Collecte de données via les sites de l'État : avant les impôts, le précédent de l’Élysée

Collecte de données via les sites de l’État : avant les impôts, le précédent de l’Élysée

Entre autres...

Avatar de l'auteur
David Legrand

Publié dans

Internet

17/04/2018 7 minutes
37

Collecte de données via les sites de l'État : avant les impôts, le précédent de l’Élysée

Si le site de la DGFiP est critiqué pour l'utilisation d'une vidéo YouTube, imposée à ses visiteurs en pleine campagne de déclaration des revenus, qu'en est-il des autres sites publics ? Recours à des plateformes de vidéos tierces, présence de nombreux traceurs et consentement non explicite sont au programme.

Hier, nous évoquions une pratique instituée il y a quelques jours par le site des impôts : forcer les utilisateurs à regarder une vidéo avant de pouvoir entrer. Si cette obligation pose problèmes à différents niveaux, c'est surtout de données personnelles dont il a été question dans les différents articles de presse publiés depuis (voir ici, ou encore ).

Il faut dire que le contexte est particulier, avec l'affaire Cambridge Analytica, les multiples explications de Facebook et l'arrivée prochaine du RGPD en Europe (voir notre analyse). Mais en la matière, le site des impôts n'est pas le seul à être critiquable. En réalité, de nombreux sites publics font encore preuve d'un certain laxisme en la matière.

Laisser le choix est une possibilité, la CNIL le prouve

Bien entendu, celui de la CNIL est presque l'exemple parfait des règles à suivre : sur une première connexion, aucun cookie non technique n'est déposé et aucun tracker n'est présent. 

Vous pouvez accepter ou refuser l'ensemble des services tiers ou personnaliser vos choix. C'est notamment le cas pour Dailymotion, Vimeo ou YouTube, utilisés pour la diffusion de vidéo, mais aussi Facebook ou Twitter. En cas de refus ou d'absence de réponse, les modules seront bloqués pour éviter toute fuite de donnée.

Le seul regret sera alors de ne pas avoir de solution pour voir les vidéos de la CNIL sans accepter une collecte de données.

CNIL Traceurs RéglagesCNIL Traceurs Réglages

L'absence d'une plateforme vidéo commune aux services de l'État

Car contrairement à l'Assemblée nationale ou au Sénat, les différentes administrations et autres autorités n'ont aucun service d'hébergement sur lequel se reposer. Les pratiques diffèrent d'ailleurs d'un site à l'autre, certains se reposant plus sur Dailymotion que sur YouTube par exemple.

Si cette solution a l'intérêt d'avoir un petit côté « French Tech », Dailymotion appartenant à Vivendi, cela ne change rien concernant la collecte de données pouvant être exploitées à des fins publicitaires. Dès lors, on se demande pourquoi l'État n'a pas déjà mis en place un partenariat visant à permettre une diffusion sans collecte sur des sites publics, ou même à proposer directement sa propre infrastructure d'hébergement. 

À l'heure où les questions de souveraineté numérique, de mise en commun des outils et de respect de la vie privée sont au cœur des préoccupations, par exemple avec la mise en place d'une messagerie chiffrée, cela semble être une piste à creuser.

Le site de l'Élysée cumule les faux pas

Et en la matière, le site des impôts n'est pas vraiment le pire du genre. On pensera notamment au site de l'Élysée, qui devrait pourtant être la figure de proue d'une République numérique.

Dès que vous arrivez sur le site, une fenêtre modale s'affiche afin de vous inciter à suivre le compte de l'institution sur Facebook, mettant fièrement en valeur ses 421 000 « J'aime » acquis en partie de cette manière. Les plus taquins noteront qu'aucun lien ne permet d'ailleurs de voir le contenu de la page avant de l'aimer.

Il est possible de fermer cette fenêtre et ce choix sera ensuite enregistré via un cookie. Sur le site, qui ne bénéficie pas d'une connexion sécurisée, le bandeau relatif à la vie privée se contente d'un message et d'un simple « Je comprends ». Ici, pas de choix possible, malgré l'arrivée du RGPD.

Elysée TraceursElysée Traceurs

Et pour cause, par défaut, ce sont une dizaine de domaines tiers qui sont contactés comme le montre Kimetrak : Facebook, Google Analytics, Instagram et Twitter. Principalement des outils de multinationales américaines vivant de la collecte de données, qui sauront donc sur quelles pages du site vous êtes passé, pendant combien de temps, etc.

