Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le Conseil d'État rejette le référé de la Quadrature du Net contre la CNIL
La « poursuite de la navigation » est donc un mode d'expression du consentement en matière de cookies

Le , par Stéphane le calme

47PARTAGES

7  0 
Fin juillet, la CNIL a publié au Journal officiel sa délibération sur les lignes directrices relatives entre autres à l'usage des cookies et autres traceurs. Des lignes directrices qui concernent donc le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés.

Nous pouvons y lire que

« tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

« 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

« 2° Des moyens dont il dispose pour s'y opposer.

« Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

Concernant le champ d'application des lignes directrices, il est très large : tablette, mobile multifonction (smartphone), ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public

Il va d’ailleurs au-delà des seuls cookies HTTP : « les lignes directrices portent sur l'utilisation des cookies HTTP, par lesquels ces actions sont le plus souvent réalisées, mais ont également vocation à s'appliquer au recours à d'autres techniques : les local shared objects (objets locaux partagés) appelés parfois les cookies Flash , le local storage (stockage local) mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil), etc. »


La CNIL estime que « le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU.

La poursuite de la navigation ne vaut donc pas accord au dépôt de cookies sur son terminal, contrairement à ce que retenait la même commission dans sa délibération de 2013. Il faut noter que dans le plan d’action 2019-2020 dévoilé fin juin, elle a laissé une période transitoire pour que les professionnels du secteur du marketing « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».

En clair, dans la politique interne de la CNIL, les acteurs qui respectaient la délibération de 2013 se verront offrir un répit d’un an. Les autres seront éligibles à une sanction immédiate.

« Le délai laissé aux opérateurs qui respectaient jusqu’à présent la recommandation de 2013 tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme » oppose aujourd’hui la CNIL sur son site. Un répit qui a agacé la Quadrature du Net.

Une procédure de référé amorcée par les associations Quadrature du Net et Caliopen

La CNIL a justifié son report de 12 mois par la prise en compte « de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme ».

C’est cette situation épineuse qui a contraint Caliopen et la Quadrature du Net a frapper à la porte du Conseil d’État. Les deux associations y ont déposé fin juillet un recours d’urgence et un autre au fond.

Par une requête, enregistrée le 29 juillet 2019 au secrétariat du contentieux du Conseil d'Etat, les associations «La Quadrature du net» et« Caliopen » ont demandé au juge des référés du Conseil d'État :
  1. d'ordonner la suspension de l'exécution de la décision de la Commission nationale de l'informatique et des libertés (CNIL), révélée par des communiqués de presse des 28 juin et 18 juillet 2019, d'autoriser la « poursuite de la navigation » comme mode d'expression du consentement en matière de cookies et de traceurs en ligne jusqu'à la mi-2020 ;
  2. d'enjoindre à la CNlL de publier, tant sur la page d'accueil de son site Web que sur les pages de ses communiqués des 28 juin et 18 juillet, un encart faisant référence à l'ordonnance à intervenir et indiquant que par ordonnance du juge des référés du Conseil d'Etat, sa décision d'autoriser la « poursuite de la navigation » comme mode d'expression du consentement en matière de cookies et de traceurs en ligne jusqu'à la mi-2020 a été suspendue et que, par suite,« la poursuite de la navigation » ne constitue pas un mode d'expression valable du consentement en matière de cookies et de traceurs en ligne, sous astreinte de 500 euros par jour de retard;
  3. de mettre à la charge de 1 'Etat la somme de 1 024 euros au titre de 1' article L. 761-1 du code de justice administrative.



Le Conseil d’État rejette la requête des associations

La question des cookies est visée par la directive ePrivacy de 2002, modifiée en 2009. Le texte exige le consentement de l’internaute, tout en renvoyant la définition de cette expression à la législation relative aux données personnelles.

Or, depuis le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) exige un acte positif clair, contrairement aux textes antérieurs qui se satisfaisaient d’un consentement implicite. Pour être plus clair, l’installation des cookies publicitaires doit être précédée d’un recueil de consentement explicite au lieu de déduire l’accord de l’internaute par la poursuite de la navigation.

