Les débats autour de la protection de la vie privée en ligne se popularisent.
Depuis maintenant quelques années, alors que les scandales autour de l’utilisation des données personnelles sont de plus en plus fréquents et médiatisés, diverses pratiques intrusives sont dénoncées. Les utilisateurs prennent conscience de l’importance de leurs données personnelles et leur confidentialité alors qu’elles sont tous les jours consommées au travers de leurs navigations web et utilisation d’applications mobiles. Les cookies de navigation n’échappent pas aux débats, alors que des changements majeurs ont été opérés début avril et d’autres sont annoncés.
Les cookies à travers les âges ?
Quel est le fonctionnement des cookies ?
A l’origine pensés pour améliorer l’expérience utilisateurs, les cookies sont des petits fichiers que les sites web déposent sur votre ordinateur pour conserver certaines informations et personnaliser votre navigation sur leur site : préférences, gestion de session, utilisation d’un panier sur un site de e-commerce, etc…. Ceux-ci sont apparus dès 1994.
Aujourd’hui, le terme cookie que l’on retrouve dans les débats autour de la vie privée fait référence aux cookies tiers, exploités par les diffuseurs publicitaires pour tracer la navigation et les comportements des internautes. Dans le cas de cookies tiers, contrairement aux cookies natifs valables uniquement sur le site qui l’émet, il est possible pour un opérateur de tracer votre navigation au travers de plusieurs sites que vous visitez. En effet, le tiers se retrouve présent par le biais d’images ou objets tiers contenus dans la page que vous visitez.
La pratique du cookie tiers permet aux diffuseurs d’analyser les comportements utilisateur et de cibler les centres d’intérêt des utilisateurs. Ainsi, les publicités proposées peuvent être ciblées. Les publicités ciblées génèrent plus de clics et par conséquent plus de revenus publicitaires pour les sites web. Cependant, la pratique est de plus en plus controversée car jugée intrusive par les défenseurs de la vie privée. Aujourd’hui, la plupart des navigateurs permettent le blocage des cookies tiers.
Les premières murailles
Les cookies ont toujours fait partie du fonctionnement du web tel que nous le connaissons, et la prise de conscience autour des abus qui peuvent en être faits également. Dès 1996, un groupe de travail sur les standards du Web considérait déjà les cookies tiers comme une menace pour la vie privée, et les premières considérations sur le sujet datent de la fin des année 90.
Les premières législations européennes arrivent dès 2002 pour tenter de protéger les internautes :
- Les internautes doivent être au courant du traitement réalisé sur les données
- L’utilisateur doit pouvoir refuser la collecte de ses données.
Cette directive européenne, appelée directive ePrivacy, renforcée en 2009, se retrouve cependant très mal appliquée. Les sites ont tendance à se limiter à un bandeau informatif sur la collecte de cookies, sans apport d’information de traitement ni de possibilité de refus de la part de l’internaute.
Une étude de 2005 de Jupiter Research a par ailleurs démontré un grand écart entre les utilisateurs : près de 40% des internautes supprimeraient leurs cookies à cette période, tandis qu’une grande partie du reste des internautes éprouvent un manque de connaissance sur le sujet et font part de nombreuses idées reçues sur le cookie : virus, générateur de spam ou de pop-up, etc…
Cookies et RGPD
Plus récemment, le RGPD a réussi à faire appliquer des changements : depuis son entrée en application en 2018, les sites web informent explicitement les utilisateurs des données collectées au travers des cookies ainsi que l’utilisation qui est faite des données collectées. Le consentement explicite de l’utilisateur est également demandé alors que les principes du texte de 2002 sont réaffirmés.
Les sites proposent alors souvent une option pour accepter l’intégralité des cookies en 1 clic mais demande de très nombreuses actions à l’utilisateur pour refuser l’intégralité des cookies. Une étude montre qu’au bout de 1 an d’application du RGPD, 10,7% des utilisateurs auraient cessé d’accepter les cookies. Cependant, paradoxalement, les données collectées par utilisateur consentant sont plus importantes et la traçabilité des utilisateurs serait accrue.
La difficulté à refuser les cookies a certainement limité cette statistique de 10,7%. Aussi, depuis le 1er avril 2021, la loi a évolué: les sites web doivent maintenant proposer la possibilité de refuser tous les cookies en un clic. Les sites se sont conformés, mais ce refus en 1 clic handicape les sites web qui trouvent plusieurs alternatives: certains affichent un bandeau qui recouvre la moitié de l’écran en cas de refus, tandis que d’autres sites choisissent tout simplement de demander à l’utilisateur soit d’accepter les cookies, soit de s’abonner au site. Ces « cookie wall » insurgent de nombreux internautes mais ne sont pas en contradiction avec la législation. Ils rappellent aussi qu’héberger un site web n’est pas gratuit et qu’aujourd’hui, la publicité représente la majorité des revenus de ces sites.
