Google Analytics et la directive européenne sur les cookies. Qui tombera en infraction avec la loi? Google ou le développeur?

16

Google utilise donc des cookies lors de l'exécution de ses fonctions habituelles de suivi des utilisateurs sur un site Web. C'est juste cela cependant; Google définit les cookies et non votre site Web en tant que tel. Ceci est dû au fait que le JS est entièrement hébergé par Google et simplement inclus dans votre page Web.

Wolf Software qui a publié un plugin jQuery pour demander le consentement des utilisateurs avant d'autoriser GA semble impliquer que ce serait le problème des développeurs sur leur page Web associée.

Est-ce donc peut-être le problème de Google lorsque l'ICO vient frapper ou le développeur n'a-t-il pas dû implémenter GA s'il est conscient du problème potentiel des cookies?

Treffynnon
la source

Réponses:

10

La réponse courte est que personne ne le sait encore.

La réponse longue est que les cookies tiers sont une zone floue; la directive (PDF) ne précise pas qui serait poursuivi pour défaut d'obtention du consentement lors du stockage des cookies tiers.

L'interprétation et les conseils actuels de l'OIC, publiés dans "Modifications des règles d'utilisation des cookies ..." , admettent qu'ils ne savent pas comment la directive s'applique aux cookies tiers:

"Le processus d'obtention du consentement pour ces cookies [tiers] est plus complexe et nous pensons que chacun a un rôle à jouer pour s'assurer que l'utilisateur est au courant de ce qui est collecté et par qui."

Je souligne. Ils ne disent pas qui est responsable, seulement que quelqu'un l' est. De plus, ils disent qu'ils tentent de clarifier ces règles:

"[Les cookies tiers] peuvent être le domaine le plus difficile à atteindre pour se conformer aux nouvelles règles et nous travaillons avec l'industrie et d'autres autorités européennes de protection des données pour aider à résoudre les problèmes complexes et à trouver les bonnes réponses."

Ils s'attendent à ce que ces services tiers

... s'adaptera sans aucun doute pour se conformer à la nouvelle règle ...

Un indice possible de la position de l'ICO est qu'ils répertorient les cookies Google Analytics comme non essentiels dans leur propre politique de confidentialité , et n'utilisent Google Analytics que si vous consentez à stocker des cookies. Je pense que cela donne le ton pour toute clarification qu'ils pourraient apporter. Ils pourraient bien dire: «vous devez également demander la permission pour les cookies tiers, car c'est votre choix si vous utilisez ces services ou non». Mais nous ne savons pas encore avec certitude.

Cette incertitude est l'une des raisons de la prolongation du délai de conformité jusqu'au 25 mai 2012. La meilleure chose que les webmasters britanniques préoccupés par l'impact puissent faire est de garder un œil sur le site Web de l' OIC et d'attendre des éclaircissements de leur part. En attendant, le reste de leurs conseils décrits dans leurs directives vaut la peine d'être suivi pour les cookies que vous émettez vous-même.

pseudo
la source
J'ai supprimé ma réponse car je n'avais pas repéré ce bit sur les cookies tiers. Quelle est votre source pour la prolongation du délai?
paulmorriss
2
Il est enfoui dans le PDF mis à jour de l'ICO sur la mise en application : "[Le commissaire] ... accordera un délai de 12 mois aux organisations pour développer des moyens de satisfaire aux exigences relatives aux cookies [qui se termineront] en mai 2012". En bref, il est devenu loi britannique le 25 mai 2011, mais ils ne l'appliqueront pas avant le 25 mai 2012.
Nick
1
C'est une bonne réponse, mais il est essentiel de noter que cette réponse est spécifique au Royaume-Uni, alors que la directive elle-même est à l'échelle de l'UE. Autrement dit, chaque pays procède à l'application de sa propre loi. Le fait que le Royaume-Uni retarde l'application d'un an ne signifie pas que d'autres pays font la même chose.
Yahel
1
Bon point. À ma connaissance, l'OIC est le premier organisme de protection des données de l'UE à publier des lignes directrices sur la directive, mais si les gens veulent fournir des liens vers des conseils d'autres États membres concernant les délais et les cookies tiers, je mettrai à jour la réponse en conséquence .
Nick
Mise à jour pour la situation au Royaume-Uni: ico.gov.uk/news/blog/2011/…
paulmorriss
4

Avant de rédiger le plug-in pour Wolf Software, nous avons en fait contacté l'ICO pour vérifier la position, et à partir de cette consultation, nous comprenons que GA devrait être considéré comme non essentiel et qu'un tel consentement est requis.

