Suite à la publication des lignes directrices, par la CNIL, concernant l'application du RGPD en matière de cookies et traceurs, il est devenu urgent, à peine de contrôles, de mettre nos sites Drupal en règle. Les contrôles doivent s'intensifier à partir du second trimestre 2021.
Evolutions des directives imposées par le RGPD
Le champ d’application est plus large du réglement est plus large : l'obligation concerne "toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l'abonné ou de l'utilisateur, ou à inscrire des informations dans cet équipement" et s’applique "quels que soient les systèmes d'exploitation, les logiciels applicatifs (tels que les navigateurs) ou les terminaux utilisés". Par terminal, il est entendu tablette, ordinateur fixe ou portable, smartphone, véhicule connecté, assistant vocal, etc.
Les nouvelles règles posées s’appliquent certes à l'utilisation des cookies HTTP, mais également à d’autres techniques :
- les "local shared objects" (objets locaux partagés) appelés parfois les "cookies flash" - souvent utilisés par les publicités ou les vidéos ;
- le "local storage" (stockage local) mis en œuvre et déployé depuis HTML 5 ;
- les identifications par calcul d'empreinte du terminal ;
- les identifiants générés par les systèmes d'exploitation (souvent relais de la publicité ciblée - IDFA Identifier for advertisers pour iOS - IDFV Identifier for vendors pour iOS, Android ID, etc.) ;
- les identifiants matériels de la machine (adresse MAC, numéro de série ou tout autre identifiant d'un appareil).
Consentement express
Les directives de la CNIL apportent, en matière de recueil du consentement, 2 précisions :
- La simple poursuite de la navigation sur un site web ne vaut plus expression valide du consentement de l’internaute au dépôt de cookies. Cela signifie que l’internaute doit désormais manifester un choix express en cliquant pour accepter ou pour refuser le dépôt de cookies traceurs.
- Les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement.
Anonymisation et renouvellement du consentement
Pour être conforme aux directives de la CNIL en matière de RGPD, les sites doivent maintenant renouveler les consentements à échéances régulières et anonymiser certaines informations :
- Les éditeurs de sites doivent (re)demander le consentement des utilisateurs sur la gestion des cookies tous les 6 mois au maximum. Cela implique de purger les données enregistrées des utilisateurs chaque 6 mois. Cette configuration peut être faite auprès des solutions d’analyses comme Google Analytics ou Matomo mais aussi dans la base de données Drupal via la configuration du module TacJS par exemple.
- Les IPs des utilisateurs doivent être anonymisées avant même que le stockage ou le traitement des données. Il convient par exemple de faire disparaître les trois derniers chiffres de l’adresse IP, rendant de fait l’identification de l’utilisateur impossible. Le module drupal IP anonymize est fait pour ça.
Cookies soumis au consentement express
Les directives de la CNIL détaillent les cookies nécessitant le recueil préalable du consentement de l’utilisateur :
- Les cookies liés aux opérations relatives à la publicité personnalisée ;
- Les cookies des réseaux sociaux, notamment générés par leurs boutons de partage ;
- Les traceurs (de type hotjar, CRM très intrusif comme hubspot, solutions de retargetting - ou reciblage publicitaire).
Traceurs exemptés de consentement express
Certains traceurs, à l'inverse sont exemptés d'information et de recueil de consentement préalables. Citons par exemple :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, par exemple pour des raisons de sécurité (en limitant les tentatives d’accès robotisées ou inattendues) ;
- les traceurs destinés à mémoriser le contenu d’un panier d’achat sur un site marchand ;
- les traceurs de personnalisation de l'interface utilisateur (choix de la langue ou présentation d’un service) ;
- les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
Documentation
Chaque consentement ne doit pas être enregistré. Cependant, une documentation doit décrire les méthodes mises en place en matière de gestion et de personnalisation des préférences cookies pour les utilisateurs.
Le bandeau "cookies"
Les bandeau cookies (ou cookie banner), doivent respecter les points suivants :
- L’acceptation doit être faite par l'intermédiaire d'un gestionnaire des paramètres de cookies (exemple - tarte aux citrons) ;
- Le recueil de consentements groupés est interdit ;
- Il ne faut pas utiliser plusieurs couleurs pouvant influencer la prise de décision - elles doivent être neutres ;
- Les cases doivent pouvoir se décocher / cocher simplement ;
- La navigation doit être bloquée tant que la pop-in / banner n’a pas été acceptée ;
- La validation au défilement (scroll) n'est pas permise ;
- Les utilisateurs doivent pouvoir avoir accès à tout moment aux configurations des cookies (dans le pied de page du site par exemple).
Les modules Drupal
Le module UE cookie compliance -
C'est certainement le plus ancien module et l'un des plus populaires. Il a l'avantage d'être compatible au RGPD sans télécharger de JS tiers. Son évolution en cours permet de catégoriser les cookies et de gérer les consentements avec précision. Il est par contre difficile à intégrer à la charte du site de votre client.
Début mai 2021, 96.626 sites utilisaient ce module en version 7 et 8.
Le module Orejime -
Ce module récent embarque une librairie javascript open source, fork du projet Klaro qui s'était concentré sur l'accessibilité de l'interface. La première libération de ce module date de fin février 2020. Il semble prometteur mais encore non abouti (pas d'options pré-cochées par exemple). Mais ce module est vraiment à surveiller.
Début mai 2021, 102 sites utilisaient ce module en version 8 (il est indisponible en version 7).
Cookies consent management -
Récent aussi, puisqu'il dispose d'une version stable depuis août 2020, il est déjà assez populaire. Plus facile à graphiquement personnaliser, il repose sur une librairie React et semble respecter la logique Drupal dans sa construction.
Début mai 2021, 1.196 sites utilisaient ce module en version 8/9 (indisponible en version 7).
TacJS -
Le module tarte aux citrons correspond en tout point aux demandes du CNIL et a fait ses preuves. Par contre, il est impossible d'en personnaliser les interfaces sans opter pour sa version payante. Il n'existe pas, en outre de version disponible pour les sites en version 7.
Début mai 2021, 678 sites utilisaient ce module en version 8.
A vous de faire votre choix... Si vous avez mieux : contact@bluedrop.fr.