En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous permettre de partager du contenu via les boutons de partage de réseaux sociaux, pour vous proposer des publicités ciblées adaptées à vos centres d’intérêts et pour nous permettre de mesurer l’audience.
Bandeau en haut de page sur meta-media.fr
Pardon ? Ai-je bien lu ?
Alors j’ai fouillé et ce n’est pas beau à voir. Chaque point est à ma connaissance une violation du RGPD.
Les fautes sont graves et massives. Elles nécessitent probablement au moins de supprimer toutes les données dont on ne peut pas prouver qu’elles ont été obtenues sans vice de consentement. Il est aussi possible que considérant l’ampleur des données concernées, un signalement officiel de l’anomalie à la CNIL soit nécessaire de la part du responsable de traitement.
Ce qui suit concerne France Info et France Television, et probablement une majorité des sites du même groupe.
1/ Manque de consentement préalable
Lors de l’accès à la page d’accueil de France Info, sans réaliser aucune interaction clavier ni aucune interaction souris (pas de clic, pas de déplacement de souris au dessus d’éléments, pas de défilement de la page), le site fait des appels à xiti, chartbeat, urbanair, et facebook avec des identifiants uniques.
Cela veut dire qu’ils opèrent au minimum des collectes et traitements de mesures d’audience (et probablement des collectes en vue de personnalisation futures) avant d’avoir un quelconque consentement, qu’il soit implicite ou explicite.
Depuis mai 2018, le RGPD impose pourtant un consentement préalable avant tout traitement de données personnelles, hors certains cas légitimes qui ne peuvent pas inclure la mesure d’audience ou la personnalisation de contenus, ni la participation à du pistage par des tiers (Facebook).
Je ne prends pas en compte ici les appels aux régies de publicité et autres bases de données de relation client. Il est possible (voire probable) que ces services fassent du pistage et/ou de la personnalisation mais je ne peux pas m’en assurer.
2/ Manque de consentement explicite
Un bandeau apparait à la première visite avec l’information suivante :
« En poursuivant votre navigation sur ce site de France Télévisions, vous acceptez l’utilisation de cookies et traceurs servant à mesurer l’audience, à personnaliser votre expérience et vous consentez à recevoir de la publicité et des offres adaptées à votre profil. »
Sur meta-media.fr j’ai un message similaire :
« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous permettre de partager du contenu via les boutons de partage de réseaux sociaux, pour vous proposer des publicités ciblées adaptées à vos centres d’intérêts et pour nous permettre de mesurer l’audience. »
Tout ou partie des usages décrits nécessitent un consentement explicite et éclairé de la part des personnes concernées depuis la mise en place du RGPD en mai 2018.
La poursuite de navigation ne peut être considérée comme un consentement explicite et éclairé suivant les termes du RGPD. Les collectes correspondantes sont donc viciées.
3/ Impossibilité de refus de consentement
Quand on souhaite configurer ses consentements, l’outil proposé n’offre pas de refus possible pour la catégorie « réseaux sociaux », quand bien même ils sont « susceptibles d’identifier les données de connexion et de navigation de l’internaute ».
Cette information a été confirmée par les conseillers gérant le compte twitter :
Cette impossibilité de refuser des traitements annexes les met là aussi très certainement en violation du RGPD mais ce n’est pas tout :
4/ Faux à l’enregistrement des consentements
Si l’utilisateur ne se voit pas proposer d’option pour refuser le consentement, cette option est bien présente. Elle est juste cachée.
Comme elle est activée par défaut, la validation de la page de consentement, même pour ceux qui ont consciencieusement tout désactivé, enverra un consentement positif explicite au registre des consentement.
Plus qu’une absence de choix explicite, France Television produit un faux consentement positif. On dépasse à mon sens les erreurs d’implémentations. Il y a là tromperie et production de faux.
5/ Absence d’information
Vous ne pouvez pas vous opposer au traitement des réseaux sociaux dans l’outil, il enregistrera tout de même un consentement positif explicite alors que vous ne l’avez pas donné, mais il y a une information qu’on pourrait s’opposer à certains de ces cookies sur la page « politique de gestion des cookies et sdk ».
Sur cette longue page, on voit effectivement en défilant qu’il existe un « sdk » pour Twitter. Aucun lien ou procédure n’est toutefois donné pour s’y opposer.
