Le règlement général pour la protection des données est entré en vigueur en France il y a quelques mois déjà. Les sites ont commencé à s'adapter, mais tous ne montrent pas de bonne volonté. Une extension change la donne.
Si le RGPD ne change pas fondamentalement le consentement en France (voir notre analyse), ce règlement européen a l'intérêt de renforcer certaines notions.
Ainsi, il dispose que l'utilisateur doit manifester « de façon libre, spécifique, éclairée et univoque son accord » par « un acte positif clair ». Ainsi, le consentement doit être propre à chaque finalité (publicité, audience, personnalisation, etc.), ne peut être actif par défaut et ne peut pas être symbolisé par le fait de simplement naviguer sur un site.
Autre point sur lequel le texte est clair (article 7) : « Il est aussi simple de retirer que de donner son consentement ». Ainsi, cette procédure ne devrait pas faire l'objet d'un « dark pattern », soit la volonté d'un éditeur de complexifier les choses par une solution anti-ergonomique. C'est pourtant ce qui est souvent mis en œuvre.
Des outils plus laxistes que le texte
Depuis le 25 mai, date d'application du texte en Europe après deux années de délai laissé aux acteurs du secteur pour se préparer, un module a symbolisé ce problème : celui de Quantcast. Utilisé par de nombreux site pour gérer leur recueil du consentement, il laisse une grande souplesse d'intégration.
Ainsi, un éditeur peut permettre à l'utilisateur d'accepter ou de refuser toutes les finalités dès l'affichage du module, ou de les personnaliser. Il peut aussi ne proposer que de tout accepter avant de renvoyer vers la personnalisation, sans refus simple, ce qui va à l'encontre du RGPD.
Certains des choix laissés par Quantcast à ses clients
Surtout que sur cette page de personnalisation, seul un bouton permettant de tout accepter est en général proposé. Sans parler des sites qui activent toutes les finalités par défaut ou indiquent qu'elles sont requises (ce ne devrait pas être le cas). On s'amusera d'ailleurs du fait que Quantcast lui-même opte pour une « mauvaise » implémentation.
Tant de mauvais choix que la société ne devrait pas forcément laisser à ses clients, Mais peut-être est-ce aussi pour cette liberté que ce module a été choisi. Ajoutons qu'il coupe la navigation de l'internaute, ce qui va à l'encontre des recommandations effectuées par le groupement des CNIL européennes.
Au final, de nombreux sites ne proposent pas le refus global, activent par défaut l'ensemble des finalités et incitent ainsi leurs visiteurs à tout accepter par recherche de simplicité. Tant de choix de leur part qui vont tant à l'encontre de l'esprit du RGPD que de son application stricte, ouvrant la voie à une sanction par la CNIL.
Une mauvaise et une bonne façons de faire. Notez que « J'accepte » reste mis en avant en bleu plutôt que blanc
Cette pratique n'est d'ailleurs pas exclusive aux sites qui utilisent le module de Quantcast et d'autres modules du même genre sont utilisés également de manière abusive, sans parler des médias qui ne demandent pas de consentement, estimant que le pistage des internautes utilisé comme source de financement entre dans le cadre de l'intérêt légitime.
Mais en l'absence de premières enquêtes et de sanctions conséquentes (pour le moment) effectuées par la Commission, il semble que certains tentent de jouer la montre.
Une extension pour commencer à changer la donne
Exaspéré par la situation, Vincent Toubiana, ancien agent de la CNIL, a développé une petite extension au fonctionnement simple : lorsqu'un module Quantcast est affiché, si le bouton de refus global n'est pas affiché, il est recréé. Ainsi, d'une simple pression, toutes les finalités sont refusées et le choix de l'utilisateur enregistré.
L'extension QookieFix est disponible en anglais et en français, sur Firefox et Chrome (ainsi que ses dérivés). Son code source est ouvert à tous et diffusé sur GitHub. Le tout tient en une trentaine de lignes de code, et peut sans doute être amélioré et renforcé par l'adaptation à d'autres modules. Les contributions sont les bienvenues.
Le problème va bien au-delà de l'expression du consentement
Mais l'utilisation de notre extension Kimetrak met en lumière un autre souci tenant à un comportement qui n'a guère changé malgré le RGPD : les scripts de pistage sont lancés avant même l'expression du consentement.
Ainsi, il suffit de se rendre sur de nombreux sites de médias pour voir le compteur continuer à relever des dizaines de requêtes avant même que l'on ait eu à cliquer sur le moindre bouton. Là aussi, il s'agit d'un choix qui va le plus souvent à l'encontre du règlement européen.
Bien entendu, ces requêtes peuvent être utilisées pour afficher des publicités en précisant que l'utilisateur n'a pas encore donné son consentement, mais est-ce le cas ? Il y a fort à parier que non, mais là aussi, seule une enquête de la CNIL pourra venir préciser la situation et inciter les éditeurs à se mettre en conformité.
Une chose est sûre : étant donné le droit français avant le RGPD, déjà très protecteur des internautes en matière de respect de la vie privée, et les nombreux articles publiés sur la question, notamment par certains sites de presse qui ne semblent toujours pas en conformité... il leur sera difficile de revendiquer la bonne foi si jamais ils venaient à se faire prendre la main dans le sac par la Commission.
