique.

- Comment avez vous procédé ?

- Quid d'AT Internet ?

- Help, là je déprime soudainement là... ;-(

Merci
 
WRInaute discret
même ces artifices ne sont pas légaux car il est possible de naviguer sur le site sans avoir donné le conscentement or la loi est assez claire (et dure)

pour moi la loi est mal faite, et c est principalement dû a cause de toutes ces boite de remarketing qui vous pistent
mais c est qui qui est emmerdé, c est le petit webmaster
 
WRInaute accro
gl0bus a dit:
Celui-ci explique notamment que tant que l'internaute n'a fait aucune action, le tag analytics et la délivrance de cookies doit être bloqué.
C'est pas ton site qui "délivre un cookies" :wink: mais google qui par la production d'une iframe dynamiquement dans ta page le met en œuvre ... D'ailleurs essaye d'y accéder tu risque de galérer longtemps.
 
WRInaute discret
je trouve cette loi débile, comme tant d'autres, mais c'est normal : c'est lié à des abus et comme à chaque fois qu'il y a des abus sur le net on décide de bloquer des choses (pubs, popups, cookies, même combat).

effectivement on ne doit plus laisser passer de cookies tiers sur un site tant que l'internaute n'a pas accepté, mais rien n'oblige à le laisser surfer sur le site.

plutôt que pondre une loi stupide, ils auraient mieux fait d'informer les gens et leur montrer comment interdire les cookies de sites externes dans leur navigateur, puisqu'il existe des options pour ça.

le coup d'afficher un avertissement sur tous les sites ne servira jamais à rien et ne changera surtout rien à part emmerder les éditeurs français alors que les autres sites n'auront pas l'obligation de le faire.
 
WRInaute impliqué
Surtout que ça a un effet inverse, ca pourrit les UI et l'expérience utilisateur des belles pages bien travaillées ou alors c'est invisible...

Ou alors ca ressemble à des popups néfastes et la plupart des gens n'en ont rien à carrer et ne comprennent pas ce que c'est...
 
WRInaute discret
Surtout que cela s'apparente à du flan : j'ai vidé le cache de mon ordi, plus de cookies, rien. Puis, j'ai été sur deux sites : un très gros site d'info français et un site de voyage; dans les deux cas un bandeau indique qu'en poursuivant la navigation sur le site j'accepte les cookies. Je n'ai donc rien fait et est fermé la page au bout de 2 ou 3 secondes. Que se passe-t-il alors ?
- 15 cookies sur mon ordi avec le site d'info,
- 34 cookies avec le site de voyage.
J'en conclue que c'est de la véritable bidouille. En fait, si comme le demande la CNIL il faut une action de la part de l'internaute : donner son accord par exemple ou refuser, cela impliquerait qu'aucune pub ne pourra s'afficher tant que l'internaute ne valide pas son choix. En gros, écroulement des ventes.
A suivre;
 
Nouveau WRInaute
Bonjour Manubu,

Ces sites sont bien dans la loi. Celle-ci demande d'afficher une bannière informative avec des infos claires et un lien pour les gens qui ne veulent pas de cookies.
Pour les autres, n'importe quelle action sur la page est considéré comme une acceptation des cookies.
Par contre pour ceux qui refuse, la loi oblige le webmaster à permettre quand même la navigation mais sans cookies. Pour reconnaitre les gens à leur deuxième visite tu as le droit de leur mettre... un cookie... ;-) Et s'ils refusent les cookies tu as aussi le droit de leur mettre un cookie pour rappeler que la personne n'en veut pas. Elle est pas belle cette loi ubuesque ? ;-)
 
Nouveau WRInaute
Bonjour,

Attention : Cookies : Contrôles de la Cnil à partir d'octobre 2014
http://www.cnil.fr/linstitution/actualite/article/article/cookies-des-controles-a-partir-doctobre/

"Tout manquement à la loi "informatique et libertés" est passible de sanctions
financières pouvant aller jusqu'à 300.000 euros. La Commission a conscience que la
mise en conformité de certains sites nécessitera plus de délai que d'autres. En
cas de plainte ou de contrôle, la Commission appréciera les efforts mis en
ouvre par le responsable du traitement pour se mettre en conformité."

En outre, d'après ce que j'ai compris (source : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/ ),
les sites utilisant Google Adsense et/ou un outil de mesure d'audience
tel que Xiti ou Google Analytics sont aussi soumis au consentement préalable des utilisateurs pour l'utilisation des cookies.

L'outil cookiechoices fourni par Google http://www.cookiechoices.org n'est pas une solution complète : il ne remplit
pas les conditions telles que :
- Sauf consentement préalable de l'internaute, le dépôt et la lecture de Cookies ne doivent pas être effectués (=> donc par exemple pas de publicité Adsense )
- l'internaute qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service ;
- l'internaute doit avoir la possibilité de retirer à tout moment son consentement.

Alors comment faites-vous pour vos sites utilisant Adsense et/ou Xiti/Google Analytics (outil, code...) ?

Merci,
 
WRInaute impliqué
Cette loi est complètement co**e...

Puisque pour enregistrer le désir de l'utilisateur qui ne voudrait pas de cookie, on est obligé de stoker l'informations dans un cookie. AU final on met un cookie dans l'ordi de l'utilisateur qui ne veut pas de cookie afin de se souvenir qu'il ne veut pas de cookie...

Autre remarque : la plupart des cookies sont des cookies tiers d'annonceurs publicitaire : genre il faudra demander au visiteur s'il accepte les cookies de Google Adsense (pour afficher les pubs) et genre il va répondre "oui"...
 
WRInaute discret
Bonjour,

Cette loi est une application à la France d'une directive européenne. Mais comme d'habitude en France on a voulu laver plus blanc que blanc en poussant le règlement jusqu'à le rendre pratiquement inapplicable.

En effet la plupart des autres pays européens, que ce soit l'Italie, l'Espagne, le Royaume Uni, la Belgique pour ne citer qu'eux ont considéré que le consentement tacite après avertissement de l'utilisateur était suffisant (genre bandeau temporaire: "Ce site utilise des cookies pour....En continuant votre navigation sur ce site, vous acceptez l'usage des cookies: OK). L'Allemagne n'a pas encore statué, mais il est probable qu'elle s'orientera également vers ce genre de solution. Ce type d'avertissement est facile à implémenter et peut ne pas être trop intrusif (cf. ce que propose Google).

L'obtention d'un consentement actif est beaucoup plus difficile à implémenter et nécessiterait de toute façon une collaboration active des scripts tiers (adsense, analytics,...) pour en configurer dynamiquement le mode de tracking. Je ne suis pas sûr que google sera très pro-actif dans ce domaine.

Comme il y a très peu de problèmes qui résistent longtemps à une absence de solution, je vais donc m'en tenir à une information succincte avec acceptation tacite sur un bandeau effaçable par un bouton. Par une géoloc des IP, je ne le proposerai qu'aux visiteurs européens (pourquoi ennuyer mes 30% de visiteurs hors Europe avec ces c...)

A+
 
Nouveau WRInaute
Effectivement, dans la solution incomplète de cookiechoices.org,
cookiechoices.js crée un cookie displayCookieConsent mis à la valeur "y" si l'utilisateur
a explicitement consenti aux dépôts de cookies.

Le script affiche un bandeau (showCookieConsentBar) demandant le consentement de l'internaute. Tant que son consentement n'est pas obtenu (clic sur le bouton Fermer ou OK), aucun cookie tel que Adsense/Xiti/Google Analytics ne doit être créé. La poursuite de la navigation reste possible, le bandeau reste affiché dans toutes les pages.

Note : un autre choix est l'affichage d'une fenêtre modale (showCookieConsentDialog) demandant le consentement,
mais cela empêche toute navigation ultérieure tant que le consentement n'est pas obtenu,
ce qui est contraire aux demandes de la CNIL. Ce choix n'est donc pas retenu.

La question est : peut-on afficher les pubs d'Adsense sans créer les cookies ? (exemple de code ?)
N'ayant pas la réponse, je ne vois que d'exécuter le script d'Adsense qu'après avoir testé la présence du cookie
displayCookieConsent. Mais cela conduirait à désactiver d'office (= par défaut) les pubs d'Adsense tant que le consentement de l'internaute n'est pas obtenu, entraînant probablement une baisse importante de revenus.
 
WRInaute discret
Dharius a dit:
genre il faudra demander au visiteur s'il accepte les cookies de Google Adsense (pour afficher les pubs) et genre il va répondre "oui"...

