La Commission nationale de l'informatique et des libertés a un rôle important dans la démocratie française puisqu'elle a pour rôle de veiller à la protection des données personnelles.
Sans réponse à des questions très simples adressées par courrier recommandé le 17 décembre 2014 (censées se poser tout propriétaire de site internet), je partage ici celles-ci avec vous et publierai la réponse officielle de la CNIL lorsque je la recevrai...
Le rôle de la CNIL
La CNIL est chargée de garantir la protection de la vie privée, affirmée en 1948 par la Déclaration universelle des droits de l'homme des Nations unies (art.12) et chez nous par l'article 9 du Code civil (loi du 17 juillet 1970). Ce respect de la vie privée est un droit fondamental (seul notre ministre Bernard Cazeneuve l'a oublié).
Extrait du site de la CNIL
Vos obligations en tant que propriétaire d'un site
A l'attention des propriétaires de sites internet et pour faire respecter ce droit de chacun d'entre nous, la CNIL a publié des recommandations concernant la mise en œuvre des cookies déposés par les sites que le public visite.
Plus d'informations, lire l'article : Obligations des sites en regard des cookies.
La commission annonçait d'ailleurs des contrôles à compter d'octobre 2014, les choses semblaient claires... Et bien finalement pas tant que ça, car quelques questions basiques sur la mise en œuvre de ses propres recommandations ont l'air de poser quelques problèmes à la CNIL.
Pour faire simple, je vous livre ci-dessous le contenu du courrier adressé à la commission par notre agence.
Notre courrier recommandé à la CNIL du 17/12/2014
Recommandé A/R
Objet : cookies
Madame, Monsieur
Nous sommes une agence web et dans ce cadre souhaitons conseiller au mieux nos clients dans l'application de vos recommandations sur les cookies. En ce sens, nous souhaiterions éclaircir certains points.
Le dépôt sur le terminal :
Vous indiquez explicitement sur votre site que les cookies et traceurs concernés (Ex : mesure d'audience Google Analytics, boutons de partages sociaux, publicités du réseau Adsense, tracking comportemental Critéo...) ne peuvent être déposés sans consentement du visiteur.
Question n°1 :
Nous confirmez-vous qu'aucun des cookies concernés ne peut être déposé lors du simple affichage de la page ?
Question n°2 :
Pour que les cookies concernés soient déposés, faut-il impérativement que le visiteur accepte les cookies ou poursuive sa navigation ? (La poursuite de la navigation valant consentement).
La possibilité pour l'utilisateur de modifier son choix.
Vous précisez sur votre site qu'un lien "En savoir plus" situé dans le bandeau de consentement doit pointer vers une page qui permet à l'internaute de trouver des solutions pour accepter ou refuser tout ou partie des cookies concernés.
Question n°3 :
Est-ce qu'une information détaillée sur le paramétrage possible des navigateurs est suffisante ?
Question n°4 :
Le site http://www.youronlinechoices.com/fr/controler-ses-cookies/ propose à l'internaute de choisir parmi les sociétés éditrices de cookies comportementaux d'accepter ou refuser sélectivement les cookies. Un lien vers cette URL est-il selon vous suffisant pour permettre à l'internaute de définir ses choix ?
La mise en œuvre
Nous avons fait le 17/12/2014 des recherches parmi 10 sites du top 50 des e-commerce français :
(Ex. : www.voyages-sncf.com, www.cdiscount.com, www.rueducommerce.fr, www.airfrance.fr )
De même pour les principaux sites d'actualités en France :
(Ex. : www.lemonde.fr, www.leparisien.fr, www.lexpress.fr, www.huffingtonpost.fr …)
De même pour des sites du gouvernement français :
(Ex. : www.gouvernement.fr, www.service-public.fr, www.france.fr, www.culturecommunication.gouv.fr …)
Sur chacun d'entre eux, sans action de consentement de notre part (ni poursuite de navigation, ni clic sur les bandeaux de consentement) des cookies de tracking comportementaux ont été déposés sur notre terminal.