On note également la présence de XVox, un produit français de synthèse vocale utilisée afin de rendre le site plus accessible « aux personnes mal-voyantes et aux personnes ayant des difficultés de lecture ».

Du côté des vidéos, c'est la même chose : sur la page dédiée, on note pas moins de 18 domaines tiers chargés sans la moindre action de l'utilisateur, en cas de lecture d'un contenu, on peut grimper à près d'une trentaine avec le chargement de tous les éléments publicitaires de Dailymotion.

Les sites de nos institutions bourrés d'appels à des services américains, sans consentement

Malgré les efforts de la CNIL pour prêcher la bonne parole et recommander des solutions comme Xiti ou Matomo (ex-Piwik), ce constat se retrouve dans de nombreux autres sites officiels.

Le site du gouvernement n'est pas non plus en connexion sécurisée et contacte systématiquement les serveurs de Facebook et Instagram. On retrouve plusieurs services de Google sur les pages internes et Dailymotion est utilisé pour la diffusion de vidéo, avec un compteur de domaines tiers grimpant à une vingtaine en général.

Le site de l'Assemblée nationale mesure son audience via Google Analytics, tout comme celui du Sénat qui est friand d'éléments issus de Twitter. Même chose à l'Arcep, qui affiche pourtant... un message de prise en compte de Do Not Track. Le régulateur des télécoms a néanmoins droit à un accès sécurisé. 

On pourrait continuer avec Service-public.fr, Hadopi, le site du CSA, ou même de l'audiovisuel public qui affiche un haut respect des données personnelles, mais contient pourtant également plusieurs traceurs, même en cas de refus de la part de ses visiteurs. Bref, il reste encore du travail.

Gouvernement TraceursHadopi Traceurs

Respect de la vie privée : quels actes après les débats parlementaires ?

Espérons néanmoins que l'arrivée du RGPD dans un peu plus d'un mois permettra de faire bouger les lignes et évoluer les consciences. D'autant que lors des débats à l'Assemblée nationale, puis au Sénat, le gouvernement s'est dit plutôt favorable à des avancées en la matière. 

Lors de la séance du jeudi 12 avril à l'Assemblée nationale, Mounir Mahjoubi, secrétaire d’État chargé du numérique, déclarait à propos du projet de loi relatif à la protection des données personnelles qu'il était « éminemment politique car il porte nos valeurs, les valeurs européennes et françaises. C’est un moyen puissant pour dire à nos concitoyens que l’on peut reprendre en main son propre avenir numérique. En la matière, il y a un modèle français, un modèle européen, et l’actualité nous montre que d’autres continents nous observent ».

Rappelant l'importance de ce texte, parfois considéré comme trop technique, le secrétaire d’État considérait qu'il « invite chacun à s’interroger sur l’usage de ses données personnelles, à la fois par lui-même et par les entreprises – petites ou grandes – et les collectivités publiques. Ce texte invite chacun à prendre ses responsabilités et à considérer que le numérique fait désormais entièrement partie de nos vies ».

Il faudra donc voir quelles seront les évolutions mises en place dans les semaines à venir au sein des différents sites publics, tant au niveau local que national. Car même si les questions d'utilisation de services français plutôt qu'étranger ou même de plateformes communes au sein de l'État devraient encore demander du temps, se mettre en conformité avec la loi devrait être une des priorités de nos responsables politiques.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Laisser le choix est une possibilité, la CNIL le prouve

L'absence d'une plateforme vidéo commune aux services de l'État

Le site de l'Élysée cumule les faux pas

Les sites de nos institutions bourrés d'appels à des services américains, sans consentement

Respect de la vie privée : quels actes après les débats parlementaires ?

Commentaires (37)


Un jour, les dirigeants politiques (et dans les entreprises aussi d’ailleurs) arrêteront de considérer le numérique comme un truc incompréhensible où l’on peut faire n’importe quoi dans tous les sens et investiront dans le développement de service qui leur sont propres (bien faits et libre concernant l’état).



Quand je vois ‘l’état de délabrement des outils numérique dans la fonction publique, mais aussi dans certaines très grosses entreprises (airbus, thales, etc.) je me dis que ce n’est pas pour demain.


Comme Internet est une zone de non droit, ils en profitent. C’est cohérent.