Cependant, le Conseil d’État a rejeté la requête des associations, au motif que : « l'examen de la requête tendant à l'annulation de la décision attaquée sera inscrit au rôle d'une séance de jugement du Conseil d'Etat le 30 septembre 2019. Cette décision se bome à maintenir pour une période limitée la position exprimée par la CNIL dans ses lignes directrices de 2013. A supposer qu'elle ait également pour effet d'inciter, ainsi qu'il est soutenu, les opérateurs concemés à différer temporairement la mise en conformité des modalités de recueil du consentement de leurs utilisateurs au sujet des opérations de lecture ou d'écriture dans leur terminal, il n'apparaît pas que cette décision aurait pour conséquence, d'ici à la date rapprochée de l'audience, de porter aux intérêts que les requérants entendent défendre ou à l'intérêt public une atteinte de nature à regarder la condition d'urgence, requise par l'article L. 521-1 du code de justice administrative pour justifier sa suspens10n immédiate, comme satisfaite ».

Source : Journal Officiel, décision du Conseil d’État (au format PDF)

Et vous ?

La « poursuite de la navigation» devrait-elle être un mode d'expression du consentement en matière de cookies ? Dans quelle mesure ?
Que pensez-vous de la décision de la CNIL d'accorder un délai d'un an suite à la prise en compte « de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme » ?
Que pensez-vous de la réaction de la Quadrature du net ? Est-elle justifiée ou exagérée selon-vous ? Pourquoi ?
Que pensez-vous de la décision du Conseil d’État ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de vanquish
Membre éprouvé https://www.developpez.com
Le 21/08/2019 à 9:52
Je ne comprend pas cette histoire de cookie.

Le soucis n'est pas les cookies, mais ce que l'on en fait.

Or quasi tout ce que l'on en fait avec les cookies peut être fait autrement (et pour le coup de manière plus insidieuse : car si je peux supprimer tous les cookies à la sortie de mon navigateur, je ne peux pas supprimer les signatures uniques enregistrées coté serveur).
A ce compte, il faudrait aussi prévenir qu'on utilise javascript.

En fait cette obligation est même contre-productive, à mon sens.
Je m'explique.

En tant qu'utilisateur ça devient plus que pénible de sans cesse devoir cliquer sur "accepter" pour continuer à surfer.
Du coup tous le monde est en mode "oui, oui, j'accepte, arrête de faire ch..."

Me dites pas que vous, vous les lisez les conditions d'utilisation : ce n'est matériellement pas possible.

Ce n'est pas tout à fait la même chose, mais comme la plupart des applications (Facebook, Twitter, Netflix...) ont une version web présentant certainement les même conditions, ça reste très représentatif :
on a mesuré que les conditions d'utilisation de 33 applications mobiles, il fallait 32 heures.
( https://www.liberation.fr/direct/ele...mobiles_38029/
https://www.rtl.fr/actu/insolite/il-...ons-7783385702
)

Et on parle que de les lire - pas de comprendre le jargon juridique qu'elles contiennent.
Et on est censé les re-lire à chaque modification.

Dans la même veine, un Youtubeur, qui s'est lancé le défi de lire les "terms and conditions" du Kindle d'Amazon.
Il lui a fallu 9h !!! ( )

Que ces conditions soient obligatoires et facilement/visiblement accessible est une chose ; mais m'obliger à "accepter" un truc que je n'ai matériellement pas le temps de lire n'est-il carrément contre-productif en matière de protection ?
4  0 
Avatar de Mandotnet
Membre régulier https://www.developpez.com
Le 21/08/2019 à 11:33
Citation Envoyé par tereno Voir le message
Je commencerais par vérifier rapidement que les cookies du site sont conformes au GDPR.
Il existe un scanner de cookies spécial pour cela.
Peut-être que tout va bien sur votre site. Il n'y avait aucune violation sur mon site.
Comme indiqué dans mon message précédent, ce n'est pas le cookie en lui-même qui est problématique mais son utilisation (finalité). Un cookie technique et obligatoire à la délivrance du service ne nécessite pas de consentement (ex: cookie de load balancing ovh) en revanche, si ovh réutilisait ce cookie (nomminatif, car contenant l'IP et un UID) à d'autres fins, il devrait en informer l'utilisateur et demander le consentement si nécessaire.
1  0 
Avatar de vanquish
Membre éprouvé https://www.developpez.com
Le 22/08/2019 à 18:01
Citation Envoyé par L33tige Voir le message
Sauf que la les conditions sont les mêmes sur tous les sites elle est universelle, c'est la même mention RGPD.
C'est trop drôle, vous venez de faire la parfaite démonstration de ce que j'explique.