Ce n'est pas exactement ce qui est demandé. Même si l'utilisateur refuse les cookies adsense, tu pourra afficher des pubs, mais il faudra que le ciblage de ces pubs soit purement contextuel (c'est à dire ne dépendent que du contenu sémantique de ta page), et non de l'historique de sa navigation. Exemple tu t'es baladé sur un site marchand à la recherche d'un appareil photo et sur le site suivant qui ne parle que de bon vins, tu ne vois que des pubs pour des appareils photos alors que ce devrait être des pubs de bons crus. Moi aussi ça me gonfle ces pubs d'historique, mais j'efface mes cookies point barre.

D'ailleurs dans ton profil google, tu as la possibilité d'interdire l'affichage de ce type de pub basé sur l'historique de navigation, sur google et/ou sur tout site web. Et devine... c'est stocké dans un cookie. :)

A+
 
WRInaute impliqué
Voilà ce que voudrait qu'on fasse la CNIL :
http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceur ... s-sources/

- demander à l'utilisateur s'il veut bien qu'on le trace avec des cookies pour Google Analytics (avant même de commencer à utiliser le script)
- mettre un interrupteur ON/OFF pour activer les boutons "j'aime" des réseaux sociaux. Pour faire un "j'aime" donc, le visiteur devra d'abord activer le bouton, puis cliquer sur "j'aime"..
- demander à l'utilisateur s'il veut bien qu'on affiche les pubs (Adsense) grâce aux cookies avant de les afficher...

Juste ingérable et c'est même une atteinte de ma liberté personnelle en tant que Webmaster :evil:

S'ils imposent cette loi, les pubs Adsense (en outre) de nombreux éditeurs ne seront plus jamais affichées puisque les internautes ne prendront jamais la peine d'accepter de recevoir des cookies pour ensuite se voir afficher des pubs... Ce sera donc la mort de nombreuses sociétés qui ne vivent que ce ça !!!
 
Nouveau WRInaute
Dharius a dit:
...
S'ils imposent cette loi, les pubs Adsense (en outre) de nombreux éditeurs ne seront plus jamais affichées puisque les internautes ne prendront jamais la peine d'accepter de recevoir des cookies pour ensuite se voir afficher des pubs... Ce sera donc la mort de nombreuses sociétés qui ne vivent que ce ça !!!

Tout à fait d'accord avec toi !
En plus je vois mal comment un petit site pourrait-il payer 300.000 euros d'amende pour non-conformité suite aux contrôles de la CNIL à partir d'octobre 2014 !

Mais serait-il là un excellent moyen de faire une rentrée d'argent pour la France ? Avec le nombre de sites non-conformes multipliés par 300.000 euros + pénalités de retard... :)
 
WRInaute impliqué
Y-a-t-il déjà eu des personnes condamnées par la CNIL ? Quand on voit le nombre de sites qui ne respectent déjà pas la loi informatique et libertés...

Il me semble que c'est une institution qui n'a pas bcp de moyens...
 
WRInaute discret
Dharius a dit:
Ajan bien vu mais la géolocalisation en temps réel des utilisateurs, ce n'est pas bien non plus selon la CNIL ;)

Oui, je sais :mrgreen: . Mais bon, ce dont je parlais c'est une localisation à l'échelle d'un pays à partir des plages d'IP affectées à chaque état. Pas de quoi mettre en péril la vie privée.
 
WRInaute discret
Dharius a dit:
S'ils imposent cette loi, les pubs Adsense (en outre) de nombreux éditeurs ne seront plus jamais affichées puisque les internautes ne prendront jamais la peine d'accepter de recevoir des cookies pour ensuite se voir afficher des pubs... Ce sera donc la mort de nombreuses sociétés qui ne vivent que ce ça !!!

Comme je l'ai dit plus haut la publicité sémantique n'a pas à être sujette à acceptation, seule la pub comportementale dépendant de la navigation de l'internaute l'est

Une autre citation du site de la CNIL :

Pas de consentement préalable pour la publicité sémantique

Contrairement à la publicité comportementale la publicité sémantique (aussi appelée contextuelle) ne cible pas la publicité en fonction du profil de l'internaute. Elle se base uniquement sur le contenu de la page visitée. Ce type de publicité ne requiert donc pas de tracer les utilisateurs sur les sites qu’ils visitent. Par conséquent, les publicités sémantiques peuvent être affichées sans consentement préalable de l’utilisateur. "

Google permet d'invalider l'affichage de la pub comportementale par profil, le script a donc intrinsèquement le moyen de la filtrer. Il suffirait qu'il fournisse un paramètre d'appel pour le faire à la demande.
Si les 3/4 des pubs ne s'affichaient plus comme vous avez l'air de le redouter, nul doute que Google ferait en sorte de fournir ce paramètre. Pour l'instant on est dans le round d'observation. Pas la peine de paniquer.
 
WRInaute impliqué
Perso j'ai déjà eu des problèmes avec le CNIL pour d'autres raisons : il suffit que quelqu'un remplisse un formulaire de plainte sur leur site de façon anonyme même (un concurrent par exemple zic) et les yeux de la CNIL sont tournés vers toi...
 
Olivier Duffez (admin)
Membre du personnel
Ajan a dit:
Je vais donc m'en tenir à une information succincte avec acceptation tacite sur un bandeau effaçable par un bouton.
Pour les fainéants comme moi, accepterais-tu de partager un bout de code (HTML, CSS, JS) pour gérer ce genre de bandeau ? ça serait apprécié ! Ou alors un lien vers ce bout de code. Merci d'avance
 
WRInaute discret
Le code fourni par google est une bonne base qui a l'intérêt de marcher avec un effort minimum. Il donne un résultat un peu brut de fonderie, pas forcément très adapté au style de chaque site. Mais il est facilement modifiable (la licence apache le permet).

Mais comme cela a déjà été dit, il n'est que partiellement conforme aux exigences de la CNIL.

Ce qu'il faut bien voir, c'est que la CNIL n'exige le consentement que pour certains types de cookies et de services, les autres faisant l'objet d'une exemption de demande de consentement explicite.

Pour être en règle avec la CNIL et sans afficher le bandeau (donc pour les très fainéants :wink: ), il est possible de configurer les services adsense et analytics pour ne pas mettre en œuvre les annonces et statistiques visées par la demande de consentement à l'internaute.

Pour adsense, dans le menu: "autorisation/blocage d'annonces" décocher toutes les cases de la rubrique "Annonces en fonction de l'internaute". Seules les annonces "sémantiques" (c'est à dire ne dépendant que du contenu de la page) seront affichées.
Inconvénient: cela peut réduire les revenus. Les annonces dites "par centre d'intérêt" ne seront plus affichées, et remplacées par des annonces dites "contextuelles".
Ceci étant dit, pour ce qui concerne mon site, les annonces par centre d'intérêt représentent 30% des annonces et leur CTR et RPM ne sont que très légèrement supérieurs à ceux des annonces contextuelles. Mais bien entendu cela peut être différent d'un site à l'autre.

Pour analytics, dans l'admin, désactiver le bouton "Générer des rapports sur les performances démographiques et les centres d'intérêt" .
Inconvénient: c'est de ne plus avoir des stats dans les onglets données démographiques et centres d'intérêt.

En fait cela fait revenir quelques années en arrière (2009) quand google ne gérait pas les annonces et stats par centres d'intérêt (et donc ne pistait pas les internautes).

Bien sûr cela ne concerne que ces deux services, si vous en avez d'autres, il faut voir au coup par coup.
 
WRInaute discret
Bonjour,
Savez vous s'il est possible de configurer adsense pour qu'il ne dépose pas de cookie mais fasse uniquement de l'analyse sémantique pour afficher les pub ?

En effet après avoir parcouru le site de la CNIL, je pense que pour la majorité des sites le problème est l'affichage des pubs adsense et l'utilisation d'analytics.

Perso, je suis pret à me passer d'analytics et prendre un autre système d'analyse sans cookies mais me passer de pub n'est pas possible !

Cordialement,
M
 
WRInaute passionné
mxp59 a dit:
Savez vous s'il est possible de configurer adsense pour qu'il ne dépose pas de cookie mais fasse uniquement de l'analyse sémantique pour afficher les pub ?
Ajan a dit:
Pour être en règle avec la CNIL [...] il est possible de configurer les services adsense [...] dans le menu: "autorisation/blocage d'annonces" décocher toutes les cases de la rubrique "Annonces en fonction de l'internaute". Seules les annonces "sémantiques" [...] seront affichées.
 
WRInaute discret
Pour être précis, il ne s'agit pas de ne pas déposer de cookies, mais de ne pas déposer de cookies qui soient visés par les mesures de la CNIL et dans le cas d'adsense et d'analytics ces cookies "sensibles" concernent principalement le ciblage par centre d'intérêt.