Mouais, c’est surtout laissé au bon jugement des presta qui n’en ont souvent rien à battre…


Ben faut juste virer le webmaster pour INcompétence.<img data-src=" />




Collecte de données via les sites de l’État : avant les impôts, le précédent de l’Élysée





Ca suffit, le Hollande bashing ! <img data-src=" />








Winderly a écrit :



Comme Internet est une zone de non droit, ils en profitent. C’est cohérent.







Internet n’est pas une zone de non droit. On en parle suffisamment ici des contrainte légal du web qui nous emmerdent tous les jours.



Internet n’est pas une zone de droit non plus, y’a des tas de trucs tout chelou qui trainent.



Le “internet est un zone de non droit” est aussi idiot que le “tous pourris”, “on sait bien que…”, “tout le monde pense que…”. C’est une phrase de pilier de comptoir je trouve, en mode “trop compliqué de penser la complexité de la chose, je mets tout dans un sac et je lance ça”.



Francis, deux Macon ici ! <img data-src=" />



Et sinon, est il possible de “saisir” la CNIL sur ce sujet ?



S’ils reçoivent un p’tit millier de signalement sur le sujet je pense que ça ferait bouger quelques lignes plus rapidement non ?


C’est vrai que ce serait beaucoup mieux de surfer sur ces sites sans trackers… avec Chrome. <img data-src=" />


Attends le RGPD et la publication au JO de la loi en cours de vote qui dira que la CNIL est compétente, ça sera plus facile d’expliquer qu’il n’y a pas de consentement explicite au traitement.



En tout cas, à la lecture de cet article, je me suis dit que j’allais faire comme ça.








boogieplayer a écrit :



…Internet n’est pas une zone de droit non plus, y’a des tas de trucs tout chelou qui trainent…





Je ne connaissais pas le concept de zone de droit. Tu as des exemples ?



Il me semble qu’il était ironique. Mais je peux me tromper.








Winderly a écrit :



Je ne connaissais pas le concept de zone de droit. Tu as des exemples ?







c’est une boutade hein <img data-src=" />







Jarodd a écrit :



Il me semble qu’il était ironique. Mais je peux me tromper.







C’est pour ça que dans le doute j’ai proposé de payer ma tournée <img data-src=" />









Jarodd a écrit :



Il me semble qu’il était ironique…





Effectivement. Mais je pêchais en même temps.

&nbsp;



boogieplayer a écrit :



c’est une boutade hein <img data-src=" />





Moi aussi. <img data-src=" />



Eh bah… C’est à moitié scandaleux ! je ne m’étais jamais posé la question, d’un autre côté je n’ai jamais eu l’occasion d’aller sur ces sites. Mais ça ne donne pas envie. Le site de la CNIL c’est un peu la vitrine technique des bonnes pratiques 3.0 :)



Ce qui serait cool, c’est que, à l’instar des mécanismes existant sur mon-service-public, on puisse choisir de manière centralisée ses préférences. Et que ça soit repris et respecté par tous les sites de l’état, du gouvernement et des administrations.


Pour moi le principal soucis, c’est surtout la multiplication de certains cookie de tracking (&gt; 20 par exemple)



&nbsp;Car il a un coté que certaines personnes ne voit pas, c’est aussi le recours systématique du grand publics à de tel services. Mais aussi un sensation de bashing ambiant.



D’un coté on a beaucoup de personnes n’hésite pas à contacter tel service ou entreprise via twitter ou facebook pour avoir une réponse à leur problème. Alors que parfois ces même sites propose un formulaire de contact. Donc mettre un bouton sur son site web n’as rien d’anormal par rapport aux attentes des gens.

Et de l’autre coté, si on annonce un projet de service vidéo à X millions (build) et Y million (run) commun à l’ensemble des services de l’état, les citoyen crieront soit au service mal fait, soit au service trop cher.&nbsp;



Pour moi, avant de “râler” sur ces pratiques, il faut aussi remettre le contexte général et prendre le problème dans sa globalité.

&nbsp;








boogieplayer a écrit :



Le “internet est un zone de non droit” est aussi idiot que le “tous pourris”, “on sait bien que…”, “tout le monde pense que…”. C’est une phrase de pilier de comptoir je trouve, en mode “trop compliqué de penser la complexité de la chose, je mets tout dans un sac et je lance ça”.



