Les développeurs de la base de données CovenantSQL ont
introduit l' utilitaire open-source Cookie Scanner, qui détermine quels cookies les sites définissent et dans quel but.
Nous discutons pourquoi l'outil était nécessaire et comment il fonctionne.
/ Flickr / Yann Cœuru / CC BY / Photo modifiéeCe que dit la loi
L'article 30 du règlement général sur la protection des données (RGPD) oblige les sites qui utilisent les données personnelles des utilisateurs à informer ces derniers de l'installation de cookies et à obtenir leur consentement.
L'utilisation de cookies dans l'UE est également réglementée par une autre loi - la
directive ePrivacy , en vigueur depuis 2009 (cette année, elle sera remplacée par le règlement ePrivacy plus strict, dont nous avons parlé
dans l'un des documents précédents ). Il oblige également les propriétaires de sites Web à notifier le traitement des cookies.
Pour violation des exigences du RGPD et de la directive ePrivacy, le propriétaire de la ressource peut recevoir une amende élevée - jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel de l'organisation.
Quelle est la difficulté
Malgré les sanctions, de nombreux sites mettent en place des cookies dits optionnels sans le consentement de l'utilisateur.
Il est considéré que la ressource Internet n'est pas requise pour obtenir le consentement de l'utilisateur pour installer des cookies, s'ils sont nécessaires au bon fonctionnement du site. Cependant, le libellé de la loi est assez vague et il n'est pas toujours clair quand cette règle est applicable.
Sur cette base, des situations de conflit surgissent. Par exemple, l'éditeur français Editions Croque Futur a placé des visiteurs sur le site des cookies pour des campagnes marketing. Les propriétaires ont constaté que ces cookies assurent la rentabilité du site et sont donc vitaux pour le fonctionnement du service. Mais le régulateur n'était pas d'accord avec leurs arguments et a
écrit une amende à la
société d'un montant de 25 milliers d'euros.
Un autre problème est que le RGPD
ne nécessite pas de spécifier et de décrire tous les cookies tiers sur le site, par exemple ceux qui sont nécessaires au fonctionnement des plugins de réseaux sociaux. Selon les représentants de la British Commission for Information (Information Commissioner's Office) dans leur guide (
PDF , p. 17), il suffit qu'une entreprise regroupe les cookies tiers en catégories et explique leur finalité.
Le régulateur italien explique qu'il s'agit d'une mesure nécessaire, car sinon les propriétaires devraient surveiller en permanence les cookies tiers sur le site et surveiller leur objectif, qui peut changer au fil du temps. Il est difficile d'accomplir cette tâche, ne serait-ce que parce que les webmasters n'ont souvent pas de contacts directs avec toutes les organisations responsables de la configuration des cookies sur leur site Web.
En pratique, il s'avère que lorsque vous vous rendez sur le site, le navigateur de l'utilisateur peut télécharger des cookies tiers dont la finalité est à coup sûr inconnue.
/ Flickr / Benjamin Horn / CC BYComment résoudre un problème
Pour obtenir la liste complète des cookies définis par l'une ou l'autre ressource (et en même temps trouver des sites qui enfreignent les exigences du RGPD), utilisez l'utilitaire Cookie Scanner. Le réseau dispose d'un nombre assez important de services similaires, mais nombre d'entre eux sont payants. Le code de Cookie Scanner est ouvert et se trouve
dans le référentiel sur GitHub .
Cookie Scanner analyse l'état des cookies et génère un rapport décrivant leurs tâches. L'outil prend des informations sur une ressource de
cookiepedia spécialisée et utilise une base de données CQL pour les représenter. Maintenant, il contient des informations sur 10 mille cookies différents. À propos de la façon de commencer à travailler avec une base de données CQL - dans
le guide de démarrage rapide préparé par les développeurs de CovenantSQL.
Cookie Scanner nécessite un système d'exploitation MacOS / Linux et un navigateur Chrome. Alternativement, vous pouvez vous référer à sa version sans tête, qui est utilisée pour tester le code et la mise en page. Il ne rend pas le contenu à l'écran, il fonctionne donc plus rapidement et consomme moins de mémoire.
Une propriété importante est la possibilité d'installer sur un serveur Linux nu - il suffit de mettre le package et le navigateur fonctionnera prêt à l'emploi.
Pour exécuter headless-chrome dans le conteneur, vous devez exécuter la commande:
$ docker container run -d -p 9222:9222 zenika/alpine-chrome --no-sandbox \ --remote-debugging-address=0.0.0.0 --remote-debugging-port=9222
La configuration de Cookie Scanner se fait à l'aide de get:
$ go get github.com/CovenantSQL/CookieScanner
L'outil génère des rapports sur les cookies aux formats PDF, JSON et HTML. La fonction d'analyseur pour la sortie d'informations au format PDF ressemble à ceci:
func outputAsPDF(remote *godet.RemoteDebugger, htmlFile string) (pdfBytes []byte, err error) { var tab *godet.Tab htmlFile, _ = filepath.Abs(htmlFile) fileLink := "file://" + htmlFile if tab, err = remote.NewTab(fileLink); err != nil { return } if err = remote.ActivateTab(tab); err != nil { return }
Voici comment le rapport HTML est généré à l'aide du mode CLI:
$ CookieScanner cli \ --headless \ --classifier "covenantsql://050cdf3b860c699524bf6f6dce28c4f3e8282ac58b0e410eb340195c379adc3a?config=./config/config.yaml" \ --html cql.html covenantsql.io
Des exemples de rapports que le programme peut générer peuvent être trouvés dans la
section correspondante du référentiel .
Il y a un mois, l'Agence néerlandaise de protection des données (AP) a
annoncé que dans un proche avenir, elle serait activement engagée dans la vérification des plaintes des utilisateurs sur les sites qui enfreignent les règles de travail avec les cookies. Nous pouvons supposer qu'il y aura plus d'outils (y compris open-source) pour surveiller les cookies. Et ils seront utilisés à la fois par les utilisateurs et les propriétaires de sites Web pour se conformer au RGPD et à la réglementation ePrivacy.
Nos ressources et sources supplémentaires:
L'accord pour 39 millions de dollars: pourquoi les créateurs du SGBD open source ont décidé de faire du développement mobile
Données personnelles: quelle est l'essence de la loi?
Minimisation des risques: comment ne pas perdre vos données
Sauvegarde de fichiers: comment être à l'abri de la perte de données
Comment nous travaillons: le résumé 1cloud
Comment la technologie cloud a aidé à distinguer un trou noir
Attaques potentielles contre HTTPS et moyens de se protéger contre celles-ci