Question n°5 :
Peut-on considérer que l'information donnée aux visiteurs est suffisante pour respecter vos recommandations même si dans tous ces cas la réponse à notre question n°1 est négative ?
Nous vous remercions pour votre réponse par Twitter à notre précédent courrier du 29 septembre 2014. Dans la mesure du possible, nous aimerions une réponse par courrier pour les cinq questions posées ci-dessus.
Nous vous prions d'agréer, Madame, Monsieur, l'expression de nos respectueuses salutations.
La réponse de la CNIL.
Je vous avoue que je m'attendais à une réponse : oui, oui, non, oui, non (questions n°1 à n°5 volontairement « fermées » pour que les choses soient simples et claires).
À ce jour, nous avons reçu 2 réponses. La première très sympathique (voir PDF), la 2e qui ne l'est pas moins (tweets ci-dessous) mais qui ne m'avance en rien.
Que faut-il en déduire ?
- Que quoi qu'il en soit nous sommes normalement tenus de respecter la loi...
- À mon avis, malgré sa bonne volonté la CNIL n'a pas les moyens de mettre en œuvre les contrôles annoncés.
- Que la CNIL devrait avoir des moyens sérieux en regard de sa légitimité à exister en démocratie, mais de toute façon, même quand on lui demande son avis sur des sujets très importants, tout le monde s'en fout à commencer par l'Assemblée nationale.
Conclusion
C'est la fête au village. Une loi oblige les sites internet à adopter certaines pratiques, la quasi-totalité ne le fait pas à commencer par les sites de nos institutions.
Serez-vous contrôlé ? À mon avis ce n'est pas demain la veille, et si c'est le cas, envoyez donc un courrier à la CNIL pour demander des précisions, vu leurs moyens, il est probable que vous gagniez pas mal de temps...
Ou bien ! Les contrôles ont effectivement lieu, mais personne ne s'en vante ou n'a encore été prévenu.
Si vous avez mis votre site en conformité (comme nous) continuez à dormir sur vos deux oreilles.
Edit : suite à des échanges sur les réseaux sociaux, je ne voudrais pas que l'on se méprenne sur mes propos. Même si les contraintes gênent les gestionnaires de sites que nous sommes, je suis un fervent défenseur d'une institution comme la CNIL.
Je pense que les millions engloutis dans HADOPI auraient été bien mieux utilisés s'ils avaient été attribués à la CNIL.
Malheureusement, je crois que nos gouvernements successifs ont mis en place cette entité pour faire joli sur la photo (Droit de l'homme et bla bla bla), en prenant bien garde de ne pas lui donner les moyens nécessaires afin qu'elle ne fourre pas son nez là où cela dérange.
Bravo à Isabelle Falque-Pierrotin (présidente de la CNIL) pour sa montée au créneau sur le projet de loi Renseignement" (si en plus elle pouvait mettre mon courrier au dessus du tas ce serait bien aussi 🙂 )
Edit du 17 mai 2015 (réponse au courrier) : CNIL et cookies, tous hors la loi.
Merci, Sylvain, de nous donner enfin (?!) des nouvelles de ce machin.
En ce qui concerne les boutons de réseaux sociaux, et a priori, si on utilise un système d'intégration dédié, tel AddThis, il n'y a pas de cookies de suivi (et puisque AddThis, en l'occurrence : il est bien précisé sur leur site que les cookies déposés ne sont que des cookies de fonctionnement).
@ Michel
Oui, il y a plusieurs solutions pour se mettre en conformité, nous proposons d'ailleurs celle que nous avons adopté sur ce blog pour les stats et boutons sociaux : http://www.stat-axenet.fr/
C'est amusant je me suis posé la même question, mais à quoi peut donc servir la CNIL si l'état vote des lois pareilles. Le gouvernement les a complètement court-circuté. Pourquoi?