Car non, en aucune façon les CGU sont universelles. Il suffit d'en lire 2 ou 3 sites pour s'apercevoir.

La RGPD oblige a informer de façon claire sur les données que l'on collecte et ce que l'on en fait et à recueillir une forme de consentement.
Mais après chacun fait ce qu'il veut (j'exagère, mais à peine) du moment qu'il le dit.

En d'autres termes, la RGPD oblige à avoir un popup indiquant "Nous utilisons les cookies, cliquez ici pour accepter, ici pour en savoir plus".

Mais derrière "le savoir plus" (les CGU) chacun y met ce qu'il veux ou presque.
Certains diront que c'est uniquement pour faciliter la navigation, d'autres pour vous tracer à des fins publicitaires.

Citation Envoyé par L33tige Voir le message

Non, ça serait comme de dire "qui ne dit non consent", c'est stupide, pourquoi mettre un "j'accepte" si de toute façon on accepte d'office ? Si on me propose une glace, je dit non, c'est non, je dit rien, c'est non, je dit oui, c'est oui. Point barre.
J'en conclu que vous prenez le temps de lire toutes les CGU. Ah non suis-je bête, vous pensez que c'est toutes les même.

Imaginer qu'en grande surface, a l'achat de chaque article, il vous failler signer un papier indiquant que vous avez bien pris connaissance que cela contient tant de gras, tant de sucre etc.
Non, il y a juste obligation de le mettre sur l'étiquette. L'achat vaut acceptation que vous ayez lu ou pas.

TOUT site web collecte des données, ne serait-ce que pour des raisons de sécurité.
Donc pour savoir quoi, comment et pourquoi, il faut lire l'étiquette.

Mais mieux vaudrait obliger des GCU réellement claires avec effectivement une séries d'items obligatoires à la manière de ce site très pratique et que je recommande à tous :
https://tosdr.org/ qui très synthétiquement indique ce qui est bien et ce qui craint dans les GCU d'un grand nombres de services.

Entendons nous bien : je suis pour un meilleurs contrôle de ce que font les sites avec nos données et ne me fait en aucun cas le défenseur des GAFA.
C'est juste que la méthode retenue est aussi enquiquinante que sans effets, même si elle part d'un bon sentiment.
1  0 
Avatar de walfrat
Membre actif https://www.developpez.com
Le 21/08/2019 à 8:42
J'ai mal compris ou ils veulent que tous les sites web accessible depuis la France se mettent à jour au lendemain de la publication de la CNIL ? En pleine période de vacances en plus.

A la rigueur ils auraient pu demander de raccourcir le délai mais n'en accorder aucun c'est très excessif.
0  0 
Avatar de L33tige
Membre habitué https://www.developpez.com
Le 21/08/2019 à 11:08
Citation Envoyé par vanquish Voir le message
Je ne comprend pas cette histoire de cookie.

Le soucis n'est pas les cookies, mais ce que l'on en fait.

Or quasi tout ce que l'on en fait avec les cookies peut être fait autrement (et pour le coup de manière plus insidieuse : car si je peux supprimer tous les cookies à la sortie de mon navigateur, je ne peux pas supprimer les signatures uniques enregistrées coté serveur).
A ce compte, il faudrait aussi prévenir qu'on utilise javascript.

En fait cette obligation est même contre-productive, à mon sens.
Je m'explique.

En tant qu'utilisateur ça devient plus que pénible de sans cesse devoir cliquer sur "accepter" pour continuer à surfer.
Du coup tous le monde est en mode "oui, oui, j'accepte, arrête de faire ch..."