La question du fait qu'il soit 1er ou 3e est théorique car ce n'est que la partie `` non essentielle '' qui le rend couvert par la loi.

Nous n'impliquons pas que le problème vient des webmasters, comme indiqué en haut, ce que nous avons fait est de donner aux webmasters une solution simple à ce problème s'ils souhaitent l'utiliser. Nous sommes amenés à croire que c'est le «propriétaire» du site qui en est ultimement responsable.

Nous avons également vérifié auprès de l'ICO que le plug-in que nous avons publié était pour le sapin et répondait aux nouvelles exigences législatives en matière d'AG.

C'est vraiment un cas de, si vous le souhaitez, il est là pour l'utiliser, nous n'impliquons rien sur la loi, nous offrons simplement une solution gratuite simple à un aspect de celui-ci.

AJOUTÉE:

En ce qui concerne l'ICO, nous leur avons envoyé un lien vers la démo et leur avons simplement demandé s'ils pensaient que cela était adapté à l'objectif, on nous a dit qu'aux yeux de l'ICO, le plugin était "adapté à l'objectif et conforme à la nouvelle loi".

Loup
la source
3
+1 Êtes-vous en mesure de leur partager votre question réelle et leur réponse écrite? Un enregistrement des deux serait une grande contribution à votre réponse.
Nick
merci pour votre contribution à cette question et pour avoir mis quelque chose à disposition gratuitement pour aider les webmasters et stimuler le débat. Comme @Nick, je pense que ce serait formidable si vous pouviez partager une partie de la communication réelle que vous avez eue avec l'ICO. J'ai envoyé un e-mail à ICO avec une URL à cette question et j'ai également demandé leur contribution.
Treffynnon le
3

J'ai maintenant reçu une réponse de l'OIC, bien qu'elle ne soit plus tout à fait pertinente étant donné que l'introduction a été repoussée et que la loi et les directives pourraient être affinées entre-temps.

Merci pour votre correspondance concernant le nouveau Règlement sur la confidentialité et les communications électroniques.

Je commencerai par souligner que je ne publierai pas ma réponse sur le site Web que vous proposez; cependant, n'hésitez pas à diffuser les informations contenues ici. Je dirais également que la première rhétorique de vos deux questions n'est pas celle à laquelle je suis en mesure de répondre.

Pour continuer, vous demandez:

«Google Analytics et la directive européenne sur les cookies. Qui tombera en infraction avec la loi? Google ou le développeur? '

En guise d'introduction, la nouvelle règle relative aux cookies est la mise en œuvre au Royaume-Uni des amendements à la législation européenne existante. Avant l'adoption de la législation au niveau de l'UE, une consultation a eu lieu dans toute l'Europe. À la suite de l'adoption de la directive de l'UE sur les cookies (directive 2009/136 / CE), tous les États membres de l'UE sont légalement tenus d'adopter une législation nationale faisant écho aux règles énoncées dans cette directive. Au Royaume-Uni, les modifications ont été préparées par le ministère de la Culture, des Médias et du Sport (DCMS) et l'ICO est l'organe chargé de superviser les nouvelles règles - qui ont été adoptées en tant qu'amendements à l'actuel Règlement de 2003 sur la confidentialité et les communications électroniques ( PECR).

Si vous ne l'avez pas déjà lu, vous trouverez peut-être que la lettre d'Ed Vaisey au nom du DCMS en tant que ministre de la Culture, des Communications et des Industries créatives est utile pour expliquer l'approche adoptée par le DCMS dans la mise en œuvre de cette directive européenne. La lettre ouverte est disponible sur: http://www.culture.gov.uk/images/publications/cookies_open_letter.pdf .

