Paroles d’experts

Quelles solutions pour contrôler les cookies déposés par un site web ?
par Muriel Glatin

 » Le sujet des cookies forme un écosystème complexe et souvent opaque pour l’utilisateur  » rappelle Marie-Laure Denis, présidente de la CNIL, dans une interview accordée au Monde en février 2020.

Cette difficulté n’épargne pas le/la DPO qui doit, dans le cadre de ses missions, comprendre…

  • quels sont les cookies déposés ?
  • qui en est l’émetteur ?
  • pour quelles finalités ?
  • quelle est leur durée de vie ?

et vérifier si le dépôt de ces cookies respecte bien le choix des personnes.

Pour cela, il est utile d’échanger avec les équipes internes en charge du dépôt des traceurs pour documenter ces pratiques, en particulier leur finalité. Néanmoins, selon les organisations, il arrive que la vision d’ensemble de tous les traceurs ne soit pas détenue par une seule personne, mais par les représentants des différents métiers, chacun gérant avec plus ou moins d’autonomie la gestion du dépôt des cookies :

> les équipes Informatiques pour les traceurs techniques

> Les équipes Régie / Programmatique pour les cookies publicitaires

> Les équipes Social pour les cookies Réseaux Sociaux

> Les équipes Data pour les cookies de webanalytics.

> les équipes Web pour les cookies de personnalisation

Au final, et quelque soit les particularités de l’organisation en matière de dépôt des traceurs, centralisée ou pas, il est utile que le DPO s’équipe d’outils et développe une méthode pour contrôler la conformité de la gestion des cookies.

Le marché propose aujourd’hui plusieurs types de solutions, éditées par différents profils d’acteurs (éditeurs de CMP, navigateurs, solutions de gestion RGPD, cookie-blocker ). J’en ai testé plusieurs et j’ai parfois passé du temps à comprendre les écarts relevés entre les outils. Dans la cadre des échanges AFCDP, j’ai constaté que ces interrogations étaient partagées. Ce papier vise donc à partager mes éléments de compréhension versus les différents dispositifs existants. Mon propos ici n’est pas de faire le benchmark de ces outils mais de comprendre ce qu’ils auditent réellement, à quelle question ils répondent. Il ne prétend pas non plus être exhaustif, seulement à clarifier les bénéfices et usages des outils.

Pour mes besoins, j’identifie deux grandes familles d’outils :

1- Les Outils pour INVENTORIER les cookies que le site web peut déposer 

Ces outils sont utiles pour une vue d’ensemble de tous les cookies que votre site web peut déposer.

Ils permettent de documenter les finalités, de vérifier les durées de conservation, et les destinations géographiques.

Cet inventaire est également un bon moyen pour vérifier les contrats et l’existence des clauses traitant de la protection des données à caractère personnel.

Ils permettent d’initier l’installation des CMP (et c’est bien pour cela que ces outils intègrent cette fonctionnalité dans leur plateforme).

Dans cette catégorie, j’ai repéré :

Les outils CMP 

> Les modules d’inventaires proposés par les CMP (Consent Management Platform): Didomi (module Complinace Report), Onetrust… si vous êtes équipé de la solution et si vous y avez accès.

> Sinon, il est possible d’utiliser le module d’inventaire des cookies de la technologie Cookiebot (https://www.cookiebot.com/fr/) qui le met à disposition dans une version limitée.

 

 

 

 

 

 

 

 

2- Les outils pour SIMULER UN CONTROLE conformité

Faire l’inventaire des cookies est une étape nécessaire mais pas suffisante pour vérifier la conformité du Site Web : les cookies sont-ils déposés seulement après avoir collecté le consentement ? Que se passe-t-il pour les visiteurs qui refusent ? Que se passe-t-il pour ceux qui acceptent et refusent ?…

Pour répondre à ces questions, il est utile de pouvoir relever sur le chemin critique du parcours visiteur la liste des cookies déposés.

L’outil CNIL : COOKIE-LIST 

Solution gratuite développée par la CNIL, elle permet de lister tous les cookies enregistrés dans le navigateur, cookies first et third party, et de connaître leur durée de conservation. Les cookies détectés sont classés par nom de domaine.

Comment installer Cookie-List ?