Me dites pas que vous, vous les lisez les conditions d'utilisation : ce n'est matériellement pas possible.

Ce n'est pas tout à fait la même chose, mais comme la plupart des applications (Facebook, Twitter, Netflix...) ont une version web présentant certainement les même conditions, ça reste très représentatif :
on a mesuré que les conditions d'utilisation de 33 applications mobiles, il fallait 32 heures.
( https://www.liberation.fr/direct/ele...mobiles_38029/
https://www.rtl.fr/actu/insolite/il-...ons-7783385702
)

Et on parle que de les lire - pas de comprendre le jargon juridique qu'elles contiennent.
Et on est censé les re-lire à chaque modification.

Dans la même veine, un Youtubeur, qui s'est lancé le défi de lire les "terms and conditions" du Kindle d'Amazon.
Il lui a fallu 9h !!! ( )

Que ces conditions soient obligatoires et facilement/visiblement accessible est une chose ; mais m'obliger à "accepter" un truc que je n'ai matériellement pas le temps de lire n'est-il carrément contre-productif en matière de protection ?
Sauf que la les conditions sont les mêmes sur tous les sites elle est universelle, c'est la même mention RGPD, donc absolument rien à voir avec 150 000 mentions de 15 pages sur 10 sites différents.

La « poursuite de la navigation» devrait-elle être un mode d'expression du consentement en matière de cookies ? Dans quelle mesure ?
Non, ça serait comme de dire "qui ne dit non consent", c'est stupide, pourquoi mettre un "j'accepte" si de toute façon on accepte d'office ? Si on me propose une glace, je dit non, c'est non, je dit rien, c'est non, je dit oui, c'est oui. Point barre.
0  0 
Avatar de Mandotnet
Membre régulier https://www.developpez.com
Le 21/08/2019 à 11:24
1) Le titre de l'article induit en erreur :
" La poursuite de la navigation» est donc un mode d'expression du consentement en matière de cookies "

=> La CNIL accorde une période de tolérance de 1 an. À l'issue un consentement clair est explicite devra donc être fournit par les utilisateurs, ce dernier ne pourra plus être implicite.
Le problème est que le RGPD a donné une définition flou de ce qu'il appelle un "acte positif clair". C'est la raison pour laquelle les autorités de contrôle Européennes (CNIL FR-DE-BE etc.) se réunissent régulièrement pour préciser les applications et fournir des lignes directrices.

2) Ce n'est pas les cookies que l'on accepte mais les traitements / finalités qu'ils impliquent sur des données à caractère personnel

=> Rien ne vous oblige à faire des statistiques qui utilisent l'adresse IP complète, en supprimant les 2 derniers octets, ce traitement devient non personnel. Rien n'oblige d'intégrer des videos youtube avec l'option marketing : il suffit d'activer l'option no-tracking etc. etc.
=> Si un service du site implique obligatoirement l'installation d'un cookie pour la délivrance du service, alors le consentement n'est pas obligatoire (dans tous les cas, prévoir cependant une page d'information).

=> L'acceptation des cookies doit pouvoir se faire par finalité, les sites qui ne proposent pas cette possibilité et force a tout accepter ne sont pas conformes.

3) C'est chiant ? Libre a chacun de lire ou ne pas lire

=> Ceci étant, même si vous acceptez par défaut parce que vous n'avez pas le temps, le règlement prévoit malgré tout de pouvoir revernir aussi facilement sur sa décision.

=> Une bonne application du RGPD ne devrait pas impliquer une lecture lourde. Normalement une information clair sur l'identité, les données, les destinataires et les finalités suffisent. En résumé: une case à cocher par finalité. (Ceux qui mélangent cela avec les CGU et autres ne sont pas conforment).

=> Dans tous les cas, cela permet de responsabiliser les hébergeurs, webmasters etc. Cela apporte de la transparence et permet aussi de se rendre compte que la navigation sur un site ce n'est pas neutre en termes de confidentialité. Mais aussi une éditeur de site de se rendre compte des données qu'ils transmettent indirectement aux tiers.