Francis, deux Macon ici ! <img data-src=" />







Et un Pastis bien frais pour moi. <img data-src=" />









Winderly a écrit :



Je ne connaissais pas le concept de zone de droit. Tu as des exemples ?







Au café des sports en bas de chez moi, Gégé le barman nous autorise à vomir dans la cour arrière si on veut.

On a le droit de vomir là-bas. C’est comme qui dirait une zone de droit, non ? Ca compte ? <img data-src=" />









Nozalys a écrit :



Ce qui serait cool, c’est que, à l’instar des mécanismes existant sur mon-service-public, on puisse choisir de manière centralisée ses préférences. Et que ça soit repris et respecté par tous les sites de l’état, du gouvernement et des administrations.







Il me semble que c’est prévu. <img data-src=" />



Pour 2076 de mémoire.<img data-src=" />









Nozalys a écrit :



Ce qui serait cool, c’est que, à l’instar des mécanismes existant sur mon-service-public, on puisse choisir de manière centralisée ses préférences. Et que ça soit repris et respecté par tous les sites de l’état, du gouvernement et des administrations.





pour le coup, que ça soit regroupé pour ton compte oui, mais ça n’aurait d’effet qu’une fois connecté. Ou alors on a un énième cookie commun qui définit le comportement ? Bref d’accord mais comment..



Je me sers de Twitter comme un SAV. Ca permet de ne pas laisser mon e-mail, comme c’est un compte Twitter “poubelle”, lié à un compte gmail poubelle, je laisse le moins de trace possible. Et en général la réponse est bien plus rapide sur Twitter que par un formulaire de contact (quand on a une réponse…).


Ta réponse, va dans mon sens. Et elle est nullement une critique de l’utilisation de twitter ou facebook plutôt qu’un formulaire de contact.

&nbsp;

Mais plutôt une mise en perspective de la présence de cookie de tracking sur les sites institutionnelle vis à vis des pratiques utilisateur.&nbsp; Où les sites institutionnelle sont poussé par leurs utilisateurs à mettre en avant leur fil twitter, facebook, …. Hors ces ajouts de sites tiers inclut également les cookie de tracking.



Ce plaindre du manque de vie privée ou l’utilisation abusive de cookie de tracking de société commercial sur les sites institutionnelle va de pair avec la pratique et les attentes&nbsp; des utilisateurs.



&nbsp;








Tirr Mohma a écrit :



Un jour, les dirigeants politiques (et dans les entreprises aussi d’ailleurs) arrêteront de considérer le numérique comme un truc incompréhensible où l’on peut faire n’importe quoi dans tous les sens et investiront dans le développement de service qui leur sont propres (bien faits et libre concernant l’état).



Quand je vois ‘l’état de délabrement des outils numérique dans la fonction publique, mais aussi dans certaines très grosses entreprises (airbus, thales, etc.) je me dis que ce n’est pas pour demain.





AIRBUS??? meuh non ils sont pas délabrés, ils sont disruptif!!! Ils vont tout passer chez Google et avoir des outils tout neuf…. (ça va aider l’assistant google pour poser des rivets tiens)









Winderly a écrit :



Effectivement. Mais je pêchais en même temps.

 

Moi aussi. <img data-src=" />







Putain une boutade au carré : f(x) = boutade². Trouvez moi la taille de l’andouillerie cumulée quand elle tend à l’infini <img data-src=" />







Ricard a écrit :



Et un Pastis bien frais pour moi. <img data-src=" />







Bon bah je sens qu’on va bien s’entendre. Et hop la tasse de cahouettes !<img data-src=" />



&lt;HS&gt; (mais pas tant que ça)

Un grand merci aussi aux media de l’Etat (tv, radio,…) de faire une pub monstrueuse sur tous les objets aspirateur de données que sont les Google Home, Alexa, Apple je sais pas quoi…

J’espère que ces pseudo-journalistes profitent bien des faveurs et cadeaux qui leur sont accordées en échange de ces publicités gratuites, qui se sont passés pour de l’information ! (et dans des émissions qui pour la plupart “décryptent” le numérique <img data-src=" />)

&lt;/HS&gt;


Un précédent ne devrait pas dire ça….


<img data-src=" />








boogieplayer a écrit :



Internet n’est pas une zone de non droit.