  • Extension disponible sur Firefox
  • Télécharger l’extension > https://github.com/LINCnil/CNIL-Cookies-List
  • Une fois l’extension téléchargée, ouvrez le menu « Modules complémentaires » dans les paramètres de votre navigateur – cliquez sur l’icône « outils » puis « installer un module depuis un fichier » et sélectionnez l’extension que vous venez de télécharger
  • Une icône apparaît dans la barre du navigateur (en haut à droite)

Quelle démarche pour auditer son site ?

  • Suppression de tous les cookies déposés sur le navigateur Firefox
  • Navigation sur le site selon un des scenarii à auditer et clic sur l’icône qui apparaît à droite dans la barre du navigateur > une nouvelle page s’ouvre avec la liste des cookies.

 

Les scénarios à tester sont à définir en fonction de votre activité et de vos objectifs.

Parmi les scénarios intéressants à tester :

  • Le visiteur arrive sur votre site (home page ou autre page d’atterrissage) et ne fait rien (pas de scroll, pas de choix sur le bandeau : pop-in cookies…)
  • Le visiteur refuse les cookies via la CMP (au global ou sur une finalité) et poursuit sa navigation

L’écran de PARAMÉTRAGE DES NAVIGATEURS 

Tous les navigateurs proposent aux personnes de gérer leur cookie et de les effacer. Pour un usage ponctuel ne justifiant pas d’installer FireFox / Cookie-List, ces fonctionnalités peuvent servir aux DPO pour vérifier les cookies déposés.

Comment procéder sur Chrome par exemple ?

  • D’abord : supprimez tous les cookies installés sur votre navigateur Chrome
  • puis ouvrez Chrome / Choisissez “Paramètres” / ensuite « Confidentialité et Sécurité » / Cliquez sur « Cookies et autres données du site » / Cliquez sur « Afficher l’ensemble des cookies » / Cliquez sur « Tout supprimer »
  • Naviguez sur le site que vous souhaitez auditer selon un des scénarios que vous cherchez à contrôler.
  • Retournez dans les paramètres de votre navigateur pour voir quels sont les cookies déposés.

 

Pour simplifier cette démarche, Chrome propose également une autre façon de consulter les cookies de la page visitée (les cookies déposés comme ceux qui ont été bloqués par l’utilisateur) en cliquant dans l’url sur le (i) ou le cadenas placé à gauche de l’adresse url du site Web. La liste affiche le nombre de cookies first et third party en cours d’utilisation et le descriptif de chaque cookie. Cette solution est facile à utiliser mais ne permet pas d’avoir une liste des cookies facile à manipuler.

L’outil Ghostery

Ghostery est une extension développée par Cliqz qui permet de détecter et/ou de bloquer les traceurs présents sur une page web.

Avant la généralisation des CMP, Ghostery a été un des premiers outils qui a permis au grand public de “voir” les cookies déposés pendant la navigation Web : leur volume, leur finalité, les émetteurs et de les bloquer simplement. Il ne communique pas les noms des traceurs ni la durée de conservation. Cette absence de granularité le rend moins pertinent pour simuler un contrôle de dépôt de cookies.

Pour résumer :

Avec le module d’inventaire des cookies proposés par la majorité des CMP et l’extension Cookie-List de la CNIL, vous êtes en capacité de répondre aux deux grands besoins des DPO:

> Comprendre et documenter l’eco-système Cookies de votre site Web (quels cookies ? pour faire quoi ? quelle durée ? qui dépose ?)

> Contrôler la conformité de la gestion des cookies comme peut le faire la CNIL

Deux limites à ces démarches :

Ces méthodes s’appliquent à l’environnement Web. Il reste à écrire la même chose pour l’univers Mobile. Dans le cadre du Webinar AFCDP (02/21), les intervenants CNIL ont indiqué que le projet de déployer un équivalent Cookie-List pour l’environnement mobile est à l’étude.

Concernant la procédure de contrôle conformité, celle-ci repose sur un protocole manuel qui peut être long à « rejouer » si l’on souhaite procéder à cet audit sur plusieurs sites web et selon plusieurs scénarios de navigation.

Article rédigé par MURIEL GLATIN

 

 

 

 

 

 

 

https://www.linkedin.com/in/mglatin/

 

Muriel Glatin
DPO du groupe Webedia (AlloCiné, 750g, Jeux Video, Easy Voyage..) et consultante en stratégie Data Responsable auprès d’entreprises. Enseigne le RGPD au CNAM et à l’ISEP. Membre du Bureau du Cercle.