En février, la CNIL publiait un article stipulant que "Le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021". Nous profitons de cette occasion pour faire le point sur les gâteaux secs (cookies) qui se promènent dans les applications que nous mettons en œuvre.

Vous voyez probablement fleurir sur les sites que vous parcourez de plus en plus de fenêtre au premier visionnage qui vous demande au mieux de "refuser tous les traceurs" ou de "tout accepter" en un clic et au pire de cocher un à un les cookies qui seront déposés si vous ne le faites pas. Parfois il n'y a rien et vous devez aller lire les conditions de confidentialité, lorsqu'elles sont à jour.

Il est important à ce stade de décorréler la notion de cookies du reccueil du consentement des personnes sur le traitement de leurs données personnelles (info CNIL). Informer les utilisateurs qui utilisent votre site est une chose, obtenir leur consentement en est une autre.

Si vous travaillez avec nous et pour la majorité des produits, et que vous n'avez pas ajouté vous même de code intrusif dans votre thème, les cookies déposés ne sont que "fonctionnels", c'est à dire obligatoires au fonctionnement de l'application. Ils permettent par exemple de rester connecté sur votre logiciel et naviguer de page en page en étant reconnu.

Vous trouverez un point ci-dessous sur tous les logiciels que nous administrons.

Suite aux derniers documents publiés sur la CNIL au sujet des cookies, nous avons décidé d'aller plus loin dans la protection des données des utilisateurs en interdisant simplement la gestion des statistiques web avec des cookies. En effet, il est possible d'être en conformité avec nos logiciels et le RGPD sur ce point, sans déranger vos utilisaeurs avec une bannière à l'entrée.

Matomo est un logiciel qui permet de laisser le choix aux hébergeurs du service de bloquer les cookies et de ne pas les utiliser. Les statistiques continueront cependant d'être construites.

Ce choix a une répercussion sur les données que vous allez collecter. Vous trouverez une traduction d'un article du site Matomo qui l'explique très bien. Il y a concrètement peu de données dans certains rapports qui seront altérées.

L'option a été activée sur le serveur que nous administrons pour vous.

• Note système: Ça se passe dans l'administration: Administration → Privacy → Anonymize data > Force tracking without cookies (source).
• Note support: Les cookies ne sont en effet non déposés.

Vous pouvez choisir, et nous vous le recommandons, d'informer vos utilisateurs en expliquant au moins dans les mentions légales à ce qu'il peuvent s'attendre en terme de gestion de cookies. Si vous en avez le souhait, vous pouvez également ajouter une bannière au premier visionnage sur votre site. Cependant, ce n'est pas obligatoire car aucun cookie non fonctionnel ou obligatoire n'y sera déposé (Référence CNIL).

La communauté Koha a référencé tous les cookies présents dans le logiciel. Vous pouvez trouver la liste exhaustive (en anglais) sur ce lien Il est également mentionné que la bannière n'est pas obligatoire dans le cas des cookies fonctionnels dans la roadmap GDPR.

Mars 2021: Un développement est en cours (intégration de tarteaucitron) pour afficher à l'utilisateur les informations au sujet des cookies qui peuvent être déposés et dans quel cas il peut ou pas avoir le choix de les accepter et les fonctionnalités qu'il peut perdre sinon.

La documentation de ce développement se trouve sur : https://wiki.bokeh-library-portal.org/index.php?title=Gestion_des_cookies

La fonctionnalité devrait être en production très bientôt.

Seul un cookie fonctionnel et obligatoire est déposé pour le bon fonctionnement de l'application (et ce pour tous les modules que nous installons ce jour également).

• Module et version: Coeur et toutes versions
• Nom du cookie: `md5(OMEKA_PATH)`
• Valeur: Session ID
• Temps de conservation: jusqu'à la fin de la session
• Description: cookie de session, utilisé pour rester connecté

Seuls des cookies fonctionnels et obligatoires sont déposés pour le bon fonctionnement de l'application.

Il y a un cookie qui permet à l'utilisateur de rester connecté. Un autre protège contre le CSRF.