Pourtant plein de politiciens poussent des lois spécifiques à Internet à cause de ca. Ils raconteraient donc n’importe quoi? <img data-src=" />









Patch a écrit :



Pourtant plein de politiciens poussent des lois spécifiques à Internet à cause de ca. Ils raconteraient donc n’importe quoi? <img data-src=" />





Bah voyons, comme si les politiques avaient pour habitude de dire n’importe quoi. <img data-src=" />









Winderly a écrit :



Bah voyons, comme si les politiques avaient pour habitude de dire n’importe quoi. <img data-src=" />



C’est pour ca que je ne comprends pas les propos de boogieplayer… <img data-src=" />









Patch a écrit :



Pourtant plein de politiciens poussent des lois spécifiques à Internet à cause de ca. Ils raconteraient donc n’importe quoi? <img data-src=" />







Certains sont quand même très conpétents (non, il n’y a pas de faute)

La preuve, ils installent OpenOffice pour se prémunir des virus.<img data-src=" />









fred42 a écrit :



Attends le RGPD et la publication au JO de la loi en cours de vote qui dira que la CNIL est compétente, ça sera plus facile d’expliquer qu’il n’y a pas de consentement explicite au traitement.



En tout cas, à la lecture de cet article, je me suis dit que j’allais faire comme ça.







Il sera intéressant de voir le résultat des procédures, l’Etat et le gouvernement ayant pour habitude de pratiquer le “faites ce que je dis, pas ce que je fais”. (genre les CDD renouvelés en boucle ad vitam, les cortèges qui se torchent le cul avec le code de la route, etc)



Y a-t-il des précédents d’actions de la CNIL contre l’administration et le gouvernement ?









Patch a écrit :



Pourtant plein de politiciens poussent des lois spécifiques à Internet à cause de ca. Ils raconteraient donc n’importe quoi? <img data-src=" />







Encore une fois, Internet n’est pas une zone de non droit, dire cela c’est ne pas comprendre comment ça marche. Il y’a pléthore de lois, règlements ou notice qui régissent notre utilisation d’internet, qui régule la marche d’un site ecommerce etc.



Mais c’est tellement plus simple de parler en sentences qui claquent “tous les voitures XXXX sont des merdes”, “tous pourris”, “les patrons sont tous des cons”, “les syndicats sont archaïques”… c’est idiot.










boogieplayer a écrit :



Encore une fois, Internet n’est pas une zone de non droit, dire cela c’est ne pas comprendre comment ça marche. Il y’a pléthore de lois, règlements ou notice qui régissent notre utilisation d’internet, qui régule la marche d’un site ecommerce etc.



Mais c’est tellement plus simple de parler en sentences qui claquent “tous les voitures XXXX sont des merdes”, “tous pourris”, “les patrons sont tous des cons”, “les syndicats sont archaïques”… c’est idiot.



Faudrait un peu sortir de la Team 1er degré, je crois que tu es le seul à ne pas voir l’ironie dans mes propos… <img data-src=" />









Patch a écrit :



Faudrait un peu sortir de la Team 1er degré, je crois que tu es le seul à ne pas voir l’ironie dans mes propos… <img data-src=" />





L’ironie bien française pour se donner l’impression de dire quelque chose de fort sans l’avoir dit et qui s’adresse aux membres supposés de son groupe d’appartenance et qui permet de retrouver ses vrais “amis” qui pensent vrais. Parfois, on appelle ça aussi dans des circonstances particulières : “prêcher le faux pour connaître le vrai”.









Radithor a écrit :



L’ironie bien française pour se donner l’impression de dire quelque chose de fort sans l’avoir dit et qui s’adresse aux membres supposés de son groupe d’appartenance et qui permet de retrouver ses vrais “amis” qui pensent vrais. Parfois, on appelle ça aussi dans des circonstances particulières : “prêcher le faux pour connaître le vrai”.



Ou pas.

En l’occurrence, je me foutais juste de la gueule des politocard, en étant faussement surpris du fait qu’ils pouvaient raconter des débilités… Je ne prêchais rien du tout.

Et j’ai beaucoup de mal à voir en quoi l’ironie est bien francaise… A moins que dans les autres pays du monde, personne ne l’utilise jamais? Etrangement, j’ai beaucoup de mal à y croire. Et là, ce n’est absolument pas ironique.



Et pour ton histoire d’“amis”, ce n’est pas parce que tu n’en as pas et que tu aimerais t’en faire sans y arriver, qu’il faut croire que les autres sont pareils.