Archives par mot-clé : cookies

Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD

La CNIL sanctionne une publicité ciblée sans consentement valable

Données de fidélité détournées, information défaillante et sécurité insuffisante, la CNIL inflige une lourde sanction financière pour rappeler les règles encadrant la publicité ciblée sur les réseaux sociaux.

En janvier 2023, la CNIL a mené plusieurs contrôles auprès d’une société utilisant les données de son programme de fidélité à des fins de publicité ciblée sur un réseau social. Depuis février 2018, les adresses électroniques et numéros de téléphone de plus de 10,5 millions de personnes avaient été transmis afin d’afficher des publicités personnalisées. À l’issue de l’enquête, la formation restreinte de la CNIL a prononcé une amende de 3,5 millions d’euros pour plusieurs manquements au RGPD et à la loi Informatique et Libertés. La décision, adoptée en coopération avec 16 autorités européennes, met en lumière les risques juridiques et cyber liés à l’exploitation des données marketing à grande échelle.

Une exploitation massive des données de fidélité

Les contrôles réalisés par la CNIL ont mis en évidence une pratique installée dans la durée. Depuis février 2018, la société concernée transmettait les coordonnées électroniques des membres de son programme de fidélité à un réseau social. Ces informations permettaient d’afficher des publicités ciblées visant à promouvoir les produits vendus par l’entreprise. Le traitement portait sur un volume très important de données, concernant plus de 10,5 millions de personnes.

À l’issue de l’enquête, la formation restreinte, organe chargé des sanctions, a estimé que plusieurs obligations essentielles n’étaient pas respectées. Elle a prononcé une amende de 3,5 millions d’euros, un montant justifié par la gravité des manquements et l’ampleur du public concerné. La décision a été prise en coopération avec 16 homologues européens, les données de résidents de ces pays étant impliquées.

La CNIL a également choisi de rendre publique sa délibération. Elle a considéré que la publicité ciblée sur les réseaux sociaux étant largement répandue, il était nécessaire de rappeler les règles applicables. L’autorité a toutefois estimé qu’il n’était pas utile de nommer la société, privilégiant une démarche pédagogique plutôt qu’exemplaire sur le plan réputationnel.

Consentement et information, des fondements fragilisés

Le premier manquement concerne l’absence de base légale au sens de l’article 6 du RGPD. La société invoquait le consentement recueilli lors de l’adhésion au programme de fidélité, lorsque les clients acceptaient de recevoir de la prospection par SMS ou par courrier électronique. Pour la CNIL, cet argument ne tient pas.

Le formulaire d’adhésion ne mentionnait pas la transmission des données à un réseau social à des fins de publicité ciblée. Les documents accessibles depuis le site web, notamment la politique de protection des données, étaient soit silencieux sur cette transmission, soit insuffisamment clairs quant à sa finalité. Le parcours d’accès à l’information était jugé complexe, empêchant toute compréhension réelle du traitement. Dans ces conditions, le consentement ne pouvait être ni explicite ni éclairé, contrairement aux exigences du RGPD.

L’autorité a également relevé un manquement aux obligations d’information prévues aux articles 12 et 13 du règlement. Les finalités des traitements n’étaient pas clairement associées à leurs bases légales. Certaines informations manquaient, comme la finalité précise de la publicité ciblée ou la durée de conservation des données. D’autres étaient erronées, notamment les mentions relatives aux transferts internationaux, encore fondées sur le Privacy Shield, pourtant invalidé.

Failles de sécurité et gouvernance défaillante

Au-delà des aspects juridiques, la CNIL a pointé des insuffisances techniques. Les règles de complexité des mots de passe des comptes utilisateurs ont été jugées trop faibles. L’autorité a rappelé que l’utilisation de la fonction de hachage SHA-256 ne garantit pas, à elle seule, un stockage sécurisé des mots de passe, exposant les comptes à des risques accrus en cas de compromission.

Un autre manquement majeur concerne l’absence d’analyse d’impact relative à la protection des données. Aucun AIPD n’avait été réalisée avant la mise en œuvre du ciblage publicitaire. Or, le traitement combinait un volume élevé de données et des opérations de croisement, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Une analyse préalable aurait dû être conduite.

