Archives par mot-clé : Cookies

Cookies : le consentement des internautes doit se faire directement sur le site web, exige la Cnil

Publié le par

Selon nos informations, la Cnil demande aux professionnels de la publicité sur Internet et du marketing direct de ne pas déposer de cookies publicitaires lors
de la première visite des sites web, tant que l’internaute n’a pas poursuivi sa navigation, ni d’en déposer lors de la lecture d’e-mails.

Il y a près d’un an, en avril 2012, la puissante Union française du marketing direct et digital (UFMD) – regroupant plusieurs organisations et associations de la publicité ou du e-commerce (1) – publiait un « Guide de bonnes pratiques concernant l’usage des cookies publicitaires » destinés aux professionnels et au grand public (2).

Option directement sur le site web
Mais ce guide ne satisfait toujours pas la Commission nationale de l’informatique et
des libertés (Cnil) qui a décidé de poursuivre les négociations engagées avec l’UFDM depuis l’été dernier, en prévision de l’adoption d’ici la fin de l’année du règlement européen. Ce dernier prévoit le renforcement de la protection des données personnelles sur Internet. Les deux protagonistes, tous deux créés en 1978 (3), n’arrivent toujours pas à s’entendre sur la manière dont les internautes et les mobinautes devraient être informés sur les cookies publicitaires et sur les modalités leur permettant de donner ou pas leur consentement. La Cnil considère en effet que le guide de l’UFDM ne respecte pas ses exigences et l’a fait savoir par courrier à cette dernière. L’autorité administrative de la rue Vivienne, qui appuie la Commission européenne dans son projet de rendre obligatoire le consentement explicite préalable des utilisateurs avant tout dépôt de cookies publicitaires, veut durcir les conditions d’utilisation de ces petits mouchards numériques par les professionnels d’Internet.
Concrètement, selon nos informations, la Cnil demande à l’UFMD d’amender son guide
en faisant en sorte que les internautes et les mobinautes aient le choix de dire « oui »
ou « non » aux cookies directement sur le site web de l’éditeur, et non pas à partir du paramétrage souvent compliqué de leur navigateur Internet, ni à partir d’un site intermédiaire de type Youronlinechoice.
Depuis septembre dernier, l’UFMD avait bien instauré l’affichage d’un message informant l’internaute – lors de sa première visite sur un site web – qu’il accepte les cookies de ce site s’il y poursuit sa navigation. Mais pour exprimer son consentement ou pas, l’utilisateur est toujours renvoyé à son navigateur ou à un site tiers. Jusqu’alors bienveillante, la Cnil a clairement dit au cours d’une réunion avec les professionnels de la communication le 17 janvier dernier qu’elle voulait voir simplifier et clarifier cette démarche en exigeant que les éditeurs donnent le choix à l’internaute directement sur leurs sites web. Or les éditeurs sont plutôt réticents à mettre en place ce dispositif, dont ils auraient en plus à assumer les frais d’installation, et à donner systématiquement sur leur home page une information sur les cookies. Et ce, comme le font déjà certains sites anglo-saxons qui affichent d’emblée la mention suivante, comme nous l’avons ainsi constaté en haut de la page d’accueil du site web par exemple : « Nous utilisons des cookies pour assurer que nous vous donnons la meilleure expérience sur notre site web. Nous utilisons aussi des cookies pour être sûr que nous vous vous montrons de la publicité pertinente pour vous. Si vous continuez sans changer vos options, nous supposerons que vous êtes heureux de recevoir tous les cookies sur le site web de la BBC. Cependant, si vous le vouliez, vous pouvez changer [ici] vos options de cookie à tout moment ». S’inspirant de cette pratique visible et simple, la Cnil souhaite que les cookies ne soient pas déposés dans l’ordinateur ou le terminal de l’utilisateur tant qu’il n’a pas continué à visiter le site web en question. Et lorsqu’il s’agit d’un e-mail publicitaire, la Cnil souhaite là aussi de la retenue : elle demande aux éditeurs de ces e-mailings de ne pas déposer de cookies lors de la phase de lecture de l’e-mail. Certains éditeurs, notamment au sein du Groupement des éditeurs de services en ligne (Geste), s’inquiètent du changement d’attitude de la Cnil à leur égard. « Les projets des eurodéputés [présentés le 10 janvier dernier, ndlr] précisent les modalités d’exercice, gratuit, du droit d’opposition qui doit être proposé en termes clairs et simples par les responsables de traitement, et d’expression du consentement qui devra être donné de manière explicite, notamment en matière de profilage », a déclaré Isabelle Falque-Pierrotin, la président de la Cnil, dans une récente interview (4) à EM@. Avant de mettre en garde : « La publicité ciblée en ligne est licite à condition que l’internaute y
ait expressément consenti ».