En particulier, cette lettre répond le mieux à vos commentaires concernant l'utilisation d'un navigateur Web pour indiquer les préférences d'un utilisateur. L'utilisation d'un navigateur de cette manière est quelque chose que le PECR modifié permet, cependant, nous estimons que la technologie n'est pas suffisamment avancée pour que cela soit réalisable (veuillez consulter à la fois la lettre mentionnée ci-dessus et nos conseils: lire les conseils de l'OIC aux organisations sur la façon de se préparer aux nouvelles règles sur les cookies).

Il n'y a pas d'exemption spécifique pour les outils d'analyse tels que Google Analytics. La seule exception à la règle de base sur les cookies est celle qui concerne les cookies qui sont «strictement nécessaires» pour un service demandé par l'utilisateur. Cette exception est étroite en raison de la deuxième partie (`` pour un service demandé par l'utilisateur '') - et vous verrez dans nos conseils que l'exception ne s'appliquerait pas aux cookies qui collectent des informations statistiques sur les utilisateurs du site Web, ou qui ont le but d'améliorer l'apparence globale du site.

En ce qui concerne les «autres cookies du réseau marketing» - les mêmes règles concernant le consentement et la stricte nécessité s'appliquent comme indiqué ci-dessus.

Le PECR lui-même ne définit pas la définition de «consentement» aux fins de la règle des cookies. La définition du `` consentement '' sur laquelle nous nous appuyons donc est celle donnée dans la directive 95/46 / CE - la directive sur la protection des données (à laquelle vous pouvez accéder en ligne à l' adresse ). La directive définit le consentement à l'article 2, point h)). À ce stade, nous n'avons pas publié d'orientations supplémentaires concernant ce qui constitue un consentement dans le contexte de la nouvelle règle sur les cookies - sur la base que cela n'est pas différent des orientations existantes sur le consentement. Vous pouvez en savoir plus sur le consentement sur notre site Web à: http://www.ico.gov.uk/for_organisations/data_protection/the_guide/conditions_for_processing.aspx : http://eur-lex.europa.eu/LexUriServ/LexUriServ. do? uri = CELEX: 31995L0046: fr: HTML ( faites défiler la page jusqu'à la rubrique «consentement»).

Comme vous l'avez sans doute déjà vu, nos conseils en matière de cookies prennent en compte différentes manières d'obtenir un consentement. Au fur et à mesure que de nouvelles avancées sont réalisées en ce qui concerne cette nouvelle règle sur les cookies, nous pouvons ajouter des indications supplémentaires à nos instructions existantes.

Cela ne répond pas vraiment à la question d'après ce que je peux voir. Il n'y a pas de distinction entre les cookies définis explicitement par le développeur et ceux définis par d'autres services au nom du développeur dans la réponse.

Treffynnon
la source
+1 pour une réponse de l'ICO eux-mêmes ... mais malheureusement qui clarifie très peu.
Marcus Downing
1

La réponse ci-dessus parle en détail des cookies tiers et a raison de dire que l'ICO n'a pas encore donné de conseils à leur sujet. C'est un point discutable, car Google Analytics, contrairement à la publication d'origine, utilise des cookies propriétaires.

Stephen
la source
Qu'est-ce qui fait d'eux des cookies propriétaires? GA est un service tiers, donc tout cookie défini par lui est sûrement un cookie tiers.
Treffynnon
1
Vous avez raison de dire que Google Analytics utilise des cookies propriétaires dans le sens technique où ils sont définis par rapport à votre propre domaine, mais mon interprétation des directives de l'ICO sous `` cookies tiers '' est qu'ils signifient qu'un tiers prend la décision pour les définir, et qu'ils ne sont pas définis par le code hébergé sur votre domaine: "Certains sites Web permettent à des tiers de placer des cookies sur l'appareil d'un utilisateur."
Nick
0

Discussion intéressante - cela ressemble à un simple cookie de suivi analytique tombant sous le coup de la loi.

Il s'agit d'un projet de loi vraiment mal pensé. Bien qu'un très faible pourcentage de visiteurs soit gêné, ce sont généralement ces personnes qui savent utiliser les paramètres des cokkies du navigateur. Tout le monde veut juste qu'un site Web fonctionne.

Je me demande combien de temps il faudra avant qu'un plug-in de navigateur clique automatiquement sur le bouton «accepter» de toutes les fenêtres contextuelles d'avertissement des cookies?

Épissure
la source