Ce défaut d’information est d’autant plus gênant que les équipes connaissent ces liens et savent les donner quand une personne sait que c’est un problème et le signale :
6/ Collecte et traitement malgré refus de consentement
Après avoir refusé explicitement tous les consentements sur les interfaces, France Info et France Television continuent pourtant la collecte et le traitement des données.
Ainsi, bien que les mesures d’audience soient explicitement refusées, des appels partent encore à Xiti, New Relic (la partie audience et mesures), Global Stats counter, Outbrain et Google Tag.
Ici encore, je ne prétends pas faire une liste exhaustive et je ne prends pas en compte plusieurs prestataires du domaine publicitaire dont il m’est impossible de confirmer s’ils font ou pas du pistage par identifiant unique et/ou de la personnalisation (même si c’est probable).
Le DPO de France Television a été informé par email.
Réponse de France Television
J’ai eu une réponse le 14 février. Je ne vais pas dire que c’est rapide, mais j’ai tellement de réponses qui prennent parfois 2 mois quand je parle données personnelles, que j’en viens presque à trouver ça positif.
La réponse l’est moins. Extrait :
Les décalages observés dans la gestion des cookies et autres traceurs sur les sites visés (meta-media.fr, francetvinfo.fr, francetelevisions.fr) par rapport aux nouvelles lignes directrices de la CNIL en la matière ont bien été identifiés, et les corrections nécessaires intégrées à notre plan de mise en conformité dans les délais requis par la CNIL.
Lors de la présentation de son plan d’action sur le ciblage publicitaire pour l’année 2019–2020, la CNIL a en effet indiqué que son ancienne recommandation du 5 décembre 2013 relative aux cookies et autres traceurs était devenue obsolète suite à l’entrée en application du RGPD, en ce qu’elle permettait le recueil du consentement de l’utilisateur via la simple poursuite de sa navigation. Sa délibération du 4 juillet 2019 prévoit ainsi la fin de la poursuite de la navigation comme moyen d’expression du consentement. Afin toutefois de laisser aux éditeurs de sites le temps nécessaire à l’adaptation technique de leurs sites, la CNIL prévoit une période de mise en conformité à ses nouvelles règles, qui prendra fin à l’expiration d’un délai de six mois suivant l’adoption définitive de sa recommandation sur les modalités pratiques de recueil du consentement, dont le projet est actuellement soumis à consultation publique jusqu’au 25 février 2020.
Cette position de la CNIL est un vrai problème. Elle n’a aucun pouvoir ni législatif ni judiciaire et son pouvoir administratif ne l’autorise en rien à donner un sauf-conduit sur l’application de la loi française ou européenne (et donc du RGPD qui est applicable depuis mai 2018 au niveau européen et entériné dans la loi française en juin 2018).
Ce qui est en violation du RGPD reste illégal et punissable auprès des tribunaux, quand bien même la CNIL renoncerait à faire diligence sur sa propre mission administrative.
Malheureusement les éditeurs se servent des lenteurs de la CNIL et d’un texte de 2013, pré-RGPD, comme paravent pour s’exonérer de leurs obligations. Ces fumisteries doivent prendre fin très rapidement !
Je ne compte même pas la mauvaise foi :
Dans cet intervalle, nous continuons à travailler sur l’amélioration de la gestion des traceurs utilisés sur nos sites. Celle-ci se heurte à certaines contraintes techniques imposées par des tiers comme Facebook, dont les cookies font l’objet d’une information des utilisateurs sur les moyens de s’opposer à leur utilisation via les liens présents dans notre politique de gestion des cookies, et non directement dans notre gestionnaire de cookies.
Je tiens aussi à vous informer que pour remédier à certaines de ces difficultés, et protéger davantage les données personnelles de nos utilisateurs, nous avons pris la décision de mettre un terme à l’usage du « social login » (le dispositif permettant de créer un compte utilisateur via son compte de réseau social) avec Facebook et Google sur les sites francetvinfo.fr et france.tv.
Il y a peu de chances que le retrait des création de compte via un fournisseur d’identité tiers (Facebook, Google) ait été motivé pour limiter la collecte de données personnelles. En tout cas retirer une fonctionnalité qui ne peut être que ponctuelle, volontaire et explicite de la part du visiteur et en parallèle laisser les traceurs invisibles de la même source sans donner de moyen simple de s’y opposer… j’appelle ça être hypocrite.
