AmauriC / tarteaucitron.js

RGPD friendly cookie manager
https://tarteaucitron.io/
MIT License
925 stars 370 forks source link

Suppression des cookies après le refus (version pro) #701

Closed developer-mde closed 3 years ago

developer-mde commented 3 years ago

Bonjour,

Actuellement, si nous acceptons un service (matomo par exemple), les cookies sont déposés. Mais si ensuite nous refusons, les cookies restent...

Sur un autre projet, nous utilisons le module Drupal "TACjs" et avons appliqué un patch qui permet cela.

Pensez-vous appliquer cette modification ?

patches_tacjs-matomo.patch.txt

AmauriC commented 3 years ago

Merci! Il faudrait aussi ajouter la gestion du cookieDomain si il est configuré.

developer-mde commented 3 years ago

Vous pensez pouvoir le faire ? Je ne pense pas avoir le temps de faire des modifications.

developer-mde commented 3 years ago

Ah je comprends mieux, c'est remplacer les "location.hostname" par "tarteaucitron.parameters.cookieDomain" c'est ça ?

AmauriC commented 3 years ago

Je dis des bêtises, les sous domaines sont déjà gérés. Il est normal qu'après une désactivation les cookies soient toujours présent mais avec une date d'expiration dans le passé et un contenu vide. En fermant le navigateur tout est définitivement supprimé.

developer-mde commented 3 years ago

Etes-vous sûr ? Car avec Matomo, par exemple, si je dis non ça recharge avec les cookies et les valeurs sont toujours présentent (console chrome)

AmauriC commented 3 years ago

Il y a une url ou je peux reproduire le problème?

developer-mde commented 3 years ago

C'est un site en cours de développement. Je viens de faire un test sur un autre site à nous (https://parisactionclimat.paris.fr/fr) et ça fonctionne pour google Analytics... Mais nous, nous avons le soucis avec Matomo...

Je me demande si c'est pas lié au sujet sur le consentement du service Matomo...

Si on utilise la version PRO de TAC, Matomo est exempt de consentement or pour l'instant on n'arrive pas à avoir une réponse définitive de la CNIL sur ce point donc nous avons créé un service custom qui reprend le code exact de Matomo (nous avons juste changé le "needConsent": true)

Sur le site de la CNIL https://www.cnil.fr/fr/gestion-des-cookies, si on refuse PIWIK, les cookies se suppriment bien... il faudrait trouver un site qui utilise Matomo et TAC

gliautard commented 3 years ago

Bonjour @AmauriC,

L'objectif de ce patch (pour le module Drupal TacJS qui embarque votre librairie) était de supprimer les cookies qui commencent par ce que l'on trouve dans les réglages des services, par exemple tarteaucitron.services.matomo > cookies.

Par exemple l'instance Matomo Cloud pour le site Film Paris Region délivre des cookies nommés : "_pk_id.7.de43" alors qu'en temps normal tarteaucitron cherchera à invalider précisément "_pk_id". Dans ce cas précis, avant l'application du patch, les cookies restaient.

J'espère pouvoir aider avec ces explications.

Bien à vous, Guillaume.

AmauriC commented 3 years ago

Ok, compris, je n'avais pas vu le 'includes'. Par contre ça risque de poser d'autres problèmes et de supprimer des cookies qui ne sont pas censé l'être.

Il n'est pas possible de deviner la chaine "7.de43" pour faire comme pour GA? https://github.com/AmauriC/tarteaucitron.js/blob/master/tarteaucitron.services.js#L1719

developer-mde commented 3 years ago

` Piwik.getTracker();

      var theCookies = document.cookie.split(';');
      for (var i = 1 ; i <= theCookies.length; i++) {
        var cookie = theCookies[i-1].split('=');
        var cookieName = cookie[0].trim();

        if (cookieName.indexOf('_pk_') === 0) {
          tarteaucitron.services.matomo.cookies.push(cookieName);
        }
      }

` Nous n'avons pas une variable comme pour GA... Piwik a l'air de fournir l'identifiant directement dans les cookies...

AmauriC commented 3 years ago

https://help.piwik.pro/support/getting-started/cookies-created-by-piwik-pro/ Il y a un hash 😒

Il n'y a pas par hasard une fonction js pour récupérer cette infos? Si un site live est dispo je pourrai chercher 👀

gliautard commented 3 years ago

Bonjour @AmauriC,

Bien vu! Vérification possible ici https://www.filmparisregion.com (utilise notre patch).

Facile d'avoir le siteId Matomo.getTracker().getSiteId();

En revanche je n'ai pas réussi à trouver comment récupérer le hash du domaine.

Début de piste: https://forum.matomo.org/t/identify-matomo-cookies-to-comply-with-the-general-data-protection-regulation-eu/37044/2

Merci!

AmauriC commented 3 years ago

Merci! Je vais regarder comment je peux améliorer tout ça : )

AmauriC commented 3 years ago

Je n'ai jamais réussi à trouver une solution pour trouver le nom du cookie : (