Ce qui se comprend bien dans les objectif globaux de la CNIL, puisque pour parvenir à faire ce type de ciblage il faut pister l'utilisateur et la CNIL considère qu'on ne peut le faire sans son accord.
 
WRInaute discret
Merci M&B
Je n'avais pas bien lu ni compris peut être ce que cela voulais dire.
Je suis allé voir sur Adsense et j'ai décoché toutes les cases "Annonces en f° de l'internaute". Je vais tester ça quelques jours pour voir ce que ça fait.
 
WRInaute impliqué
Bonjour,
Jeanne5 a dit:
Y-a-t-il déjà eu des personnes condamnées par la CNIL ? Quand on voit le nombre de sites qui ne respectent déjà pas la loi informatique et libertés...

Il me semble que c'est une institution qui n'a pas bcp de moyens...

Justement ça sera un bon moyen pour se renflouer à moindre cout. 300000 par-ci, 300000 par là, ça monte vite.
 
Nouveau WRInaute
Ajan a dit:
...
Ceci étant dit, pour ce qui concerne mon site, les annonces par centre d'intérêt représentent 30% des annonces et leur CTR et RPM ne sont que très légèrement supérieurs à ceux des annonces contextuelles. Mais bien entendu cela peut être différent d'un site à l'autre.
...

Bonjour,
Peux-tu indiquer la manipulation pour connaître le pourcentage des annonces par centre d'intérêt ainsi que leur CTR/RPM ? Merci.
 
WRInaute discret
Tu vas sur ta page adsense, sur le menu du haut tu vas sur "rapports sur les performances", puis "type de ciblage" à gauche.
Là tu as un camembert et un tableau qui te donnes le % , CTR, RPM etc.
 
Olivier Duffez (admin)
Membre du personnel
ne pensez-vous pas que l'exemple de bandeau fourni par Google pourrait suffire à calmer les ardeurs de la CNIL, même si ça ne respecte pas à la lettre leurs exigences (délirantes) ?
 
WRInaute occasionnel
Oui délirant c'est bien le terme
j'ai essayé leur code pour google anaytics ...
http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceur ... nce/#c5584
je suis revenu en arrière. C'est vraiment trop le bazar par rapport à l'architecture de mon site,en plus leur fonction n'efface pas les cookies d'analytics, et adsense n'est pas géré. par contre la fonction d'affichage du message uniquement en cas de referrer est plutôt intéressante.

Pour répondre à ta question Olivier, mon avis c'est que je vais me calquer sur le code de google et faire comme priceminister, avec des pages arrières explicatives.
 
WRInaute discret
WebRankInfo a dit:
ne pensez-vous pas que l'exemple de bandeau fourni par Google pourrait suffire à calmer les ardeurs de la CNIL, même si ça ne respecte pas à la lettre leurs exigences (délirantes) ?

Cette méthode est pas un peu trop agressive ? car le site ne s'affiche pas tant que l'utilisateur n'a pas cliqué sur le bouton "Ok j'accepte" du coup des utilisateurs ne risquent t'ils pas de revenir en arrière et ne pas visiter le site ? Avec le rebond que cela implique ? Ou alors on peut espérer qu'ils s'habituent à voir ce message et que 90% cliquent mais comment savoir ?

N'est on pas obligé par la cnil de fournir un accès au contenu sans le dépot de cookie si l'utilisateur le refuse ? Et dans ce cas là solution google ne le permet pas.
 
Olivier Duffez (admin)
Membre du personnel
je parle de la "Barre de notification" indiquée sur https://www.cookiechoices.org/ qui ne servirait en réalité qu'à alerter l'internaute qu'il y a des cookies, mais qui ne demande pas l'autorisation de l'internaute.

je me dis juste qu'avec ça en place, la CNIL sera moins sévère que si on ne fait rien...
 
Nouveau WRInaute
@mxp59

Voir mon message #4. cookiechoices de Google offre 2 méthodes : le bandeau ou la fenêtre modale.
Le bandeau permet de continuer la navigation et reste affiché tant que l'internaute n'a pas cliqué sur OK/J'accepte/Fermer, alors que la fenêtre de dialogue cookiechoices ne le permet pas.
 
WRInaute occasionnel
WebRankInfo a dit:
je parle de la "Barre de notification" indiquée sur https://www.cookiechoices.org/ qui ne servirait en réalité qu'à alerter l'internaute qu'il y a des cookies, mais qui ne demande pas l'autorisation de l'internaute.

je me dis juste qu'avec ça en place, la CNIL sera moins sévère que si on ne fait rien...

C'est bien mon avis aussi. Pour bien faire les choses proprement c'est beaucoup trop compliqué pour la majorité des webmasters qui utilisent adsense ou analytics (sans imputer les revenus) !
et je me souviens de la fameuse immatriculation obligatoire des sites web il y a quelques année, est-ce que ca va se terminer de la même façon ?
 
WRInaute discret
@ Olivier
C'est la seule chose possible sans entrer dans une usine à gaz. Aucun des sites que j'ai vu ne fait mieux. En revanche il faut soigner la page qui décrit l'usage des cookies (d'ailleurs cela devait déjà apparaitre dans les mentions légales).

@mxp59
Si le site s'affiche sous le bandeau. Mais le bandeau ne doit pas être effacé tant que l'utilisateur ne clique pas sur le bouton "acceptation" et ceci même s'il change de page (comment? avec un cookie bien sûr :D ).
 
WRInaute discret
la CNIL c est français,
la règlementation bien qu'étant européenne n est a mon sens pas appliquée de la meme façon partout

je peux pas imaginer que notre Commission pour la vie privée ici en Belgique s acharne sur des sites.
Ils ont pas trop les moyens.

Je dis ca parce qu en Belgique on a une loi spécifique pour la vente d animaux. Cette loi ne peut pas être appliquée
pour une société basée hors de la Belgique. C est la plus haut gradée du SPF Economie qui me l a confirmé.

y a quelques mois je m etais aussi penché sur la question, j ai trouvé cette page bien informative
c est un exemple a suivre:
http://fr.meetic.be/misc/cookie.php

Si ce sont des cookies de session, qui servent pas a tracker l utilisateur sur des reseau de pub je pense
que c est pas grave. A mon avis ce qui est visé par la loi c est toutes ces société de retargeting qui vous fichent
et savent plus sur vous que vous même.

Sinon pour tout ce qui est Analytics. Piwik est semble t il la seule plate forme vraiment légale a 100%

Moi j ai essayé mais je trouve l interface moyenne. Je suis repassé a Xiti.
 
WRInaute discret
Sous le lien suivant un petit récapitulatif des applications par pays de la directive européenne sur les cookies. On y voit que la CNIL est parmi les plus jusquauboutistes. Pour la plupart des pays un accord tacite est suffisant, voire un simple rappel qu'on peut éviter ou supprimer les cookies par une action du navigateur (cf la Finlande, voire l'Allemagne où ce n'est cependant pas encore décidé).

Et chaque pays est sensé appliquer ses directives aux sites hébergés sur son territoire. De toutes façons pour nous français, si on est conforme à la CNIL, on ne risque pas d'être inquiété par d'autres pays :D .

http://www.musengeek.fr/Tips-Geek/LEGISLATION-Directive-Europeenne-sur-les-Cookies

PS: je n'ai pas vérifié les textes légaux pour chaque pays :oops: , mais ce qui est donné pour la France est assez cohérent avec les exigences de la CNIL.
 
WRInaute impliqué
Bonjour,

Après m'être renseigné auprès d'un juriste, ce serait legal d'indiquer à l'internaute qu'il accepte automatiquement les cookies en surfant sur le site. Cela s'appelle un accord tacite : il surfe donc accepte.

J'ai mis un bandeau d'info a la google sur mon site menant à un texte explicatif sur les cookies générés via mon site.

Concernant le fait de donner la possibilité à l'internaute de désactiver ou supprimer les cookies, je l'invite a le faire via son navigateur....
 
WRInaute accro
Dharius a dit:
Concernant le fait de donner la possibilité à l'internaute de désactiver ou supprimer les cookies, je l'invite a le faire via son navigateur....
De toute façon tu ne peux rien faire de plus dans le principe car tu ne peux pas agir sur des cookies tiers et rien ne t'oblige a ne pas utiliser de services tiers.
Si les tiens te servent juste a la gestion interne de ton site tu n'est pas concerné.

La vrai plaie a mon avis c'est analytics mais c'est pas nouveau il y a bien longtemps que ce produit qui donne toute sa force a GG aurait du être boycotté massivement par les acteurs du web ...