L’AIPD est un outil clé de conformité RGPD, à la fois juridique, organisationnel et technique, indispensable pour sécuriser les traitements de données à risque élevé. Il comprend la description détaillée du traitement et de ses finalités ; Analyse de la nécessité et de la proportionnalité ; Évaluation des risques pour les personnes et des Mesures prévues pour réduire ces risques (sécurité, gouvernance, procédures). Testez notre outil en ligne GRATUIT qui vous explique l’AIPD.

Enfin, la CNIL a relevé des violations des règles encadrant les cookies. Lors de la visite du site, onze cookies soumis à consentement étaient déposés avant tout choix de l’utilisateur. Même en cas de refus explicite, ces traceurs n’étaient ni supprimés ni désactivés, continuant à être lus en violation de la loi Informatique et Libertés.

Cette décision illustre une réalité du renseignement cyber, la conformité juridique, la sécurité technique et la transparence constituent un tout indissociable face aux usages intensifs des données personnelles.

CNIL, Transmission de données à un réseau social à des fins publicitaires, 2026 : https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction

Entreprise, Fuite de données, Identité numérique

Les technologies « finger printing » permettent de tourner la page du cookie ?

Après l’affaire PRISM de l’été 2013 et la joute entre Google et la CNIL (Commission Nationale Informatique et Liberté) en France, la collecte et l’utilisation de données digitales personnelles ou anonymes sont des sujets qui suscitent des interrogations légitimes chez les consommateurs dans tous les pays. Pour les cookies, les temps sont durs. Ces fichiers s’apparentent à des logiciels espions installés directement dans les navigateurs et permettent à un annonceur, à l’éditeur d’un site internet ou bien à un prestataire publicitaire d’identifier de façon anonyme un internaute et de construire un profil plus ou moins détaillé de ce dernier sur la base des informations collectées.

Le processus d’harmonisation de la réglementation européenne sur la protection des données personnelles est en marche. L’ensemble des acteurs du marché de la communication digitale et plus particulièrement les spécialistes de la publicité en ligne sont directement concernés par ces questions du moment. De plus en plus souvent, les cookies sont désignés comme une cible à abattre ou  tout du moins comme une technologie nécessitant plus de transparence et de réglementation quant  à son utilisation.

Il devient nécessaire pour tous les acteurs du secteur de songer dès maintenant à des technologies alternatives pour continuer à délivrer des campagnes publicitaires efficaces. A court-terme, le cookie va résister, mais qu’en sera-t-il à l’avenir?

Les cookies, témoins d’une époque publicitaire révolue
En pratique, les cookies peuvent d’ores et déjà être très facilement bloqués par des programmes dits « ad-blocker » directement intégrés dans certains navigateurs. Les cookies restent aussi à la merci d’un possible revirement stratégique des grands acteurs de l’écosystème digital que sont Google, Facebook, Microsoft ou Apple. Ceux-ci pourraient décider du jour au lendemain de fermer leur environnement aux cookies.

Par ailleurs, avec l’explosion de l’utilisation des smartphones et des tablettes, force est de reconnaître que les cookies sont impuissants à pénétrer l’environnement mobile auquel ils ne sont pas adaptés. Avec des internautes nomades et connectés en permanence (et qui le seront de plus en plus), les cookies font figure de technologie dépassée, incapables d’intégrer les usages en mobilité. L’optimisation de la pertinence et de la performance des campagnes publicitaires digitales passe pourtant par une prise en compte de ces nouveaux usages et fait appel au final  à des  technologies adaptées à ce nouveau paradigme.