En attendant le durcissement européen
Autant dire que la Cnil est sur la même longueur d’onde que la Commission européenne. « Les consommateurs ont le droit (…) de choisir s’ils souhaitent utiliser des cookies, qui pistent leur utilisation de l’Internet », déclarait Neelie Kroes dans Libération le 16 janvier. Mais pour l’heure les éditeurs semblent vouloir faire durer les négociations avec l’autorité, en se retranchant derrière la seule loi applicable (5) actuellement en France sur les cookies. @

Charles de Laubier

Les cookies sont-ils mortels ?

Publié le par

L’actualité bruisse à nouveau de vives discussions sur le statut des cookies, ces fichiers textes de faible taille (4 Ko environ) transmis par les serveurs pour être mémorisés par le navigateur de l’internaute. Des abus auraient été signalés faisant état d’une nouvelle génération de cookies visant à les détourner de leur fonction initiale. Comme en 2011, année où apparurent des « bittersweet cookies » (cookies doux-amers), il s’agit pour leurs développeurs de proposer, plus ou moins furtivement, des cookies permettant d’identifier l’utilisateur de manière persistante. Des cookies de plus en plus dévoreurs de données, cela pose en effet la question de leur nature même et plus largement du droit des internautes à contrôler la diffusion et la conservation de leurs traces sur le Net. Les cookies sont aussi vieux que l’Internet : ils étaient déjà utilisés
en informatique, sous le terme de « magic cookies », avant que deux ingénieurs de Netscape n’aient l’idée de les intégrer, dès 1994, dans le pionnier des navigateurs.
A l’époque, les cookies visaient très simplement à savoir si les visiteurs de Netscape étaient déjà venus auparavant. Puis, cette modeste innovation fut promise à un grand destin. A la base de services en ligne indispensables, les cookies sont de plus en plus souvent vécus comme intrusifs. Or nous nous passerions difficilement de ces discrets serviteurs, lesquels simplifient notre vie sur la Toile. Pour la gestion de nos sessions,
il est en effet bien plus rapide de ne pas avoir à s’identifier à chaque retour sur les mêmes sites. Ce petit « mouchard » enregistre également nos préférences et la configuration de notre ordinateur. Les services apportés en termes de personnalisation sont en revanche plus ambiguës, telles les publicités vues, pour lesquelles la présence du cookie permet de ne pas proposer indéfiniment la même bannière à l’internaute.

« Consentement préalable (opt-in) : l’édifice, encore
fragile, de la pub en ligne – au sommet duquel trône Google – en fut ébranlé, mais la profession s’y résigna ».

