Gestion des cookies et traceurs avec Drupal - le point sur les directives et modules - mai 2021

Image illustrant l'anonymat sur un marché
Retour sur les lignes directrices de la CNIL concernant l'application du RGPD en matière de cookies et traceurs... Et les solutions disponibles avec Drupal.

Suite à la publication des lignes directrices, par la CNIL, concernant l'application du RGPD en matière de cookies et traceurs, il est devenu urgent, à peine de contrôles, de mettre nos sites Drupal en règle. Les contrôles doivent s'intensifier à partir du second trimestre 2021.

Evolutions des directives imposées par le RGPD

Le champ d’application est plus large du réglement est plus large : l'obligation concerne "toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l'abonné ou de l'utilisateur, ou à inscrire des informations dans cet équipement" et s’applique "quels que soient les systèmes d'exploitation, les logiciels applicatifs (tels que les navigateurs) ou les terminaux utilisés". Par terminal, il est entendu tablette, ordinateur fixe ou portable, smartphone, véhicule connecté, assistant vocal, etc.

Les nouvelles règles posées s’appliquent certes à l'utilisation des cookies HTTP, mais également à d’autres techniques :

Consentement express

Les directives de la CNIL apportent, en matière de recueil du consentement, 2 précisions : 

  • La simple poursuite de la navigation sur un site web ne vaut plus expression valide du consentement de l’internaute au dépôt de cookies. Cela signifie que l’internaute doit désormais manifester un choix express en cliquant pour accepter ou pour refuser le dépôt de cookies traceurs.
  • Les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement.

Anonymisation et renouvellement du consentement

Pour être conforme aux directives de la CNIL en matière de RGPD, les sites doivent maintenant renouveler les consentements à échéances régulières et anonymiser certaines informations : 

  • Les éditeurs de sites doivent (re)demander le consentement des utilisateurs sur la gestion des cookies tous les 6 mois au maximum. Cela implique de purger les données enregistrées des utilisateurs chaque 6 mois. Cette configuration peut être faite auprès des solutions d’analyses comme Google Analytics ou Matomo mais aussi dans la base de données Drupal via la configuration du module TacJS par exemple.
  • Les IPs des utilisateurs doivent être anonymisées avant même que le stockage ou le traitement des données. Il convient par exemple de faire disparaître les trois derniers chiffres de l’adresse IP, rendant de fait l’identification de l’utilisateur impossible. Le module drupal IP anonymize est fait pour ça.

Cookies soumis au consentement express

Les directives de la CNIL détaillent les cookies nécessitant le recueil préalable du consentement de l’utilisateur :

  • Les cookies liés aux opérations relatives à la publicité personnalisée ;
  • Les cookies des réseaux sociaux, notamment générés par leurs boutons de partage ;
  • Les traceurs (de type hotjar, CRM très intrusif comme hubspot, solutions de retargetting - ou reciblage publicitaire). 

Traceurs exemptés de consentement express

Certains traceurs, à l'inverse sont exemptés d'information et de recueil de consentement préalables. Citons par exemple :

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l’authentification auprès d’un service, par exemple pour des raisons de sécurité (en limitant les tentatives d’accès robotisées ou inattendues) ;
  • les traceurs destinés à mémoriser le contenu d’un panier d’achat sur un site marchand ;
  • les traceurs de personnalisation de l'interface utilisateur (choix de la langue ou présentation d’un service) ;
  • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;

Documentation

Chaque consentement ne doit pas être enregistré. Cependant, une documentation doit décrire les méthodes mises en place en matière de gestion et de personnalisation des préférences cookies pour les utilisateurs. 

Le bandeau "cookies"

Les bandeau cookies (ou cookie banner), doivent respecter les points suivants :

  • L’acceptation doit être faite par l'intermédiaire d'un gestionnaire des paramètres de cookies (exemple - tarte aux citrons) ;
  • Le recueil de consentements groupés est interdit ;
  • Il ne faut pas utiliser plusieurs couleurs pouvant influencer la prise de décision - elles doivent être neutres ;
  • Les cases doivent pouvoir se décocher / cocher simplement ;
  • La navigation doit être bloquée tant que la pop-in / banner n’a pas été acceptée ;
  • La validation au défilement (scroll) n'est pas permise ;
  • Les utilisateurs doivent pouvoir avoir accès à tout moment aux configurations des cookies (dans le pied de page du site par exemple).

Les modules Drupal

Le module UE cookie compliance
C'est certainement le plus ancien module et l'un des plus populaires. Il a l'avantage d'être compatible au RGPD sans télécharger de JS tiers. Son évolution en cours permet de catégoriser les cookies et de gérer les consentements avec précision. Il est par contre difficile à intégrer à la charte du site de votre client.
Début mai 2021, 96.626 sites utilisaient ce module en version 7 et 8.

Le module Orejime
Ce module récent embarque une librairie javascript open source, fork du projet Klaro qui s'était concentré sur l'accessibilité de l'interface. La première libération de ce module date de fin février 2020. Il semble prometteur mais encore non abouti (pas d'options pré-cochées par exemple). Mais ce module est vraiment à surveiller.
Début mai 2021, 102 sites utilisaient ce module en version 8 (il est indisponible en version 7).

Cookies consent management - 
Récent aussi, puisqu'il dispose d'une version stable depuis août 2020, il est déjà assez populaire. Plus facile à graphiquement personnaliser, il repose sur une librairie React et semble respecter la logique Drupal dans sa construction.
Début mai 2021, 1.196 sites utilisaient ce module en version 8/9 (indisponible en version 7).

TacJS -
Le module tarte aux citrons correspond en tout point aux demandes du CNIL et a fait ses preuves. Par contre, il est impossible d'en personnaliser les interfaces sans opter pour sa version payante. Il n'existe pas, en outre de version disponible pour les sites en version 7. 
Début mai 2021, 678 sites utilisaient ce module en version 8.

A vous de faire votre choix... Si vous avez mieux : contact@bluedrop.fr.