Désactiver le ciblage thématique de l'internaute au niveau d'adsense au profit du ciblage sémantique c'est encore une fois se plier devant le géant et faire le travail a sa place ... La CNIL et l'état en général doivent se donner les moyens de faire plier GG ou renoncer mais pas nous mettre entre eux et leur vrai problème.

Sinon je pense comme Olivier que délivrer un message informatif en plus des mentions légales qui le contiennent déjà depuis des lustres peut être une solution moyenne pour calmer le jeu.
 
WRInaute discret
Dharius a dit:
Après m'être renseigné auprès d'un juriste, ce serait légal d'indiquer à l'internaute qu'il accepte automatiquement les cookies en surfant sur le site. Cela s'appelle un accord tacite : il surfe donc accepte.

Même si je trouve que c'est à peu près la seule solution possible, je ne suis pas tout à fait d'accord avec ton juriste pour dire que c'est légal.

La loi dit: "La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service (l'accès au site internet par exemple)."

Dans le cas que tu décris, l'internaute doit quitter le site pour refuser le cookie, sinon il est considéré l'accepter tacitement. Ce qui est contraire à cette exigence légale.

On peut implémenter des solutions partielles (qui sont d'ailleurs les seules possibles), c'est la responsabilité de chacun. Cela peut calmer les ardeurs de la CNIL comme l'a dit Olivier. Et au final ce sera peut-être toléré.

Mais de grâce n'essayons pas de prouver que c'est légal quand cela ne l'est pas.
 
WRInaute impliqué
non, un utilisateur peut refuser les cookies avant d'aller sur n'importe quel site : il suffit qu'il configure son navigateur.
 
WRInaute discret
Dharius a dit:
non, un utilisateur peut refuser les cookies avant d'aller sur n'importe quel site : il suffit qu'il configure son navigateur.

La loi française dit aussi : "Le choix doit pouvoir être effectué pour chaque application et chaque site internet."

Or la configuration du navigateur s'applique à tous les sites. Et ne vas pas me dire qu'il peut reconfigurer à chaque site visité :!:

Mais d'autre pays d'Europe ont en effet accepté cette possibilité. Il ne reste qu'à émigrer.

Mais bon on peut ergoter article par article, alors si cela ne te dérange pas je vais en rester là sur cette polémique somme toute marginale.
 
WRInaute impliqué
Ok, je finirai par : en activant la navigation privée dans le navigateur, l'internaute peu choisir le site pour lequel il ne souhaite pas laisser de traces ;)
 
WRInaute occasionnel
Je m'intéresse de près à cette nouvelle législation, petit récap de ce qui est autorisé et ce qu'il ne l'est pas :
  • - Sauf gestion technique du site (panier, loadbalancing, connexion, ...) il faut obtenir le consentement AVANT la création du cookie,
    - Par cookie il faut comprendre tout ce qui permet d'identifier un internaute (fingerprint [donc stocké sur un serveur], cookie flash, stockage local, ...),
    - L'information doit être claire et rédigée en termes simples,
    - L'internaute doit pouvoir accepter ET refuser aussi simplement,
    - Le refus ne doit pas empêcher l'utilisation du site,
    - Le choix doit pouvoir ce faire indépendamment sur chaque site,
    - Le consentement doit être une action "positive", l'écrire dans les cgus n'est pas suffisant.

Mise en œuvre technique :
  • - La première page vue DOIT être sans cookie,
    - Le consentement est implicite dès la seconde page vue,
    - Le consentement est stocké dans un cookie pour 13 mois maximum (sans prolongation automatique lors des visites suivantes),
    - Le retrait du consentement doit être aussi simple que son acceptation.

Dans la pratique, la grande majorité des sites se contentent d'afficher un bandeau, ce n'est pas ce que demande la cnil, tout comme de se contenter de donner la procédure pour bloquer les cookies au niveau du navigateur (en plus de bloquer mme michu qui ne pourra plus se connecter sur la plupart des sites et qui ne comprendra pas pourquoi, ...).

Je trouve que l'objectif d'informer l'internaute sur ce qui est fait de ses informations est une bonne chose, reste aux principales régies de proposer une option (via une variables js?) pour bloquer temporairement les annonces ciblées et les cookies le temps d'obtenir le consentement.

----------------------------------------------

Sur mes sites j'ai mis en place un système répondant, à priori, à tous les critères et permettant de :
  • - Afficher un bandeau pour la première page vue avec un bouton pour personnaliser les cookies,
    - Afficher une boite de dialogue décrivant tous les services avec la possibilité d'autoriser ou de refuser,
    - Lors de l'acceptation, le marqueur est chargé immédiatement (chargement des pubs et des marqueurs de mesure d'audience sans rechargement de la page),
    - Autoriser tous les services pour 1an et les charger dès la seconde page vue si l'internaute ne fait rien,
    - Permettre aux internautes de modifier les réglages à tout moment.

Ce n'est pas idéal et il est évident que les stats en prennent un coup, mais c'est conforme.. Voir mon www pour tester.
Et si il y a des intéressés pour tester le système, je le mettrai à disposition ;)

@Dharius la navigation privée n’empêche absolument rien, ça empêche juste de stocker l'historique sur le pc mais transmet toujours autant d'infos aux sites.
 
WRInaute impliqué
@Amauri, donc si je cliques sur "Interdire", en gros, tu supprimes le code correspondant de la page, c'est ça ?

Par contre le message ne s'affiche qu'une fois... que se passe-t-il si l'internaute ne l'a pas lu ?
 
WRInaute occasionnel
Le grand bandeau ne s'affiche qu'à la première page, ensuite, un second petit bandeau en bas à droite permet de ré-ouvrir le boite de sélection.

Exemple avec adsense, le code par défaut est :
Code:
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<ins class="adsbygoogle"
     style="display:inline-block;width:336px;height:280px"
     data-ad-client="ca-pub-xxxxxxxxxxx"
     data-ad-slot="xxxxxxxxxx"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>

Pour faire passer ces annonces via mon système d'autorisation il suffit de supprimer la première ligne (le chargement du fichier adsbygoogle.js), c'est ensuite le système d’opposition (tarteaucitron.js ^^) qui s'occupe de le charger ou non.
En fonctionnant ainsi, les modifications à faire sur le site sont minimes.

Même fonctionnement pour les boutons sociaux, il suffit de supprimer la ligne chargeant le fichier javascript.
 
Nouveau WRInaute
@Amauri

C'est vraiment impressionnante ta réalisation qui effectivement répond à toutes les demandes contraignantes
de la CNIL.

Souhaits :
- ajout support de Xiti
- ajout de l'option d'afficher ou pas le petit bandeau Gestion des cookies en bas à droite
- mise à disposition du code sous forme d'un package indépendant avec minimum de dépendance et exemples d'utilisation
(fichier zip comme avec cookiechoices.org).
 
WRInaute discret
Bravo Amauri, cela me parait excellent et à priori tout à fait conforme aux exigences de la CNIL.

Je n'ai pas vu de pubs adsense sur ton site. Ça fonctionne bien en chargeant le script après coup ?

Je suppose qu'il faut que tous les scripts concernés soient asynchrones.

As-tu vérifié que tarteaucitron fonctionne bien avec tous les navigateurs (au moins IE, FF, Chrome et Safari)
 
WRInaute occasionnel
Merci à vous deux :D
Je suis en train de finir de tout mettre au propre et de rédiger une page pour recueillir vos demandes et détailler le fonctionnement (dispo en fin d'aprèm ;)).

Le script sera sans dépendance, multi-lingues (langues européennes pour commencer en-de-es-it-fr) et prenant en charges les principaux services.
 
WRInaute discret
C'est quoi ce guignol :mrgreen: . Un modo, SVP !

edit: il y avait un troll à virer. Bon c'est fait, merci
 
WRInaute discret
Le code n'est pas modifié. Simplement le script n'est rajouté à la page (et donc exécuté par le navigateur) que lorsque l'utilisateur accepte. Ensuite il s'exécute strictement comme google l'a spécifié, à la virgule près.
 
WRInaute discret
Je viens d'aller faire un tour sur ton site pour voir comment ça marche. Concrètement, cela implique la disparition complète des pubs ? Elles apparaissent lorsque l'on accepte à condition de recharger la page. Le risque de perdre un maximum de gain est énorme non ?
 
WRInaute discret
J'avais le même question. Que les pubs n'apparaissent pas tant qu'il y a pas accord, c'est normal.
En revanche faut-il réellement recharger la page pour qu'elles apparaissent lorsque le script est chargé ?