L’avenir du cookie tiers
Les cookies tiers, de plus en plus pointés du doigt par les défenseurs de la vie privée, sont voués à disparaître alors que Google Chrome a annoncé leur refus en 2022.
La recherche d’un système alternatif est en cours, et une proposition est particulièrement aboutie aujourd’hui : FLoC.
Cette proposition, émise par Google, est simple : elle vise à rassembler les utilisateurs au sein de grandes familles appelées cohortes. L’historique de navigation de chaque internaute est analysé sur une semaine glissante. En fonction des centres d’intérêts identifiés au travers de sa navigation, l’internaute se voit attribuer alors un identifiant (FLoC ID). Ce FLoC ID est commun à d’autres internautes, ce qui forme une cohorte ; une population d’individus qui partagent des centres d’intérêts similaires. Les utilisateurs ne sont donc plus tracés à un niveau individuel mais rassemblés par catégories d’individus partageant des centres d’intérêt communs.
Les publicitaires, eux, auraient donc accès aux données liées aux cohortes pour sélectionner la population qu’ils souhaitent cibler.
La solution proposée par Google met en avant l’absence de tracking individuel et de partage d’historique de navigation avec Google.
L’alternative tant attendue ?
Cependant, Vivaldi et Brave ont très rapidement rejeté cette proposition d’alternative aux cookies tiers, avant d’être rejoint par le CMS WordPress. La EFF (Electronic Frontier Foundation) a également publié un article important expliquant pourquoi cette proposition dérange.
Les critiques principales contre ce système sont les suivantes :
Cohortes dangereuses & vie privée
L’ID de cohorte est créé à partir de l’historique de navigation d’un internaute. Même si le tracking n’est pas individuel, une cohorte pourrait en dire long sur toute une population pour peu que la construction de cet ID ne soit pas contrôlé: orientations sexuelles, politiques, religieuses…
Les abus qui pourraient découler d’une telle ségrégation sont particulièrement dangereux – l’affaire Cambridge Analytica l’a prouvé.
Browser fingerprinting
Aujourd’hui, d’autres pratiques que les cookies sont utilisées pour identifier individuellement les utilisateurs, et notamment le browser fingerprinting. Ceci consiste à créer une « empreinte », c’est-à-dire convertir des informations liées à la configuration de votre navigateur en identifiant. Les variables pouvant être prises en compte sont plus nombreuses qu’il n’y paraît et permet déjà d’effectuer une identification très riche. L’EFF a mis à disposition en 2020 un outil en ligne pour sensibiliser sur le sujet : https://coveryourtracks.eff.org. Même si vous pouvez vous retrouver potentiellement avec la même empreinte (configuration) que d’autres personnes, pour peu que vous soyez dans une cohorte différente, il serait désormais possible de vous différencier. Le sujet de fingerprinting est vaste et peu de solutions pour s’en prémunir existent.
Cette pratique, permettant de tracker les utilisateurs au-delà du cookie, n’est pas la seule aujourd’hui en place. Parmi les pratiques discrètes et méconnues des publicitaires, nous pouvons également citer le CName cloacking, détaillé dans cet article de la quadrature : https://www.laquadrature.net/2020/10/05/le-deguisement-des-trackers-par-cname/.
PoC en dehors de l’UE (RGPD)
Une partie des utilisateurs de Google Chrome ont été déployés sur ce système FLoC. Ces utilisateurs sont cependant situés en dehors de l’Union Européenne. En effet, la compatibilité de FLoC avec le RGPD n’a toujours pas été établie : il est légitime de se demander si une solution qui ne peut assurer immédiatement sa conformité face à une loi visant à protéger la vie privée des internautes peut alors se positionner en solution pour remplacer les cookies.
Le tracking individuel est effectif dès que le site peut vous identifier
Si vous êtes connecté à un site web, alors vous êtes par définition identifié. Les données de cohorte apportent des informations supplémentaires qui peuvent se rattacher à votre profil et votre anonymisation est inexistante. Les mêmes problèmes que ceux identifiés pour les cookies tiers aujourd’hui apparaissent donc.
Conclusion
La vie privée et les problèmes que posent les cookies en la matière sont connus depuis plus de 20 ans alors que les cookies ont toujours fait partie du web. En 2022, le système est voué à être remplacé. Diverses alternatives sont proposées mais aujourd’hui, les attentes des défenseurs de la vie privée ne sont pas satisfaites.
Bien que peu présenté au sein de cet article, il ne faut pas oublier non plus que la publicité génère les revenus de la plupart des sites web aujourd’hui et leur permet de rester gratuits et ouverts à tous. Le modèle économique du web est étroitement mêlé au débat sur la vie privée.