En attendant que la Cnil vous réponde pour plus d'info
@ Solène
Si le projet de loi passe, l'Etat français aura le droit de scruter toutes les conversations et toutes les communications, et ce sera légal puisque inscrite dans la loi. La CNIL ne pourra malheureusement pas s'y opposer puisque ce sera la Loi.
Et comme beaucoup utilisent aussi le téléphone illimité (par Internet) toutes les conversations téléphoniques seront d'office scrutés puisqu'une "boîte" sera installée chez les hébergeurs et ailleurs.
Ce qui ne sera bien sûr qu'un début, puisque des "amendements" suivront qui généraliseront le fait aux opérateurs mobiles.
Pour ainsi dire, nous basculerons d'un état de droit à un état (je ne sais pas si je peux le dire ici, mais qui correspond à l'espionnage systématique de la Stazi ou d'autres pays de l'ère soviétique).
Personnellement, j'utilise une boîte mail chez 1 &1 , mais si la loi passe, je serai obligé d'aller voir ailleurs, juste pour garder, un temps durant, la confidentialité de mes communications.
Comme toujours en France, on a d'un côté les politiques qui pondent des lois inadaptées et inutiles, de l'autre des organismes d'Etat chargés de contrôler leur application mais qui n'en ont ni les moyens ni la volonté et enfin les webmasters qui sont désarmés face à une mesure qui semble être contraignante mais qui dans la réalité est juste une mesure de plus sans fond ni forme...
Les politiques feraient mieux de se soucier de problèmes comme le vol de contenu et le plagiat. Je suis régulièrement confronté à des sites et des hébergeurs aux USA qui piquent mon contenu et c'est toujours la croix et la bannière pour leur faire retirer. Pourtant, ce ne sont rarement des sites d'un style douteux mais juste des gars qui croient qu'ils peuvent repomper ton contenu comme ça... Les hébergeurs US se tamponnent de la loi française et te saoulent avec leur DMCA qui est une vraie usine à gaz et n'aboutit en général à rien...
Quand à la CNIL, j'ai déposé 4 plaintes contre Google chez eux. Cela fait 4 ans et j'attends toujours des nouvelles. Mon dossier a changé 5 fois de personne. A chaque fois que je demande un update, c'est : "madame machin est en congés maternité", "on commence à avoir un gros dossier sur Google, on va faire un tir groupé, vous allez voir ce que vous allez voir", etc etc... Bref, ils ne servent à rien car ils n'ont aucun pouvoir face à des mastodontes et ils en sont bien conscients....
Je serais moins sévère : je comprends bien sûr le désarroi de ceux qui font l'effort de mener des démarches qui restent anormalement sans réponse, mais je crois aussi qu'il ne faut pas jeter le bébé avec l'eau du bain. La CNIL a comme intérêt principal de jouer le rôle de garde-fou face aux dérives du tout libertaire. On est sur le terrain de la déontologie voire de l'éthique bien plus que sur celui du contrôle ou de la police. Alors certes ça ne suffit pas et ça laisse le champ libre (sans mauvais jeu de mot) aux tricheurs... mais la CNIL n'en reste pas moins indispensable. C'est juste qu'il ne faut pas en attendre beaucoup plus.
Petit problème, la cnil ne permet pas aux français de déclarer en toute simplicité un soucis dans leur protection de la vie privée. J'ai tenté de faire une déclaration à la cnil il y a 1 an de ça, et là on se rend vite compte que par téléphone ils ne sont difficilement joignable et une fois qu'ils sont au bout du fil, ils vous disent qu'il faut remplir le formulaire numéro zzz et qu'il faut faire la déclaration par voie postale et qu'il y a un délai de traitement plutôt long et sans délai garanti... la fin du monde quoi. du coup pour déclarer quelque chose à la cnil il faut vraiment faire les choses subir un préjudice terrible pour mettre l'énergie qu'il faut pour aller jusqu'au bout de la procédure. Dommage.