L'idéal serait que seules des pubs contextuelles (ne nécessitant pas d'accord préalable) apparaissent avant accord. Et que les pubs par centre d'intérêt ne soient autorisées qu'une fois l'accord obtenu (sur la page suivante). Ce serait un moindre mal pour les revenus. Mais pour cela il faudrait que le filtrage par centre d'intérêt fasse partie du script (comme c'est d'ailleurs le cas dans le script d'universal analytics par le paramètre ga('require', 'displayfeatures') Donc il faudrait que google offre aussi cette possibilité dans le script pour adsense.

Olivier, comment penses-tu qu'on pourrait demander ça ?

D'ailleurs dès maintenant ce pourrait être une amélioration du script tarteaucitron pour analytics. Jouer sur le paramètre du script 'displayfeatures' et non invalider totalement ga tant qu'il n'y a pas accord.
 
WRInaute occasionnel
Les services sont chargés dès le clic sur "Autoriser" ou si le visiteur ne fait rien, à la seconde page vue.
Il y a forcément une baisse du nombre d'impressions des pubs et des visiteurs non pris en compte par les services de mesure d'audience...
Plus d'infos et peut-être une première version téléchargeable demain : http://frnk.fr/tarteaucitron-js/ ;)
 
WRInaute discret
Amauri a dit:
Il y a forcément une baisse du nombre d'impressions des pubs et des visiteurs non pris en compte par les services de mesure d'audience...

Oui, et on peut assez facilement les estimer. Comme le bandeau n'est pas trop intrusif (sinon c'est la fuite directe assurée du visiteur), il est fort probable que l'acceptation se fera tacitement par passage à la page suivante.

Donc on peut considérer que le première page vue par le visiteur sera sans annonces et sans stats.

Perte de revenu : Les visites à une seule page ne généreront pas de revenu. Donc on peut s'attendre à un taux de perte de l'ordre du taux de rebond du site (Si l'on admet que les visites ont le même CTR quel que soit le nombre de pages vues ce qui n'est pas évident, je le reconnais). Cela risque de ne pas être négligeable !

Perte de statistique: toutes les visites à une page ne seront pas comptabilisée. Le pourcentage de perte en nombre de visiteurs comptabilisés est égal au taux de rebond. Le nouveau taux de rebond devient celui d'abandon à la deuxième page. C'est aussi une perte non négligeable en terme d'analyse.
 
WRInaute passionné
pas de stat sur la première page c'est donc pas de referer et de suivi de mots clé (même si l'info est de moins en moins dispo). Si en plus il faut se passer d'une partie des revenus ce n'est pas viable pour la plupart.

Pour les sites avec des visiteurs récurrents ce n'est peut-être pas un gros problème mais pour les autres surement.

Pour analytics il y a peut être moyen de le lancer non pas au chargement de la première page mais au clic sur un lien interne pour ne pas perdre les infos du referer.
 
WRInaute discret
Comme je l'ai dit précédemment, pour ce qui concerne analytics on peut contourner le problème d'absence de stats sur la première page.

En effet, toutes les stats fournies par analytics ne tombent pas sous le coup de la demande d'accord préalable. Les stats globales et générales ne sont pas soumises à accord. Seules les statistiques sur les performances démographiques et les centres d'intérêt le sont (elles donnent des infos sur le visiteur). Et ce qui est bien dans analytics c'est que l'on peut configurer le type de stats par une modification du script.
- ajout de la ligne de code ga('require', 'displayfeatures'); dans un script Universal Analytics
- remplacement de la ligne
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
par
ga.src = ('https:' == document.location.protocol ? 'https://' : 'http://') + 'stats.g.doubleclick.net/dc.js';
dans un script analytics classique.

Donc il suffit de lancer un script sans ces modifications pour la première page et le script modifié dès que l'accord est obtenu (dès le deuxième page).
Ainsi on conserve toutes les stats non ciblées utilisateur dès la première page.

Pour adsense ce n'est pas possible car l'élimination des annonces dont l'usage est sujet à accord (annonces à ciblage par centre d'intérêt) ne peut pas se faire par le script, c'est un paramètre du compte (donc applicable à tout bloc d'annonce).

Il faudrait donc que google modifie son script pour donner cette possibilité. A mon pauvre niveau, je n'ai pas les moyens de les sensibiliser au problème. Néanmoins si les revenus des éditeurs baissent suite à l'application de cette mesure de la CNIL, ceux de google baisseront aussi. Ce serait une stratégie win/win. Comme ils ne sont pas idiots surtout quand il s'agit de revenus, ils feront peut-être le même raisonnement dans un avenir plus ou moins proche.

Si, si, je sais que le Père Noël n'existe pas :D
 
WRInaute occasionnel
Bonne nouvelle pour le retour de vacances !

Amauri-> Ton intention est de publier le script .js une fois terminé ?
Je trouve cette loi contraignante, et je ne comprends pas pourquoi c'est imposé directement aux webmasters... en plus ça flingue l'ergonomie et l'aspect graphique des pages... (bien qu'amauri ait réussi a trouvé quelque chose de sympa).
 
Nouveau WRInaute
scroogle a dit:
même ces artifices ne sont pas légaux car il est possible de naviguer sur le site sans avoir donné le conscentement or la loi est assez claire (et dure)

r

C'est faux ! Arretons de diffuser de fausses idees !
la loi dit de ne pas poser de cookie a la première connexion, mais que si l'internaute poursuit sur une 2eme page il donne son consentement...

Lisez le dossier bandeau cookie de la CNIL avant de donner de fausses informations.

Cette loi emmer*e surtout les professionnels du e-marketing , mais saviez vous que les syndicats d'éditeurs recommandent a leurs adhérents de mettre le bandeau en continuant a poser des cookies ?
 
WRInaute discret
de toute façon moi je prône de ne pas respecter la loi avec laquelle vous êtes pas d accord :!:

Au moins ca créé de la jurisprudence et on sait ce que la justice en pense et comment le on doit interpréter ce que le législateur a écrit.

Ces lois sont faites pour les régies de pub. Vous tracassez pas. C est dans une autre sphère.
 
Nouveau WRInaute
Ajan a dit:
Comme je l'ai dit précédemment, pour ce qui concerne analytics on peut contourner le problème d'absence de stats sur la première page.

En effet, toutes les stats fournies par analytics ne tombent pas sous le coup de la demande d'accord préalable. Les stats globales et générales ne sont pas soumises à accord. Seules les statistiques sur les performances démographiques et les centres d'intérêt le sont (elles donnent des infos sur le visiteur).

Bonjour,

Durant mes recherches, je n'ai trouvé aucune affirmation de la CNIL qui confirme que "toutes les stats fournies par analytics ne tombent pas sous le coup de la demande d'accord préalable".

Avez-vous une source fiable qui confirme ce que vous attestez ?

Merci pour vos précisions.
 
WRInaute accro
Bonjour

Quid des anti-aspirateurs de site, qui sont obligés de mémoriser les adresses ip à bloquer ou débloquer le cas échéant ?

Je comprendrais très bien qu'un panier ( ou autre moyen de suivi de navigation ), donne lieu à des mémorisations du hash-code de l'adresse ip remote ( au lieu de l'adresse ip ), mais si avec l'anti-aspirateur, on veut redonner accès à son site, il faut bien avoir l'ip ?

Quid des sites qui vont être pompés à mort ?

Et... Pour les courses passées, je détecte si le visiteur est un robot de moteur recherche ( avec le reverse pas mémorisé ), et aussi je mémorise ( dans mon anti-aspirateur amélioré ), les reverse des adresses ip. Cà c'est terminé je suppose ?

Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo
 
Nouveau WRInaute
Bonjour,

J'aimerais avoir votre avis concernant la fonctionnalité anonymizeIp dans Google Analytics, l'activation de cette fonction peut-elle dispensé le consentement de l'internaute ?

Voici l'explication de la fonction : https://support.google.com/analytics/answer/2763052?hl=fr

Si on suit les directive de la CNIL, il ne faut pas que l'on puisse géolocaliser l'internaute, cette fonction permet l'anonymisation des adresses IP, comme le fait Piwik.

Il suffirait juste de créer une fonction permettant de stocker les cookies 13 mois maximum et une page permettant de s'opposer aux cookies d'analyse et tout serait en règle :D .

Qu'en pensez-vous ?
 
WRInaute discret
Désolé cette réponse va être un peu longue, mais le sujet en vaut la chandelle.

Gefigram-83 a dit:
Durant mes recherches, je n'ai trouvé aucune affirmation de la CNIL qui confirme que "toutes les stats fournies par analytics ne tombent pas sous le coup de la demande d'accord préalable".

Non bien sûr vous ne trouverez pas une affirmation aussi claire sur le site de la CNIL (il ne faut pas réver quand même et il est sûr qu'Analytics n'est pas conforme par défaut). Néanmoins il me semble qu'on peut le configurer de telle sorte qu'il le soit. C'était l'objet de ma remarque.