=> Par ailleurs en fournissant les efforts nécessaires, il n'est pas si dur de proposer un site "propre" qui ne nécessite pas de consentement obligatoire, ou à la marge. Le restent ne sont que des mentions d'information à prévoir (formulaires, newsletters etc.)

EDIT: de toute façon le problème ne se pose que parce que les sites actuels ont une approche marketing / profiling en fisrt intention, si on prend l'exemple de la CNIL, le site n'installe pas de cookies de données à caractère personnel par défaut, tout est off par défaut, donc pas de message. En revanche quand l'utilisateur arrive sur une page qui utilisent une video youtube, celle-ci ne s'affiche pas, mais il suffit d'autoriser le cookie avec un click etc.
0  0 
Avatar de tereno
Nouveau Candidat au Club https://www.developpez.com
Le 21/08/2019 à 11:25
Je commencerais par vérifier rapidement que les cookies du site sont conformes au GDPR.
Il existe un scanner de cookies spécial pour cela.
Peut-être que tout va bien sur votre site. Il n'y avait aucune violation sur mon site.
0  0 
Avatar de Kulvar
Membre actif https://www.developpez.com
Le 21/08/2019 à 12:08
Citation Envoyé par vanquish Voir le message
Je ne comprend pas cette histoire de cookie.

Le soucis n'est pas les cookies, mais ce que l'on en fait.

Or quasi tout ce que l'on en fait avec les cookies peut être fait autrement (et pour le coup de manière plus insidieuse : car si je peux supprimer tous les cookies à la sortie de mon navigateur, je ne peux pas supprimer les signatures uniques enregistrées coté serveur).
A ce compte, il faudrait aussi prévenir qu'on utilise javascript.

En fait cette obligation est même contre-productive, à mon sens.
Je m'explique.

En tant qu'utilisateur ça devient plus que pénible de sans cesse devoir cliquer sur "accepter" pour continuer à surfer.
Du coup tous le monde est en mode "oui, oui, j'accepte, arrête de faire ch..."

Me dites pas que vous, vous les lisez les conditions d'utilisation : ce n'est matériellement pas possible.

Ce n'est pas tout à fait la même chose, mais comme la plupart des applications (Facebook, Twitter, Netflix...) ont une version web présentant certainement les même conditions, ça reste très représentatif :
on a mesuré que les conditions d'utilisation de 33 applications mobiles, il fallait 32 heures.
( https://www.liberation.fr/direct/ele...mobiles_38029/
https://www.rtl.fr/actu/insolite/il-...ons-7783385702
)

Et on parle que de les lire - pas de comprendre le jargon juridique qu'elles contiennent.
Et on est censé les re-lire à chaque modification.

Dans la même veine, un Youtubeur, qui s'est lancé le défi de lire les "terms and conditions" du Kindle d'Amazon.
Il lui a fallu 9h !!! ( )

Que ces conditions soient obligatoires et facilement/visiblement accessible est une chose ; mais m'obliger à "accepter" un truc que je n'ai matériellement pas le temps de lire n'est-il carrément contre-productif en matière de protection ?
A moins d'avoir un système intégré dans les navigateurs où chaque "site" déclare les "services" utilisés et qu'on puisse gérer l'acceptation de chaque service indépendamment des autres, mais surtout globalement (exemple: analytics, bouton like facebook, etc. qu'on retrouve sur plein de sites).

Et pour les CGU, à moins d'harmoniser au niveau législatif la base des CGU pour tous les sites avec uniquement des options et variations que chaque site peut utiliser pour adapter un peu les CGU, personne ne sera en mesure de lire toutes les milliers de CGU qu'il croise chaque année.
Et bien ça continuera.
0  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 23/08/2019 à 11:54
Bonjour,

Je ne suis pas d'accord avec la conclusion de l'article : le conseil d'état ne valide rien du tout, il déclare la procédure de référé inutile dans la mesure où la procédure "standard" sera étudiée le 30 septembre 2019 -- ce qui est une date pas si lointaine que ça.
0  0