Les problèmes ont surtout commencé avec le pistage des habitudes de navigation
des utilisateurs pour leur proposer des pages ou des publicités ciblées. Dès lors, le sentiment de perdre le contrôle de ses propres données ou d’être espionné jusque dans nos comportements devint une impression profonde. Big Brother n’est jamais bien loin…
La pratique et le succès du retargeting nous a tous confronté à ce type de publicité :
un encart nous signale que la veste, recherchée et examinée la veille sur des sites
et des comparateurs, est disponible ce matin chez tel ou tel marchand. Cookies de pistage ou de « tierce partie », les différents outils se sont rendus indispensables à la recherche d’efficacité de la publicité en ligne. Les internautes ont obtenu, d’abord aux Etats-Unis, que les navigateurs intègrent des fonctionnalités natives « do not track » leur permettant – en désactivant les cookies – de mieux préserver leur vie privée et l’historique de leur navigation. La seconde avancée décisive est venue des organismes de régulation, comme le W3C qui se bat pour donner aux internautes plus de contrôle sur les informations de navigation qu’ils partagent. Mieux : la Commission européenne a intégré ces dispositifs dans les directives du dernier « Paquet Télécom », transposées en 2012 par notamment l’ICO au Royaume- Uni et la CNIL en France. Ainsi, tous les sites web devaient désormais passer en mode opt-in et obtenir le consentement préalable des internautes. L’édifice, encore fragile, de la pub en ligne – au sommet duquel trône Google – en fut ébranlé, mais la profession s’y résigna, bon an mal an.
La recherche de l’équilibre entre la généralisation de l’Internet mobile et les craintes sur la confidentialité ne faisait que commencer. Au coeur de cette bataille, les cookies sont un symbole visible, bien que de moins en moins important face aux véritables enjeux de la prise de contrôle des internautes sur l’ensemble de leurs données. Si la fin probable des cookies semble inéluctable, c’est qu’ils sont en passe d’être remplacés par d’autres technologies plus sophistiquée prenant en compte la fusion entre les formes de commerce traditionnel et de e-commerce. Les méthodes actuelles de suivi des comportements sont désormais trans-canal et nécessitent de nouvelles approches.
La rumeur qui agite la Toile depuis une semaine ne parle-t-elle pas de de brain cookies, directement implantés dans nos cerveaux ! @

Jean-Dominique Séval*
Prochaine chronique « 2020 » : Le direct/live
* Directeur général adjoint de l’IDATE.
Programme de la conférence annuelle
DigiWorld Summit, sur le thème
« Game Changers: Mobile, Cloud, Big data » :
www.digiworldsummit.com

Guide pratique sur les cookies et charte OBA en vue

Publié le par

En fait. Le 27 mars, le président d’IAB France, Jérôme de Labriffe, titre son édito
« De nouveaux challenges réglementaires en 2012 », suite à l’ordonnance du
24 août 2011 sur les cookies et à la réforme européenne sur les données personnelles. L’UFDM, elle, va publier son « Guide pratique des cookies ».

En clair. Selon nos informations, l’Union française du marketing direct et digital (UFMD) – qui regroupe plusieurs organisations et associations de la publicité ou du e-commerce (UDA, Fevad, AACC, MMA, BVP, …) – va officialiser le 10 avril avec Eric Besson, ministre en charge de l’Economie numérique, la publication d’un « Guide pratique des cookies » destinés aux professionnels et au grand public. Il sera ensuite présenté au Groupement des éditeurs de contenus et services en ligne (Geste) le 13 avril prochain. De son côté, l’Interactive Advertising Bureau (IAB) prône l’autorégulation des professionnels de la publicité et des médias plutôt que la législation et la réglementation.
Il y a un an, l’IAB Europe – auquel est affiliée IAB France – a présenté la charte d’autorégulation de la publicité en ligne ou OBA(Online Behavioural Advertising).
Ce « Guide de la publicité comportementale » impose d’ici au 30 juin 2012 à l’ensemble des publicitaires, régies et annonceurs d’estampiller leurs publicités sur Internet d’une icône « Adchoice », pour signifier aux internautes et mobinautes que leur consentement est respecté. Cette icône redirigé l’utilisateur vers le site web paneuropéen Youronlinechoices.eu, lequel détaille les engagements d’OBA (1) et informe notamment sur la façon dont fonctionnent les cookies (2). Un outil permet – après le déclenchement d’une vérification automatique de son navigateur (3) – de gérer en ligne ses préférences quant aux traitements faits de ses données personnelles. « Vous pouvez sélectionner
ou désélectionner d’un coup toutes les sociétés, ou définir vos préférences société par société », indique-t-on. Une cinquantaine d’entreprises de l’e-pub en Europe jouent ainsi le jeu, dont 24/7 Real Media, AOL, Google, Microsoft Advertising, NextPerformance, Smart AdServer, ValueClick Media ou encore Yahoo. « L’année dernière, la transposition du paquet télécom et l’ordonnance du 24 août sur les cookies, nous avait amenés à proposer une initiative d’autorégulation du marché, pour offrir aux utilisateurs plus de transparence et de contrôle. L’icône Adchoice et la plateforme de gestion des cookies publicitaires Youronlinechoices.eu sont en phase d’implémentation et dans les délais impartis », explique le président d’IAB France, Jérôme de Labriffe (4). En cas de besoin, l’utilisateur peut envoyer un e-mail à avis@iabfrance.com. @

Viviane Reding : « C’est à la Cnil de décider s’il faut sanctionner Google sur ses nouvelles règles »

Publié le par

La vice-présidente de la Commission européenne, en charge de la Justice,
des Droits fondamentaux et de la Citoyenneté, répond aux questions de Edition Multimédi@ sur la réforme de la protection des données personnelles, les règles
de confidentialité de Google, le « cloud » ou encore l’ACTA.

