Mise à jour du bandeau Cookie

[OMoukoko]

Bonjour l'équipe,

Petit rappel pour la mise à jour du bandeau Cookie d'Emjpm, dans lequel ne figure pas les cookies suivants :

• Youtube (qui nécessite nécessairement le consentement des personnes)
• Mapbox (dont nous aimerions savoir l'utilisation, pour pouvoir déterminer si le consentement est nécessaire et compléter, si nécessaire, la politique de confidentialité)

Vous trouverez dans le nextcloud de la Fabrique, des Recommandations pour réaliser un bandeau conforme.

Très cordialement, Osiris Moukoko, NumériCité

[devthejo]

Bonjour @OMoukoko,

merci pour ce feedback, je ne comprends pas très bien l'implication de youtube, nous n'intégrons aucun service ou vidéo youtube. Même après recherche dans le code, aucune trace de cela. Nous utilisons mapbox afin d'afficher les mandataires à proximité, mapbox est un peu un googlemaps ou openstreetmap, je ne sais pas précisément ce qui a motivé ce choix technique mais ça fait bien le job. Il ne me semble pas que les données transmises soient exploitables en l'état et permettent d'identifier qui que ce soit (sauf peut être en croisant des tonnes d'autres données en provenance d'ailleurs et d'être la NSA), si vous avez des questions plus précises je tenterai d'y répondre. Je ne suis pas un spécialiste des RGPD (à part que je constate souvent des subjectivités pas très cohérentes quant à leur applications, en gros on se pose pas toujours les bonnes questions, mais ceci est un autre débat). Voici les infos legales de MapBox: https://www.mapbox.com/legal/privacy Je ne suis pas juriste, donc je ne sais pas dire si il faudrait intégrer un consentement pour les cookies, ni même si cela est possible, tout ce que je peux dire est que nous ne transmettons aucune info concernant nos utilisateurs à ce service (en tout cas autre que ce que leur navigateur transmet naturellement en l'utilisant, à savoir le navigateur, l'OS, la date de connexion etc...), donc il me semble que nous pouvons nous en passer.

[devthejo]

@vicmartinezp

[OMoukoko]

Bonjour @devthejo

Merci pour votre réponse sur Mapbox. Du coup, je comprends que l'outil permet bien de géolocaliser les mandataires, puisqu'il affiche ceux qui sont à proximité, et ces données de localisation sont des données à caractère personnel. Pour les cookies, la question du consentement n'est pas dans la transmission aux géants américains, mais le simple dépôt de cookie, y compris par la Fabrique.

Je reste à votre disposition pour toute question,

Très cordialement, Osiris Moukoko Priso

[devthejo]

Bonjour @OMoukoko , effectivement ces données de localisation sont à caractère personnel mais nous ne transmettons rien qui permette de relier les personnes aux géopoints à MapBox. Nous avons bien un bandeau de consentement pour les cookies, les seuls que nous déposons sont ceux à l'usage de notre instance matomo (et cela est configurable spécifiquement grâce à notre bandeau de consentement de cookie).

[OMoukoko]

Bonjour @devthejo

J'ai bien compris qu'il n'y a pas de transmission. Néanmoins, les nouvelles recommandations de la CNIL relatives aux cookies imposent un consentement, dès lors qu'il y a un dépôt de cookie captant une information (sauf exception, et les informations de localisations n'en font pas partie). Sur e-mjpm, la Fabrique dépose donc bien :

• un cookie Matomo ;
• un cookie Mapbox.

Le consentement de la personne est nécessaire, peu important qu'il y ait de transmission, car il y a un dépôt de cookie.

Néanmoins, pour vous passez de bandeau, vous pourriez par exemple prévoir de déposer le cookie, seulement lorsqu'un utilisateur "clique" sur un bouton "trouver un mandataire".

Très cordialement, Osiris Moukoko Priso

[devthejo]

Bonjour @OMoukoko,

concernant Matomo (piwik) nous pourrions nous passer du consentement car il s'agit d'un des cas exemptés:

Les traceurs exemptés du recueil de consentement

Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation https://www.journaldunet.com/solutions/analytics/1160916-cnil-web-analytics-et-cookie-at-internet-peut-aussi-etre-exempte-de-consentement/

Concernant MapBox si les informations contenues dans le cookie ne permettent pas d'identifier l'utilisateur il me semble que cela ne nécessite pas le consentement, https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi en revanche je ne vois pas le ou les cookies déposé par MapBox en naviguant sur le site là où il y a des appels à MapBox, pourriez vous me dire depuis quelle page vous les avez reçus, car en l'état j'ai l'impression que MapBox ne dépose tout simplement pas de cookie depuis eMJPM (je fais peut être erreur, si tel est le cas merci de m'aider à comprendre).

[OMoukoko]

Bonjour @devthejo ,

Je pense que je m'étais mal exprimé, aucun problème pour Matomo, il faut une simple information qui figure déjà dans la politique de confidentialité ; Pour Mapbox, il est déposé une API" api.tiles.mapbox.com", que la CNIL considère comme un cookies ou traceur (cf. https://www.cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformite).

Mapbox précise dans sa politique de confidentialité :

"We automatically collect certain technical information whenever requests are made to our APIs or applications use our SDKs, including (a) IP address, (b) device and browser information, (c) operating system, (d) the content of the request, (e) the date and time of the request, (f) limited usage data, and (g) for our mobile SDKs, limited location data. We delete IP addresses after 30 days. In addition, when a mobile application uses our SDKs, it may send us certain limited location and usage data along with an ephemeral ID. This ephemeral ID changes hourly and we do not associate it or the unprocessed mobile location data with any personally identifying information, including names, permanent IDs, email addresses, IP addresses, or phone numbers. We also collect randomly-generated IDs for the limited purpose of analyzing the use of our APIs and SDKs, including the number of active users. We will delete the randomly generated IDs and the content of requests made to our APIs after 36 months."

Il y a donc une collecte d'informations dans le cadre de l'API. Celle-ci nécessite donc un consentement qu'il faut prévoir par le bandeau Cookie, ainsi qu'une mention d'information (déjà présente dans la politique de confidentialité).

Pour éviter le bandeau, vous pourriez proposer un bouton "trouver un mandataire", l'API ne se déclenchant que lorsque la personne clique. Cela vous permettrai d'être exempté du consentement au titre de l'article 82 car il serait "strictement nécessaire à la fourniture et à la demande expresse de l'utilisateur".

Très cordialement,

Osiris Moukoko Priso

[celinelr]

Je close car si je me trompe pas la politique de confidentialité a été mise à jour récemment avec cette information.