• Module et version: Cœur du logiciel, toutes versions
• Nom du cookie: connect.sid
• Valeur: Session ID
• Temps de conservation: jusqu'à la fin de la session
• Description: cookie de session, utilisé pour rester connecté

• Module et version: Cœur du logiciel, >=1.1.0
• Nom du cookie: XSRF-TOKEN
• Valeur: XSRF Token
• Temps de conservation: jusqu'à la fin de la session
• Description: protection contre le CSRF

• Module et version: Core
• Nom du cookie: PHPSESSID
• Valeur: Session ID
• Temps de conservation:
• Description: Session

Seuls des cookies fonctionnels et obligatoires sont déposés pour le bon fonctionnement de l'application.

• Module et version: Core
• Nom du cookie: PHPSESSID
• Valeur: Session ID
• Temps de conservation: Session

• Module et version: >=2.0.0
• Nom du cookie: lang
• Valeur: locale souhaitée par l'utilisateur (ex: fr_FR)
• Temps de conservation: Session
• Description: Le cookie est déposé si l'utilisateur change la langue détectée automatiquement

• Module et version: Core
• Nom du cookie: CORALLoginID
• Valeur: login de l'utilisateur
• Temps de conservation: Configurable, 3600s par défaut

• Module et version: Core
• Nom du cookie: CORALSessionID
• Valeur: Session ID
• Temps de conservation: Configurable, 3600s par défaut

• Module et version: Core
• Nom du cookie: CORALRemember
• Valeur: Se souvenir du nom d'utilisateur
• Temps de conservation: Configurable, 3600s par défaut
• Description: Le cookie est déposé si la case à cocher est cochée dans la boite de dialogue d'auth

Ceci étant dit, il vous est possible de mettre une bannière d'information sur votre site en plus des mentions légales à glisser dans une page spécifique ou en lien avec le formulaire de consentement qui est probablement déjà dans votre processus. La bannière peut être rassurante et discrète pour les internautes.

Il existe de nombreuses solutions packagées qui font probablement plus que nécessaire pour vous, en voici quelques exemples:

• Tarteaucitron
• CookieConsent
• Orejime

[Pour les produits Koha, PLB, Coral, Urungi, Omeka-s]

"Les traceurs peuvent être déposés ou lus, par exemple lors de la consultation d'un site web, d’une application mobile, ou encore de l'installation ou de l'utilisation d'un logiciel. […] Il y a "les traceurs qui sont exemptés de consentement. Il s'agit des traceurs strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur"

Il y a aussi "les traceurs nécessitant le recueil du consentement préalable. Ceux-ci peuvent par exemple être liés à l’affichage de la publicité personnalisée ou non personnalisée (dès lors que des traceurs sont utilisés pour mesurer l’audience de la publicité affichée dans ce dernier cas) ou encore à des fonctionnalités de partage sur les réseaux sociaux. En l'absence de consentement (dans l’hypothèse donc d’un refus de l'utilisateur), ces traceurs ne peuvent être déposés et/ou lus sur son terminal." source

Aucune demande de consentement de dépôt de traceur n'a été affiché sur ce site. En conséquence, aucun traceur ou cookie n'est déposé qui nécessite un consentement. Un ou plusieurs cookies peuvent être déposés sur votre ordinateur si vous vous connectez et utilisez les services de la «bibliothèque|médiathèque|autre». Ces cookies sont nécessaires à l'utilisation de nos services et obligatoires au bon fonctionnement du site.

[Pour Bokeh]

Il y aura bientôt une bannière de recueil de consentement pour les cookies, le développement est en cours.

L'action ne nécessitant pas le consentement de l'internaute, car aucun cookie n'est déposé hors cookie fonctionnel s'il se connecte, la popup mérite d'être discrète et fermable et n'est pas obligatoire dans notre cas (hors Bokeh).

~~ à venir ~~

Si vous avez toujours une question concernant le sujet, nous vous invitons à déposer une demande de support dans Mantis.