En revanche ce qui est clair sur le site de la CNIL c'est la liste des contraintes qu'un cookie doit satisfaire pour être dispensé d'approbation préalable:

- L'éditeur du site doit délivrer une information claire et complète ;
- Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tout types de terminaux (y compris les smartphones et tablettes).
- Les données collectées ne doivent donc pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple).
- Le cookie déposé doit servir uniquement à la production de statistiques anonymes.
- Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
- L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
- Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite.

Les deux premiers points sont servis par l'affichage d'un bandeau adéquat avec lien sur une page d'explication et bouton d'opposition.

Le troisième et la quatrième concernent le post traitement et non le cookie proprement dit. Néanmoins si le cookie de donne que des information anonymes c'est mieux.

Les trois derniers concernent les cookies proprement dits.

Analytics (Classique et Universal analytics) gère 5 cookies:
_utma - durée de vie 2 ans - Gère l’identification du visiteur et permet de déterminer s'il s'agit d'une première visite ou non.
_utmb - durée de vie 30 minutes - Gère les données relatives à la session du visiteur. Il est conservé 30 mn, ce qui correspond au time-out par défaut d'une session. Toute page visitée dans ce laps de temps est considérée appartenir à une même session et le time out est réarmé.
_utmc - durée de vie session - Fonctionne avec utmb
_utmv - durée de vie 2 ans - Ce cookie est posé en cas d’utilisation de la fonction utmSetVar qui permet de segmenter les visiteurs
_utmz - durée de vie 6 mois - Gère les informations de provenance de l’internaute, en particulier la source de la visite et les compagnes de pubs.

On voit évidemment que par défaut ces cookies ne sont pas conformes aux exigences (durée de vie, traçage inter-site par le biais des campagnes, IP complète, etc.)

Ce que je disais dans le post précédent c'est qu'il existe des paramétrages et des fonctions du script permettant de les rendre conformes (les exemples donnés concernent le script Universal analytics, le script classique ayant des paramétrages moins puissants, une raison de plus pour passer à UA pour ceux qui ne l'on pas encore fait).

Le plus critique est évidemment _utmz, mais il existe différentes manière de le paramètrer.
_setCampaignTrack(bool) fonction qui positionnée à false inhibe le tracking et la création ou la mise à jour du cookie _utmz
_setCampaignCookieTimeout(cookieTimeoutMillis), paramètre la durée de vie du cookie en millisecondes. 0 signifiant que le cookie est détruit à la fermeture du navigateur.

Pour le cookie _utma, la durée de vie par défaut est de 2 ans, donc non conforme.
_setVisitorCookieTimeout(cookieTimeoutMillis) permet de paramétrer la durée de vie en millisecondes. 0 signifiant que le cookie est détruit à la fermeture du navigateur.
Cette modification peut entrainer la non reconnaissance de retour d'utilisateurs. Davantage de nouvelles visites par rapport aux retours.

_utmb et _utmc sont des cookie de session, donc normalement autorisés.
Néanmoins, _setSessionCookieTimeout(cookieTimeoutMillis) permet de paramétrer la durée de vie du cookie _utmb en millisecondes. 0 signifiant que le cookie est détruit à la fermeture du navigateur.
Cette modification peut entrainer la détection de plusieurs sessions pour une même visite.

Enfin la fonction _anonymizeIp() permet de supprimer les 2 derniers octets des IP tracées.

En appliquant ces différents paramétrages, il me semble que l'usage d'Universal Analytics est conforme aux exigences de la CNIL, au moins pour la première page avant d'obtenir l'accord tacite.
 
WRInaute accro
Bonjour Ajan

Je ne sais pas du tout fixer ces paramètres UA dans le script.

J'aurais besoin d'un exemple de script pratique.

Et puis... Théoriquement Google devrait adapter prochainement de lui-même ( ou donner aux webmasters la possibilité de les paramétrer dans son interface UA ) ces paramètres UA ?

Je n'ai pas trop regardé dans le paramétrage de l'interface de UA.

J'ai désactivé hier les statistiques personnelles des visiteurs par l'interface UA.

Et puis aussi : Est-ce que les anti-aspirateurs sont encore légaux ?

Merci beaucoup de ta réponse.

Respectueusement.

Jean François Ortolo
 
Nouveau WRInaute
Ajan a dit:
Non bien sûr vous ne trouverez pas une affirmation aussi claire sur le site de la CNIL (il ne faut pas réver quand même et il est sûr qu'Analytics n'est pas conforme par défaut). Néanmoins il me semble qu'on peut le configurer de telle sorte qu'il le soit. C'était l'objet de ma remarque.

Merci pour vos précisions.
Je comprends mieux votre remarque et je reconnais que vos explications sont plutôt convaincantes. Je rentrerai dans les détails de vos explications rapidement pour en être parfaitement sûr et éventuellement appliquer votre recommandation.

Ce qui m'étonne c'est que la CNIL préconise l'utilisation de PIWIK avec un léger changement de paramétrage, je cite :

A ce jour, l'outil Piwik est pour le moment le seul service d'analytics qui ne requiert qu'un léger paramétrage pour être conforme à la réglementation.

Selon vos explications, un léger changement de paramétrage rend donc conforme Analytics. Étonnant que la CNIL ne le préconise pas. C'est d'autant plus étonnant que la solution Analytics est bien plus répandue que la solution Piwik !!?

Si le cœur vous en dit, n'hésitez pas à nous montrer un marqueur Analytics adapté selon vos recommandations :wink:.
 
WRInaute accro
Gefigram-83 a dit:
Si le cœur vous en dit, n'hésitez pas à nous montrer un marqueur Analytics adapté selon vos recommandations :wink:.


Bonjour Monsieur

Surtout : Commet détecter que l'on n'est plus sur la première page ?

En core une question stupide que je fais, puisque le script tarteaucitron.js le fera, mais je suis intéressé par la faisabilité technique (les moyens quoi ).

Merci beaucoup pour votre réponse.

Respectueusement.

Jean François Ortolo
 
WRInaute discret
Je vais créer un exemple de script commenté avec ces divers paramètres et fonctions mis en œuvre.
Comme ils sont tous indépendants, il suffira à chacun de faire son marché en fonction de la conformité qu'il cherche à atteindre et des impacts sur les statistiques qu'il est près à assumer.

@ J.F. Ortolo. Pour les aspirateurs de sites, je ne me suis pas penché sur la question.
Mais ce que la CNIL cherche à protéger par cette loi, ce sont avant tout les utilisateurs, et en particulier les plus inexpérimentés. Les autres savent déjà à quoi s'en tenir et prennent tout seuls les disposition adéquates.
AMHA, la CNIL ne vise pas protéger les robots, et sans doute pas les pompeurs de sites. Alors je dirais que le risque est faible d'avoir des problèmes à ce sujet. Mais cela n'engage que moi.

@gefigram-83. Google n'est pas vraiment un ami de la CNIL ni de la Commission Européenne d'où émane ce règlement. Il y a déjà eu des contentieux sur plusieurs points dont certains ne sont pas résolus. Ce n'est pas étonnant qu'ils ne cherchent pas à promouvoir GA, ni à faire le boulot de Google à sa place.
 
WRInaute accro
Ajan a dit:
ortolojf a dit:
Surtout : Commet détecter que l'on n'est plus sur la première page ?

Avec un cookie ! Comme quoi il y a cookie et cookie. :D


Bonjour Monsieur

Ok, je suis parfois faible de la bulbe. ;)

Et... J'ai un cookie de session ( SES ), donc pas de problème.

Je vais alimenter une variable globale indiquant si première page ou non.

Et puis... J'ai une variable de session ( AFFIC, valable pendant une visite ), mémorisant les préférences de l'utilisateur pour l'affichage ( ou pas d'affichage ) des Graphiques des Courses Passées.

Je suppose que cette variable n'est pas concernée ?

A part çà, je m'apprête à convertir toutes mes mémorisations d'adresses ip, en leur hash code.

A partir des hash codes, impossible de retrouver les adresses ip.

Ceci pour le panier ( éventuel ou futur, mon site n'est pas payant ).

Pour ce qui est de l'anti-aspirateur, je vais vérifier la possibilité de supprimer la gestion/mémorisation des reverse.

En fait, pour les reverses, je ne mémorise que les expressions rationnelles des reverse à filtrer ( accepter/refuser ), et le traitement des reverses est instantané et non mémorisé.

C'est pour un filtrage préalable, avant le filtrage par adresses ip.

Je pense que je pourrai remplacer la gestion des ip, également par des hash codes.

Dans ces conditions, il ne devrait pas y avoir de problème ?

