web-dev-qa-db-fra.com

Pourquoi la directive de l'UE sur les cookies suscite-t-elle tant d'enthousiasme?

Je suis dérouté par toute l'excitation suscitée par la directive de l'UE sur les cookies. pourquoi est-ce une chose si douloureuse?

Autant que je sache, les cookies nécessaires au fonctionnement de votre site sont autorisés, tels que les paniers d'achat et les connexions au site. Est-ce que j'ai râté quelque chose?

La spécification HTTP originale a été conçue pour fonctionner de manière apatride. À mon avis, il s’agit d’un tremplin dans la bonne direction pour les sites Web apatrides RESTful. Pourquoi l’état devrait-il être ajouté au processus alors que ce n’est pas nécessaire?.

Digest Auth, etc., pourquoi tout le monde est-il inquiet?

Une réponse évidente pourrait être que Google Analytics doit définir des cookies pour pouvoir suivre le trafic. Il existe une réponse quelque peu insatisfaisante à ce point: http://cookies.dev.wolf-software.com

Alors, ai-je oublié quelque chose sur lequel je devrais paniquer? Qu'as-tu inquiété à ce sujet?

cookielegal
7
Treffynnon

"L'enthousiasme" est lié à une confusion quant à la manière dont la nouvelle directive (PDF: 2009/136/CE ) doit être interprétée et mise en œuvre, et si elle est juste ou non pour les webmasters européens:

Les lois s'appliquent-elles aux cookies tiers?

L’organisme britannique chargé de la protection des données chargé de l’application des lois en Grande-Bretagne indique dans ses directives qu’il souhaite obtenir des éclaircissements ( voir ma réponse ici ), mais nous ne savons pas si demander l'autorisation d'utiliser des cookies tiers de Google Analytics, par exemple.

Les lois pourraient-elles paralyser les sites Web de l'UE?

S'il s'avère que les nouvelles lois exigent que les webmasters européens demandent à chaque visiteur l'autorisation d'utiliser des cookies tiers, cela affectera un grand nombre de sites Web et générera des analyses, des systèmes d'affiliation, des tests d'utilisation et même l'intégration de vidéos de tiers (beaucoup dont utilisent des cookies) inutilisable ou beaucoup moins efficace. De nombreux propriétaires de sites, qui autrement n'auraient pas eu à émettre de demande de stockage de cookies, devront également le faire, abandonneront les services ou rechercheront des alternatives sans cookies.

La directive s'applique-t-elle aux services hébergés hors de l'UE?

Dans le même ordre d'idées, si je dirige une entreprise du Royaume-Uni, mais un blog sur un service hébergé situé en dehors de l'UE qui utilise des cookies "inutiles", dois-je reconstruire mon thème pour demander l'autorisation de les utiliser? Si tel est le cas, le service sera-t-il prêt à fournir cette fonctionnalité? Si non, dois-je migrer mon blog ailleurs? Ces questions doivent encore être répondues.

Quelle est la meilleure façon d'obtenir une permission?

La nouvelle directive vise à garantir que les personnes sans connaissances techniques exercent le même contrôle sur leur vie privée que les autres utilisateurs techniques. Pour ce faire, il transforme un système de désabonnement ("voici un cookie, vous pouvez toujours le vomir si vous ne le souhaitez pas") en un système de désabonnement ("aimeriez-vous un cookie? Voici ce qu'il contient." .. ").

Les nouvelles lois sont excellentes pour les consommateurs, bien accueillies par les groupes de défense de la vie privée, plus étroitement alignées sur les courriels opt-in et le marketing par la permission, et conformes au sentiment exprimé par des mouvements tels que Do Not Track, qui espèrent bloquer les techniques de collecte d'informations utilisées par les réseaux de publicité comportementale.

Le problème, c’est que les systèmes d’inscription entraînent une surcharge d’interface plus importante que les applications de désinscription, car une demande d’autorisation doit être adressée à chaque utilisateur. L'article 66 de la directive dit:

"Les méthodes utilisées pour fournir des informations et offrir le droit de refus doivent être aussi conviviales que possible."

Malheureusement, ils laissent la méthode actuelle comme un exercice au lecteur. C'est probablement une bonne chose, car l'application de la méthode peut rendre l'application de la loi encore plus pénible. Cela dit, cela soulève encore beaucoup de questions sur le meilleur moyen d'obtenir le consentement.

