Si le site de la DGFiP est critiqué pour l'utilisation d'une vidéo YouTube, imposée à ses visiteurs en pleine campagne de déclaration des revenus, qu'en est-il des autres sites publics ? Recours à des plateformes de vidéos tierces, présence de nombreux traceurs et consentement non explicite sont au programme.
Hier, nous évoquions une pratique instituée il y a quelques jours par le site des impôts : forcer les utilisateurs à regarder une vidéo avant de pouvoir entrer. Si cette obligation pose problèmes à différents niveaux, c'est surtout de données personnelles dont il a été question dans les différents articles de presse publiés depuis (voir ici, là ou encore là).
Il faut dire que le contexte est particulier, avec l'affaire Cambridge Analytica, les multiples explications de Facebook et l'arrivée prochaine du RGPD en Europe (voir notre analyse). Mais en la matière, le site des impôts n'est pas le seul à être critiquable. En réalité, de nombreux sites publics font encore preuve d'un certain laxisme en la matière.
Laisser le choix est une possibilité, la CNIL le prouve
Bien entendu, celui de la CNIL est presque l'exemple parfait des règles à suivre : sur une première connexion, aucun cookie non technique n'est déposé et aucun tracker n'est présent.
Vous pouvez accepter ou refuser l'ensemble des services tiers ou personnaliser vos choix. C'est notamment le cas pour Dailymotion, Vimeo ou YouTube, utilisés pour la diffusion de vidéo, mais aussi Facebook ou Twitter. En cas de refus ou d'absence de réponse, les modules seront bloqués pour éviter toute fuite de donnée.
Le seul regret sera alors de ne pas avoir de solution pour voir les vidéos de la CNIL sans accepter une collecte de données.
L'absence d'une plateforme vidéo commune aux services de l'État
Car contrairement à l'Assemblée nationale ou au Sénat, les différentes administrations et autres autorités n'ont aucun service d'hébergement sur lequel se reposer. Les pratiques diffèrent d'ailleurs d'un site à l'autre, certains se reposant plus sur Dailymotion que sur YouTube par exemple.
Si cette solution a l'intérêt d'avoir un petit côté « French Tech », Dailymotion appartenant à Vivendi, cela ne change rien concernant la collecte de données pouvant être exploitées à des fins publicitaires. Dès lors, on se demande pourquoi l'État n'a pas déjà mis en place un partenariat visant à permettre une diffusion sans collecte sur des sites publics, ou même à proposer directement sa propre infrastructure d'hébergement.
À l'heure où les questions de souveraineté numérique, de mise en commun des outils et de respect de la vie privée sont au cœur des préoccupations, par exemple avec la mise en place d'une messagerie chiffrée, cela semble être une piste à creuser.
Le site de l'Élysée cumule les faux pas
Et en la matière, le site des impôts n'est pas vraiment le pire du genre. On pensera notamment au site de l'Élysée, qui devrait pourtant être la figure de proue d'une République numérique.
Dès que vous arrivez sur le site, une fenêtre modale s'affiche afin de vous inciter à suivre le compte de l'institution sur Facebook, mettant fièrement en valeur ses 421 000 « J'aime » acquis en partie de cette manière. Les plus taquins noteront qu'aucun lien ne permet d'ailleurs de voir le contenu de la page avant de l'aimer.
Il est possible de fermer cette fenêtre et ce choix sera ensuite enregistré via un cookie. Sur le site, qui ne bénéficie pas d'une connexion sécurisée, le bandeau relatif à la vie privée se contente d'un message et d'un simple « Je comprends ». Ici, pas de choix possible, malgré l'arrivée du RGPD.
Et pour cause, par défaut, ce sont une dizaine de domaines tiers qui sont contactés comme le montre Kimetrak : Facebook, Google Analytics, Instagram et Twitter. Principalement des outils de multinationales américaines vivant de la collecte de données, qui sauront donc sur quelles pages du site vous êtes passé, pendant combien de temps, etc.
On note également la présence de XVox, un produit français de synthèse vocale utilisée afin de rendre le site plus accessible « aux personnes mal-voyantes et aux personnes ayant des difficultés de lecture ».
Du côté des vidéos, c'est la même chose : sur la page dédiée, on note pas moins de 18 domaines tiers chargés sans la moindre action de l'utilisateur, en cas de lecture d'un contenu, on peut grimper à près d'une trentaine avec le chargement de tous les éléments publicitaires de Dailymotion.
Les sites de nos institutions bourrés d'appels à des services américains, sans consentement
Malgré les efforts de la CNIL pour prêcher la bonne parole et recommander des solutions comme Xiti ou Matomo (ex-Piwik), ce constat se retrouve dans de nombreux autres sites officiels.
Le site du gouvernement n'est pas non plus en connexion sécurisée et contacte systématiquement les serveurs de Facebook et Instagram. On retrouve plusieurs services de Google sur les pages internes et Dailymotion est utilisé pour la diffusion de vidéo, avec un compteur de domaines tiers grimpant à une vingtaine en général.
Le site de l'Assemblée nationale mesure son audience via Google Analytics, tout comme celui du Sénat qui est friand d'éléments issus de Twitter. Même chose à l'Arcep, qui affiche pourtant... un message de prise en compte de Do Not Track. Le régulateur des télécoms a néanmoins droit à un accès sécurisé.
On pourrait continuer avec Service-public.fr, Hadopi, le site du CSA, ou même de l'audiovisuel public qui affiche un haut respect des données personnelles, mais contient pourtant également plusieurs traceurs, même en cas de refus de la part de ses visiteurs. Bref, il reste encore du travail.
Respect de la vie privée : quels actes après les débats parlementaires ?
Espérons néanmoins que l'arrivée du RGPD dans un peu plus d'un mois permettra de faire bouger les lignes et évoluer les consciences. D'autant que lors des débats à l'Assemblée nationale, puis au Sénat, le gouvernement s'est dit plutôt favorable à des avancées en la matière.
Lors de la séance du jeudi 12 avril à l'Assemblée nationale, Mounir Mahjoubi, secrétaire d’État chargé du numérique, déclarait à propos du projet de loi relatif à la protection des données personnelles qu'il était « éminemment politique car il porte nos valeurs, les valeurs européennes et françaises. C’est un moyen puissant pour dire à nos concitoyens que l’on peut reprendre en main son propre avenir numérique. En la matière, il y a un modèle français, un modèle européen, et l’actualité nous montre que d’autres continents nous observent ».
Rappelant l'importance de ce texte, parfois considéré comme trop technique, le secrétaire d’État considérait qu'il « invite chacun à s’interroger sur l’usage de ses données personnelles, à la fois par lui-même et par les entreprises – petites ou grandes – et les collectivités publiques. Ce texte invite chacun à prendre ses responsabilités et à considérer que le numérique fait désormais entièrement partie de nos vies ».
Il faudra donc voir quelles seront les évolutions mises en place dans les semaines à venir au sein des différents sites publics, tant au niveau local que national. Car même si les questions d'utilisation de services français plutôt qu'étranger ou même de plateformes communes au sein de l'État devraient encore demander du temps, se mettre en conformité avec la loi devrait être une des priorités de nos responsables politiques.
