L'opérateur américain Verizon a trouvé un accord avec la FCC sur son usage de « supercookies » impossibles à supprimer, qui servaient notamment à en recréer d'autres que l'utilisateur a supprimé. Le groupe doit ainsi s'acquitter de 1,35 million de dollars de pénalité et donner la possibilité aux internautes de les supprimer.
C'est l'heure du régime sans cookies pour Verizon. L'opérateur américain a conclu hier un accord avec le régulateur des télécoms, la FCC, sur son usage de « supercookies » (ou « cookies zombies ») inévitables pour ses utilisateurs. L'entreprise doit ainsi payer 1,35 million de dollars d'amende pour ses années de mauvaises pratiques et donner plus de libertés aux utilisateurs vis-à-vis de ce traçage.
Une enquête ouverte fin 2014
Le principe est simple : depuis 2012, Verizon insère des cookies dans le trafic web de ses clients, en le leur signalant a minima. « Ces identifiants uniques et impossibles à supprimer (appelés UIDH) sont insérés dans le trafic web et utilisés pour identifier les internautes, pour leurs fournir des publicités ciblées de Verizon et de tiers » explique la FCC. De quoi déplaire aux défenseurs des libertés numériques et au régulateur, qui se sont émus de la pratique.
La FCC a donc ouvert une enquête fin 2014, suivie d'une révélation importante de ProPublica en janvier 2015. Le site affirmait ainsi que Turn, une société de publicité utilisée par des groupes comme Facebook et Google, utilisait les « supercookies » de Verizon pour recréer des cookies supprimés par les internautes, sans leur consentement. En octobre, il affirmait même que les cookies mobiles de Verizon étaient croisés avec des données publicitaires d'AOL.
Début 2015, donc, le groupe télécom niait l'usage par des tiers pour construire un profil utilisateur. Il avait commencé à les signaler à ses utilisateurs en octobre 2014. « Ce n'est pas avant mars 2015, plus de deux ans après que Verizon Wireless a commencé à insérer des UIDH, que l'entreprise a mis à jour sa politique de confidentialité et commencé à offrir aux clients l'opportunité de se désinscrire du programme » écrit encore la FCC, qui était à l'époque en pleine enquête.
Consentement obligatoire pour les tiers
En plus de son amende, Verizon a consenti à des modifications de son service. Désormais, il doit permettre de se désinscrire de ces cookies et devra obtenir le consentement de l'internaute avant son usage en interne ou par des tiers. Les internautes seront donc prévenus de ces « supercookies », même si la forme exacte du signalement n'est pas encore exactement connue. L'opérateur a accepté un plan sur trois ans pour se mettre en conformité avec la loi.
Selon la FCC, l'usage de ces cookies sans en avertir l'utilisateur viole le règlement sur la neutralité du Net, adopté en février 2015, qui impose la transparence aux fournisseurs d'accès. De même, avec cette pratique, l'opérateur aurait manqué à son obligation de protéger les données des consommateurs. La FCC note également la coopération de Verizon pendant l'enquête et sa volonté de changer ses pratiques.
« Cette année, nous avons apporté plusieurs changements à nos programmes publicitaires qui ont fourni plus d'options aux consommateurs. L'accord signé aujourd'hui avec la FCC le reconnaît. Nous continuerons à fournir à nos clients les informations nécessaires pour décider quels programmes et services leurs sont utiles » a répondu Verizon à Ars Technica.
De son côté, l'Electronic Frontier Foundation s'est félicitée de cette « victoire », considérée comme un grand pas dans la protection de la vie privée en ligne aux États-Unis. Cela même si d'autres méthodes de suivi peuvent être implémentées par les opérateurs, prévient tout de même l'organisation.
Commentaires (32)
#1
Donc la on a un FAI qui modifie les flux http pour injecter des cookies de traçabilité ? Mais c’est sympathique comme tout " />
#2
J’ai lu 1,35 milliard et du coup je me suis excité pour rien " />
Put that cookie down!
Et voilà, maintenant j’ai des images de la Course aux jouets en tête " />
#3
C’est pas la CNIL qui aurait récolté autant, vu ses pouvoirs de sanction…
#4
#5
#6
#7
Il n’est pas coupable de contrefaction de musique… ni de bords arrondis.
A tiens, je ne connaissais pas cette référence….
#8
Il me semble que maintenant ils peuvent aller jusque 4% de CA de l’entreprise soit bien plus que 135 millions….
http://www.nextinpact.com/news/98192-loi-numerique-cnil-pourra-infliger-amendes-…
#9
#10
des chercheurs ont cherché en sortie des belles boites des FAI fr ?
#11
#12
Bon sinon, 1,3 millions c’est peanuts.
Pour l’exemple, ils auraient dû monter beaucoup plus..
Pour filer une amende de plusieurs millions aux tipiak qui DL 3 morceaux de Justin Bieber, il y a du monde au balcon, pourtant. Ils savent faire dans la disproportion quand ca les arrange, pourquoi pas là ?
#13
cookies rookies…
#14
#15
#16
#17
#18
#19
#20
on devrait te bannir de PCI pour cette insulte envers l’équipe " />
#21
#22
#23
#24
En allant bosser chez Voici par exemple " />
#25
#26
tant qu’il garde sa croix et qu’il a la coupe de frère Toc, j’aurai envie de dire " />
#27
#28
#29
#30
#31
#32