Propos recueillis par Charles de Laubier

Edition Multimédi@ : Vous avez fait le 25 janvier deux propositions législatives sur la protection des données personnelles en Europe, pour remplacer les législations nationales qui constituent un patchwork : des Etats contestent-ils votre projet ?
Viviane Reding : La réforme soumise par la Commission européenne met à jour et modernise les principes inscrits
dans la directive de 1995 sur la protection des données, afin
de garantir à l’avenir les droits en matière de respect de la vie privée. La réforme comprend deux propositions législatives : un règlement définissant
un cadre général de l’Union européenne pour la protection des données, et une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes (1) . Depuis que la Commission a annoncé sa proposition de réforme, les réactions des États membres ont été dans l’ensemble positives, mais ils sont toujours en train de prendre position. On en saura plus une fois que la réforme sera discutée – en juin prochain – au Conseil Justice et Affaires intérieures (JAI), qui regroupe les ministres européens concernés.

De la neutralité du Net et du consentement préalable

Publié le par

En fait. Le 25 mars, il ne restera plus que deux mois au gouvernement pour transposer rapidement par ordonnance – c’est-à-dire sans débat parlementaire – diverses dispositions européennes, dont les directives liées aux communications électroniques – ou « Paquet télécom ». Et ce, avant le 25 mai.

En clair. Bien que le Paquet télécom concerne tous les internautes et soulève de nombreux enjeux de société (neutralité des réseaux, respect de la vie privée, protection des données, couverture du territoire, …), sa transposition accélérée par la France
le dispense malheureusement de débats parlementaires. Après les ajustements en commission mixte paritaire, l’Assemblée nationale et le Sénat ont adopté – respectivement le 8 et le 9 mars – le projet de loi qui autorise notamment le gouvernement à transposer par ordonnance les directives européennes du Paquet télécom. C’est ainsi que le principe de la neutralité du Net se retrouvera inscrite a minima dans le code des postes et des communications électroniques où est insérée une petite phrase : « [Le ministre chargé des communications électroniques et l’Arcep veillent] à l’absence de discrimination, dans des circonstances analogues, dans les relations entre opérateurs et fournisseurs de services de communications au public en ligne pour l’acheminement du trafic et l’accès à ces services » (lire p. 7). Le pouvoir du régulateur est ainsi renforcé (1). « Il s’agissait simplement d’encourager un Internet qui demeure un bien stratégique collectif, qui ne soit ni privatisé, ni balkanisé. (…) L’idée d’un Internet ouvert est fondamentale pour l’avenir du Web en France et dans le
monde », avait déclaré le 9 mars le sénateur Bruno Retailleau. Mais la notion de
qualité minimale prévue dans la directive « Accès » n’est pas prise en compte dans la loi. Tout au plus est-il prévu que l’Arcep « remette au gouvernement et au Parlement, au plus tard un an suivant la date de la promulgation de la présente loi, un rapport portant sur : les instruments et les procédures de suivi de la qualité de service de l’accès à l’Internet ; la situation des marchés de l’interconnexion de données et leurs perspectives d’évolution ; les pratiques de gestion de trafic mises en oeuvre par les opérateurs de communications électroniques ». Autrement dit, le niveau de qualité minimale (2) ne sera pas défini avant le printemps 2012. Autre disposition d’importance pour l’internaute prévue par ordonnance : une meilleure information et protection des consommateurs sur Internet, prévues par la directive « Service universel et droits
des utilisateurs ». Il est prévu que l’internaute ou le mobinaute puissent donner leur
« consentement préalable » avant toute exploitation – par des cookies à caractère publicitaire par exemple – de leurs données personnelles en ligne. Là aussi, un débat approfondi aurait été nécessaire. @