J'ai fait un premier audit des tables MySQL et traitements à modifier.

Il me reste à faire la chasse aux cookies ( panier + cookies nécessaires au fonctionnement de mon site, théoriquement exonérés ).

Je verrai après avec ton script pour les éléments tactiles ( Twitter + Google+ et Facebook ), et aussi pour l'interface de refus/permission des visiteurs.

Super merci pour ton script. ;)

Très respectueusement.

Jean François Ortolo
 
WRInaute discret
C'est anecdotique, mais par curiosité j'ai cliqué sur le lien Piwik sur la page de la CNIL qui recommande cet outil d'analyse de trafic comme le seul conforme à leurs directives moyennant une configuration légère. Quelle ne fut pas ma surprise de tomber sur un site intégralement en anglais, sans apparemment aucun moyen d’accéder à une version française.

Personnellement la langue de Shakespeare ne me gène pas, mais de la part d'un site officiel français, qui plus est dédié à des réglementations légales, ce type de lien est assez étonnant. J'ai connu un temps (peut-être pas totalement révolu du reste) où cela aurait pu être tout à fait opposablet.

Après cette petite parenthèse, j'y retourne...
 
WRInaute accro
Bonsoir

J'ai modifié mon anti-aspirateur ( que des hash code, pas de reverse ), je vais tester.

Respectueusement.

Jean François Ortolo
 
WRInaute impliqué
Bonjour à tous,

Concrètement, quelqu'un pourrait me dire si les modifs à apporter pour mes 2 sites sont ok ?

* 1er site :
- Double système de login (2 cookies login + 2 cookies session) 2 ans de longévité => les ramener à 13 mois
- Cookie pub Adverline => rien faire ??
- pas de GA

* 2èle site :
- Système de login (1 cookie login + 1 cookie session + 1 cookie session hash-sécurité) de 1 an => rien faire.
- Cookie pub Adsense => rien faire ??
- pas de GA
- Cookie d'options de 1 an filtrant certains éléments à afficher. informations non enregistré sur le serveur, modifiable à tout moment par le client. => rien faire ??
 
WRInaute discret
Topsitemaker a dit:
- Cookie pub Adverline => rien faire ??
- Cookie pub Adsense => rien faire ??

Pour Adverline, je ne sais pas, je ne connais pas cette régie.

Pour adsense, ne rien faire, oui à condition de ne pas utiliser de ciblage par centres d'intérêt (à inhiber dans l'admin du compte, mais attention il y aura surement baisse de revenu, les annonces ciblées ayant généralement un CPC supérieur).
 
WRInaute discret
Comme convenu voici un exemple de script (script ga.js) de l'analytics classique. Pour Universal Analytics (script analytics.js), voir plus loin.

Code:
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXXX']);
_gaq.push(['_setDomainName', 'yourdomain']);
_gaq.push(['_setCampaignTrack', false]);
_gaq.push(['_setCampaignCookieTimeout',2592000000]);
_gaq.push(['_anonymizeIp', true]);
_gaq.push(['_setVisitorCookieTimeout',34128000000]):
_gaq.push(['_setSessionCookieTimeout', 900000]):
_gaq.push(['_trackPageview']);

(function() {";
  var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;

  ga.src = ('https:' == document.location.protocol ? 'https://' : 'http://') + 'stats.g.doubleclick.net/dc.js';
  var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);})();
</script>

Les configurations décrites dans mon long post précédent en page 5 résident dans les lignes _gap.push 3 à 7. Elles ne sont pas toutes à utiliser en même temps car certaines sont redondantes.
Le détail:
Ligne 3: Inhibe totalement les tracking de campagnes publicitaires et la pose du cookie _utmz
Ligne 4: Moins drastique que la précédente, elle limite simplement la durée de vie du cookie _utmz à 1 mois (valeur en millisecondes !). La valeur par défaut est 6 mois, La CNIL donne un délai de 13 mois max, mais s'agissant d'un cookie très critique, minimiser sa durée de vie est sans doute une bonne chose. La bonne pratique est de la limiter à la durée effective des campagnes. Une valeur à 0 limite la durée de vie du cookie à celle de la session du navigateur.
ligne 5: Commande au script de forcer à 0 le dernier octet de l'IP du visiteur (géoloc moins précise)
ligne 6: Limite la durée de vie du cookie principal _utma . Ce cookie identifie de manière unique le visiteur. La durée de vie par défaut est deux ans, ramenée ici à 13 mois (en ms), limite fixée par la CNIL.
ligne 7: Limite la durée de vie du cookie de session _utmb. Valeur par défaut 30 mn. Il est rare qu'un visiteur passe autant de temps sur un site, on peut donc la baisser, ici fixée à 15mn. Noter que cette ligne est facultative, ce cookie de session n'étant pas critique pour la CNIL.

Pour Universal Analytics, (script analytics.js), c'est plus simple.

Code:
<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;
  i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();
  a=s.createElement(o), m=s.getElementsByTagName(o)[0];
  a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-XXXXXX','YourDomain',{'cookieExpires':34128000});
  ga('set', 'anonymizeIp', true);
  ga('send', 'pageview');
</script>

Ne sont concernées que les lignes 'create' et 'set'
Contrairement à Analytics, UA ne crée qu'un cookie de nom _ga, qui ne contient qu'une identification unique du visiteur. Bien que le codage soit différent, il joue le même rôle que le cookie _utma d'Analytics. Et il a la même durée de vie par defaut: 2 ans.
Le dernier paramètre de la ligne 'create' limite la durée de vie de ce cookie à 13 mois (cette fois exprimé en secondes !)
La ligne 'set' permet de mettre à zero le dernier octet de l'IP de l'agent visiteur (même rôle que _anonymizeIp ci-dessus).

Je disais que c'était plus simple, mais en fait non car UA est un système server centric, il y moins de choses dans les cookies, mais le gros de l'affaire se passe côté serveur (donc chez Google). Une partie de la configuration qui se faisait par le script dans Analytics se fait dans l'admin du compte pour UA.

Ainsi pour configurer la durée des campagnes et de session, il faut passer par l'admin du compte.
dans la colonne centrale 'Propriétes' aller à 'Informations de suivi' puis 'Paramétres de Session'. Vous avez un panneau permettant de régler les durées de campagne et de sessions. Vous noterez que les valeurs par défaut sont les même que les durées de vie des cookies _utmz et _utmb. Mais nul besoin de les changer pour faire plaisir à la CNIL puisqu'il ne s'agit plus de cookies.

Vous pourriez en déduire que UA est moins dans le collimateur de la CNIL puisqu'il fait beaucoup moins appel aux cookies. Ce serait rester à la surface des choses car UA est beaucoup plus opaque du point de vue de la confidentialité qu'Analytics.

En effet, le protocole de mesure entre le script et le serveur est beaucoup plus puissant et grâce au SDK correspondant il offre au développeur de site la possibilité d'exporter des données côté serveur permettant d'élaborer des statistiques puissantes mais qui peuvent également hérisser le poil de la CNIL.

En particulier concernant cette exigence:
- Les données collectées ne doivent donc pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple).

D'ailleurs Google ne s'y est pas trompé puisqu'il a inclus cette clause dans les règles d'utilisation du kit
Toutes les applications utilisant le protocole de mesure, les kits de développement logiciel et le paramètre User-ID doivent respecter les règles suivantes :

Vous devez vous assurer de disposer de toutes les autorisations pour utiliser ce service, importer des données et les utiliser avec votre compte Google Analytics.
Vous informerez correctement les utilisateurs finaux des mises en œuvre et fonctionnalités de Google Analytics que vous utilisez (par exemple, concernant les données que vous collecterez via Google Analytics et la possibilité d'associer ces données à d'autres données en votre possession sur l'utilisateur final). Vous obtiendrez l'autorisation des utilisateurs finaux ou vous leur offrirez la possibilité de désactiver les mises en œuvre et fonctionnalités que vous utilisez.
Vous n'importerez pas de données permettant à Google d'identifier personnellement un individu (tels que des noms, des numéros de sécurité sociale, des adresses e-mail ou des données similaires). Vous exclurez également les données qui permettent d'identifier de façon permanente un appareil spécifique (par exemple, l'identifiant unique d'un téléphone mobile s'il est impossible de le réinitialiser), même sous forme cryptée.
Si vous importez des données permettant à Google d'identifier personnellement un individu, nous pouvons être amenés à désactiver votre compte Google Analytics et vous risquez de perdre vos données Google Analytics.
lien: https://developers.google.com/analytics/devguides/collection/protocol/policy

Si vous n'utilisez pas le SDK ou si vous l'utilisez conformément à cette exigence, no problem.
 