Avec le « finger printing », un plus grand respect de la vie privée
Fort heureusement, des technologies alternatives aux cookies existent et offrent déjà des résultats prometteurs : le « finger printing » est une méthode consistant à identifier de façon anonyme un internaute quel que soit son appareil (PC, tablette ou mobile) à travers toutes les traces digitales (d’où la terminologie de « finger printing » ou « empreinte digitale » en anglais) que sa navigation peut communiquer. A chaque visite de site ou d’application mobile, l’internaute envoie jusqu’à 80 informations techniques  comme son fuseau horaire, la version de son navigateur, la résolution de son écran, les plug-ins installés, etc…  L’ensemble de ces données est passé ensuite à travers différents filtres et tableaux de correspondances afin de former une empreinte digitale unique (« finger print ») pour l’appareil utilisé. Certains acteurs ont même développé des solutions capables de reconnaître un même utilisateur à travers différents appareils, qu’il se connecte à Internet via son PC, son smartphone ou sa tablette par exemple.

Derrière ces nouvelles technologies en phase avec l’évolution des comportements et des usages, les enjeux sont clairs : pouvoir détecter un profil d’utilisateur quel que soit son moyen de connexion digitale – web, mobile ou tablette – de manière totalement  anonyme. Avec le finger printing, la réalité d’un système respectueux des données personnelles prend forme, tout en réconciliant enfin les informations entre web et mobile (cross-device) et en s’affranchissant de la menace d’évolutions techniques et réglementaires comme c’est le cas avec les cookies.

Un écosystème publicitaire qui doit évoluer
Aujourd’hui, le finger priting en est encore à ses balbutiements. Le principal obstacle à son utilisation généralisée se situe au niveau de l’organisation actuelle de l’écosystème publicitaire qui repose en grande partie sur le cookie comme identifiant commun entre les différents acteurs du marché (éditeurs, annonceurs, prestataires, …). Paradoxalement,  même les plateformes de gestion de la vie privée mises en place par l’IAB – représentant officiel de l’industrie de la publicité digitale – en Europe et aux Etats-Unis reposent actuellement sur une technologie traditionnelle de « cookie matching » (à savoir le croisement des données collectées par leurs plateformes et par les acteurs du marché). Certaines sociétés ont toutefois développé leur propre technologie de fingerprinting et l’utilisent aujourd’hui en parallèle.

La mise en place d’un standard technologique de fingerprinting à grande échelle nécessite une mise en commun des algorithmes d’identification entre les participants de l’écosystème, comme le propose la société Adtruth. Mais le marché est-il prêt pour ce grand bouleversement ou attend-il simplement d’y être forcé ?

Le drame psychologique de la fin des cookies est un faux problème en soi, puisque le nombre grandissant de campagnes publicitaires sur mobile  nécessite déjà l’emploi de nouvelles approches. Si le cookie est encore la norme aujourd’hui, il convient rapidement pour les acteurs du marketing digital de préparer leur indépendance vis-à-vis du cookie. Ceux qui ont investi en R&D pour développer une technologie de fingerprinting disposent d’ores et déjà d’une longueur d’avance… (Par Stéphane DARRACQ, PDG de makazi group)

Particuliers, Sécurité, Vie privée

Cookies de Google utilisés par la NSA

Un commentaire

La National Security Agency aurait utilisé les cookies de Google pour infiltrer des ordinateurs ciblés. Décidément, Google et la NSA, une grande histoire d’amour. Le Washington Post explique, via les documents d’Edward Snowden, que la NSA, les grandes oreilles de l’Oncle Sam, ont mis en place un système de collecte de données étonnants.

La NSA aurait exploité les cookies de Google pour infiltrer des machines et suivre à la trace des cibles précises. Nous savions que le cookies permettaient aux annonceurs de tracer nos désirs via les sites visités, voilà que la NSA en profite pour y rajouter l’option espionnage et infiltration.

Le mécanisme de suivi Google, le « PERF », permettrait donc à la NSA d’identifier un navigateur, pour ensuite suivre son utilisateur. Le journal américain montre un document volé par Snowden qui montre une mission de la NSA, en partenariat que les grandes oreilles britanniques GCHQ anglaises, pour examiner 900 antennes GSM, afin de mettre la main sur des « terroristes ».

La NSA indique que cette collecte est effectuée pour « pour protéger les Etats-Unis« . Autant dire que le GPS des smartphones, couplés avec les cookies et autres applications « vulnérables » n’ont pas fini de parler sur notre dos !