L’OIC est intervenu pour proposer une liste de six méthodes de demande de cookies ( voir page 6 ). Ils admettent qu'aucune solution n'est idéale:

  1. Pop ups (moche - voir cette discussion - et souvent ignoré des utilisateurs)
  2. Nouvelles conditions d'utilisation (les utilisateurs doivent les accepter explicitement avant d'utiliser le site)
  3. Consentement défini par les paramètres (bon pour la personnalisation visuelle, pas très bon pour l'analyse)
  4. Consentement dirigé par une fonctionnalité (doit encore informer les utilisateurs que des cookies sont utilisés)
  5. Utilisations fonctionnelles (ils suggèrent une zone 'autorisations' permanente avec notifications)
  6. Via des tiers (mais ils ne savent pas encore comment les lois s'appliquent)

Puisqu'il n'y a pas de solution unique pour demander l'autorisation de stocker des cookies, chaque propriétaire de site doit inventer sa propre façon de procéder. Étant donné qu'aucune idée n'a vraiment été prise en vue de normaliser le format de la demande ou de présenter une apparence et une apparence communes, nous risquons de constater une confusion de différentes fenêtres contextuelles et mises en œuvre.

Les navigateurs ne devraient-ils pas gérer cela?

Le scénario idéal pourrait être de déléguer tout cela au navigateur, mais les contrôles pour les cookies ne sont pas assez avancés et, même si les mises à jour du navigateur apportaient un support granulaire pour les cookies, nous devions tout de même prendre en charge les navigateurs plus anciens, ce qui rendait la demande de page inévitable.

Présente-t-il un désavantage commercial?

Les nouvelles lois sur la vie privée pourraient rendre les services Web de l'UE moins attrayants que ceux des États-Unis. Comme Nick Halsted de TweetMeme le dit:

"Si vous allez sur deux sites Web avec des fonctionnalités identiques et que l'un d'eux vous demande de signer une grande boîte effrayante qui dit" Je fais le suivi de tout sur vous ", alors que ce n'est pas le cas aux États-Unis, à qui allez-vous vous inscrire? ? " [ source ]

L'ajout d'une barre d'autorisations modales risque non seulement de réduire le nombre d'inscriptions et d'engagements, mais nous ne pouvons même pas utiliser d'autres méthodes de requête en test fractionné, car le suivi des résultats d'un test fractionné nécessite d'abord de demander l'autorisation à l'utilisateur.

De plus, s’il s'avère que les entreprises européennes ne peuvent pas utiliser Google Analytics et autres sans l’autorisation de chaque visiteur (lorsque les entreprises américaines le peuvent), n’est-ce pas aussi un désavantage concurrentiel? Les États-Unis ont déjà une communauté de jeunes entreprises et un écosystème de financement florissants. Certains diront que les directives sur la protection de la vie privée, bien qu'elles soient utiles pour les utilisateurs, sont pénibles pour les entreprises car elles étouffent davantage la concurrence avec des entreprises extérieures à l'UE.

A-t-il vraiment été réfléchi?

Bien que l'objectif consistant à donner aux utilisateurs les moyens de prendre des décisions concernant leur propre vie privée soit noble, les aspects relatifs à la facilité d'utilisation n'ont pas encore été pris en compte. La bonne nouvelle est que (au moins au Royaume-Uni), nous avons jusqu'en mai 2012 pour trouver une solution.

En bref, il n’ya rien à dire inquiétez , mais il y a beaucoup à pensez environ. Une fois que l'OIC a clarifié le cas des cookies tiers et que les autres responsables de la protection des données de l'UE ont procédé de la même manière, il est important que les webmasters européens mettent en commun leurs ressources pour présenter une solution unifiée.

11
Nick

La plupart des plaintes que j'ai vues n'entrent pas dans les exceptions que vous avez mentionnées et davantage dans le domaine du marketing/des données. Certains des gros problèmes que je vois sont:

  1. Analyse standard (Google Analytics et autres)
  2. Tests supplémentaires (tests A/B, etc. pour l'optimisation de la convivialité/du taux de conversion)
  3. Suivi des affiliés.
  4. Re-marketing, de nombreux programmes déposent un cookie et génèrent des annonces dynamiques en fonction de l'activité de l'utilisateur.
  5. Personnalisation - par exemple, offrir des recommandations de produits personnalisées basées sur des produits déjà consultés, etc.

Certes, je suis basé aux États-Unis, je ne l'ai donc pas suivie d'aussi près que d'autres, mais je ne crois pas que ce qui précède fait partie des "exceptions" et que toutes sont largement utilisées.

4
Joshak

Cela semble être douloureux pour les personnes qui lisent les manchettes et qui ne connaissent pas les exceptions autorisées.

Il est également pénible de posséder des cookies à des fins statistiques, car ils ne sont pas autorisés sans consentement:

L'exception ne s'appliquerait pas, par exemple, simplement parce que vous avez décidé que votre site Web était plus attrayant si vous vous souveniez des préférences des utilisateurs ou si vous décidiez d'utiliser un cookie pour collecter des informations statistiques sur l'utilisation de votre site Web.

http://www.ico.gov.uk/~/media/documents/library/Privacy_and_electronic/Practical_application/advice_on_the_new_cookies_regulations.pdf

C'est également douloureux, car bien qu'il soit facile de placer du code JavaScript sur votre site, le suivi statistique n'est pas facile, sauf si vous avez déjà vu ce plugin.

2
paulmorriss