Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews
  • Sécurité
  • France

Quelle conformité pour le site Web d’une banque pour la gestion des cookies ?

LES FAITS : 

Comme tout site en ligne, le site Web d’une banque doit se conformer au RGPD, et à la loi Informatique et liberté pour les données personnelles. Il devra dorénavant se conformer en sus aux lignes directrices et recommandations de la CNIL pour les cookies, publiées le 1er octobre dernier, en attente d’un futur règlement européen en la matière.

Suite au RGPD, l’Europe s’est en effet préoccupée de faire évoluer la directive eprivacy, peu appliquée ou de façon disparate en Europe, pour en faire  un règlement eprivacy, appelé parfois à tort règlement ecookie. Le projet de règlement a en réalité un horizon bien plus vaste.

Ses objectifs :

  • protéger la confidentialité des données et du contenu des communications ;
  • encadrer l’usage (modalités des consentements et cas légitimes sans consentement), des métadonnées de tous types d’échanges électroniques émises vers un groupe non fermé (par PC, mobile, IOT  ou M2M , poste wifi, assistant personnel …). Ces métadonnées peuvent être des traceurs tels que des cookies mais aussi des métadonnées liées aux suivi des mouvements physiques de l’utilisateur ou associées à des techniques de device fingerprinting.

 

Mais depuis la première version du projet de règlement en 2017, de nombreuses versions ont été publiées en relation avec d’intenses débats politiques (Certains Etats comme la France exigent la rétention des données de connexion par les opérateurs de télécommunication, ce qui vient de faire l’objet d’une décision de la CJUE de non-conformité légale en raison d’une collecte massive non proportionnée et sans limitation dans le temps). Il a aussi provoqué de profondes divergences sur la légitimité de certains type de traceurs. Ces divergences n’ont jamais permis jusqu’ici d'aboutir à un consensus. Ainsi la dernière version de mars 2020 s’est également soldée par un échec.

 

C’est à la nouvelle présidence allemande du conseil de l'UE, qu’appartient la tâche de finaliser enfin ce projet de règlement, qui est fort attendu par les utilisateurs pour protéger leur vie privée. Nous noterons ainsi qu’une importante action de groupe a été lancée aux Pays-Bas contre Oracle et Salesforce, avec une demande de dédommagement de plus de 10 milliards d’euros pour leur implication dans l’installation de cookies tiers permettant le profilage des internautes.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

A défaut de parution du futur règlement eprivacy, les autorités de protection des données personnelles de chaque Etat membre prennent donc leurs propres dispositions, parfois divergentes.

  • L’Espagne a ainsi commencé à sanctionner : une amende de 30 000 euros a été prononcée par l’autorité espagnole contre Twitter pour non-conformité au RGPD de leurs modalités de consentement aux cookies.
  • En France, la CNIL a quant à elle choisi une approche par étape, avec la publication de lignes directrices, puis d’un guide de recommandations, à l’issue d’une phase de concertation avec les acteurs concernés, en laissant du temps à ces derniers pour leur mise en conformité (au plus tard fin mars 2021).
  • Les premières lignes directrices de la CNIL de juillet 2019 ont fait l’objet d’un recours. Un an plus tard, le conseil d’Etat a rendu son verdict. Il a validé la plupart des lignes directrices envisagées par la CNIL (pouvoir refuser ou retirer son consentement aussi facilement que consentir à un traceur, consentement granulaire par finalité, information par finalité en indiquant l’identité de tous les tiers qui déposent les cookies,….). Mais le conseil d’Etat n’a pas retenu l’illégalité du mur de cookies, pourtant considéré par l’EDPB comme un consentement non conforme. Ce 1er octobre 2020, La CNIL a donc édité de nouvelles lignes directrices (forces de loi) en autorisant le mur de cookies au cas par cas.
  • La CNIL a publié le même jour son guide de recommandations élaboré après consultation publique. Ce guide reprécise les modalités pratiques de recueil du consentement en accord avec les lignes directrices. Ainsi le consentement par simple navigation sur le site ou par approbation des CGU (Conditions Générales d’Utilisation) ou par demande  à l’internaute de paramétrer son navigateur n’est plus considéré comme valable.

 

Début avril 2021, tous les sites (média, services, e-commerce,…), y compris ceux des banques, devront donc être en conformité.  Or l’absence de conformité est facilement détectable par l’utilisateur et peut être affinée par des experts ou des outils experts tels que ceux mis à disposition en open-source par le laboratoire LINC de la CNIL (cookieviz2) ou par l’INRIA (Cookinspect et Cookie Glasses). Ainsi, l’INRIA a dévoilé que 54 % des sites pouvaient être en infraction avec le RGPD pour la bannière des cookies. Certains sites ne prenaient même pas en compte le refus exprimé par l’internaute et certains, plus astucieux, considèrent certains cookies comme légitimes pour éviter le besoin de requérir au consentement.

 

POUR EN SAVOIR PLUS SUR LES TRACEURS DANS LE VISEUR DE LA CNIL 

Les lignes directrices de la CNIL portent sur tous types d’équipements électroniques connectés directement ou indirectement  à un réseau de télécommunication ouvert et pour tous les traceurs suivants

  • "Les cookies HTTP, par lesquels des actions de lecture ou écriture sont le plus souvent réalisées,  
  • Les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5,
  • Les identifications par calcul d’empreinte du terminal ou « fingerprinting »,
  • Les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc."

Si les traitements concernent des données produites ou collectées via ce type de traceurs qui relèveraient des données à caractère personnel, ce sont les dispositions européennes du RGPD et de la Loi Informatique et Liberté qui s’appliqueraient.

Les  traceurs autorisés sans consentement sont limités aux cas suivants : 

  • "Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • Les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
  • Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
  • Les traceurs d’une personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • Les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • Certains traceurs d’audience s’ils respectent certaines précautions."

la CNIL alerte sur un type de traceur particulier, le CNAME, qui peut ouvrir la porte à une faille de sécurité majeure :

Le CNAME est un mécanisme de délégation de sous-domaine, qui a pour intérêt pour les sociétés marketing de passer outre les protections des navigateurs et de certains adblockers, pour leur permettre d’accéder aux cookies des autres. Ainsi, si le site partenaire n'a pas pris ses précautions, ce mécanisme CNAME pourrait laisser fuiter des données de connexion que des employés de ces sociétés de marketing pourraient potentiellement utiliser pour se connecter au compte de n’importe qui. Dans le cas d’un site média, cela peut être dommageable, mais dans le cas d’une banque, la menace est encore plus sérieuse en termes de risques de fraudes bancaires par usurpation d’identité. Ainsi un expert Pixel de tracking avait dévoilé cet été deux cas d’école avec le recours au CNAME pouvant engendrer une fuite des données de connexion, aussi bien pour le site du Monde que pour celui de Boursorama Banque.