WRInaute occasionnel
Avec un peu de retard, la tarte au citron est cuite ! :) https://opt-out.ferank.eu/fr/
Il me reste à ajouter des modules pour que le script soit le plus complet possible, pour ça, j'ai juste besoin du marqueur html (vous pouvez me l'envoyez par mp en prenant soin de modifier tous les identifiants par xxxx).

2 fonctionnalités supplémentaires :
- Chargement des modules dès que le visiteur clique sur Autoriser,
- Affichage d'un lien alternatif pour les boutons de partage sur les réseaux sociaux (https://opt-out.ferank.eu/test.html).

Le projet est sur github, n'hésitez pas à contribuer ! https://github.com/AmauriC/tarteaucitron.js
 
WRInaute discret
Amauri a dit:
Avec un peu de retard, la tarte au citron est cuite ! :)

Beau travail Amauri ! Ce script est déjà très complet. Une belle contribution pour la communauté.

Tu devrais te faire sponsoriser par la CNIL :wink:

Néanmoins, même une fois l'autorisation de l'utilisateur obtenue, il reste nécessaire de limiter la durée de vie des cookies à 13 mois. En particulier ceux d'Analytics (_utma et_ga) dont la durée de vie par défaut est 2 ans. Voir mon post ci-dessus pour détails. Sinon il faudrait dans ton script détruire les cookies 'first party' d'Analytics (je n'ai pas vu si tu le faisais). Ainsi la durée de vie de tous les cookies serait limitée par celle du cookie d'autorisation tarteaucitron.

Je n'ai pas étudié en détail les cookies tiers des autres services, peut-être y en a-t-il qui posent le même problème de durée de vie. Mais comme il s'agit probablement de cookies tiers, il serait impossible de les détruire par le script...
 
WRInaute occasionnel
Bientôt il faudra un master en informatique pour être en règle :)

Sur le site du script, on ne peut pas tester le passage à la page 2, actualiser la page ne fonctionne pas.
Au moment du passage à la page 2, tous les boutons passent en vert ?
Le script semble très bien, j'ai juste peur que ce soit "trop" facile de refuser.
 
WRInaute occasionnel
Ajan a dit:
il reste nécessaire de limiter la durée de vie des cookies à 13 mois
Tu es sûr ? Le cookie de consentement ne doit pas excéder 13 mois (pour éviter le stockage d'un consentement positif pour x années) mais je ne vois rien sur les autres.

Dans tous le cas ce n'est pas une mauvaise chose de diminuer sa durée de vie, surtout que la date d'expiration est remise à 2 ans à chaque appel du script.. Je vais faire la modif ;)

[Edit] J'ai modifié la page de test, ajout d'un lien pour simuler la navigation + possibilité de supprimer le cookie pour retourner à la demande de consentement : https://opt-out.ferank.eu/test.html
 
WRInaute accro
Bonjour

Uniquement pour le panier, et conservation des connexions des clients :

Je suppose qu'il est obligatoire de ne mémoriser que le hash code des adresses ip, et non pas les ip ?

Et puis... Pour un panier spécifiquement, est-il possible de mémoriser les adresse email ?

Celà est nécessaire, pour pouvoir reconnaître des clients en cas de réclamation/impossibilité de se connecter, etc...

Celà ne concerne que la logistique de paiement de mon site partenaire ( http://---.lescourses.com ), et autre site ( http://---.lespronostics.com ) du Directeur de mon site partenaire.

Eventuellement aussi la logistique de paiement de mon site, si celui-ci devient payant ( peu probable ).

Autre question :

Est-il obligatoire, de demander la permission du visiteur, pour poser un simple cookie de session, type $_COOKIE['PHPSESSID'] ?

Celà conditionne tout le fonctionnement de ces sites, et aussi du mien ( voir profil ).

Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo
 
WRInaute accro
Le soucis avec cette nouvelle législation, c’est qu'un grand nombre d'utilisateurs ne se préoccupent même pas du bandeau d'avertissement. Résultat nos revenus adsense, nos like et le suivis de nos stats vont en prendre un sacré coup.

Et pour ceux qui se préoccupent de ce bandeau d'avertissement, ça leur ajoute x clics supplémentaires pour pouvoir visiter correctement un site. Tout ceci multiplié par le nombre de sites qu'ils visiteront et qui demanderont les mêmes confirmations.

C’est au niveau des navigateurs ou éventuellement aux services (adsense, facebook etc.) de mettre en place un système qui afficherait une demande d'accord sur chaque sites éditeurs sans qu'on est besoin de s'en préoccuper. D'autant plus que ce sont ces derniers qui collectent réellement les informations privés.

En gros des millions de sites qui devront se mettre à jour alors qu'il suffirait que la poignée de navigateurs mettent en place un système conforme.

Encore un élément qui va compliquer notre travail, ajouter encore x scripts sur nos pages et chambouler nos revenus, stats , voir visiteurs. Comme si on avait besoin de ça...
 
WRInaute accro
Ajan a dit:
Pour adsense, ne rien faire, oui à condition de ne pas utiliser de ciblage par centres d'intérêt (à inhiber dans l'admin du compte, mais attention il y aura surement baisse de revenu, les annonces ciblées ayant généralement un CPC supérieur).
bizarrement, sur mes sites c'est le contraire : un meilleur ecpm sur le thématique. le cpc moyen supérieur de plus de 50% mais le CTR est à environ 30% de celui du thématique
donc rester sur du thématique devrait m'être favorable
 
WRInaute occasionnel
@ortolojf Pour la gestion de vos sites vous pouvez stocker tout ce que vous voulez (ip, email, cookie, ...). Heureusement!
Seule condition, déclarer à la cnil (via le déclaration simplifié 48) les fichier clients que vous utilisez.
Même chose pour les cookies de sessions et de panier, pas besoin d'obtenir de consentement.
 
WRInaute discret
Amauri a dit:
Tu es sûr ? Le cookie de consentement ne doit pas excéder 13 mois (pour éviter le stockage d'un consentement positif pour x années) mais je ne vois rien sur les autres.

"Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite."
sur cette page: http://www.cnil.fr/vos-obligations/.../outils-et-codes-sources/la-mesure-daudience/
C'est le cas de _utma et _ga pour analytics.
 
WRInaute discret
Leonick a dit:
bizarrement, sur mes sites c'est le contraire : un meilleur ecpm sur le thématique. le cpc moyen supérieur de plus de 50% mais le CTR est à environ 30% de celui du thématique
donc rester sur du thématique devrait m'être favorable

Cela dépend sans doute de la thématique. Si ta thématique est porteuse en tant que telle, son ecpm est bon. Pour ceux qui sont sur une thématique moins bonne intrinsèquement, le ciblage par centre d'intérêt permet de raffuter des annonces d'autres thématiques avec un meilleur rendement.
 
WRInaute accro
Si on ne peut pas utiliser analytics (et autres outils de statistique) sans le consentement des utilisateurs, comment avoir un contrôle sur les IP et visiteurs douteux?
Avec analytics j'avais pu identifier un grand nombre de visites d'un Pays Y avec des taux de rebond de 100% et des temps de visites de 0s. Avec cette nouvelle législation ça ne sera plus possible.
 
WRInaute occasionnel
un grand nombre d'utilisateurs ne se préoccupent même pas du bandeau d'avertissement
A la limite tant mieux (pour un éditeur adsense) il vaut mieux un passage à la page 2 plutôt qu'un passage sur la page de configuration des cookies.
Ceci dit je suis d'accord, le navigateur devrait gérer ça. Encore une décision mal mesurée des pouvoirs publics concernant internet.
 
WRInaute accro
Doubrovski a dit:
A la limite tant mieux (pour un éditeur adsense) il vaut mieux un passage à la page 2 plutôt qu'un passage sur la page de configuration des cookies.

Bin non pas vraiment, vu qu'on est sensé activer les différents services tiers uniquement après accord du visiteurs. Si il n'accepte nulle part, qu'ils visitent d'autres pages du site ou non, on reste obligé de bloquer ces services.
Il faut donc que la plupart s’intéresse à ça et autorise les cookies. C’est pas gagné.

Quoi qu'il en soit si tout le monde l'applique, non seulement ca risque de faire mal aux sites éditeurs mais également a adsense.
ca pourrait également sonner le glas de la "publicité comportementale" en europe.
 
WRInaute occasionnel
@Ajan ça c'est pour se passer du consentement, GA ne satisfait pas à tous les critères, spécialement "Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tout types de terminaux (y compris les smartphones et tablettes).", pour le moment, le seul moyen de s'opposer à GA globalement est d'installer une extension navigateur...
 
Discussions similaires
Haut