En cette journée mondiale pour la protection des données, attardons-nous sur un projet de la CNIL qui vient d'être mis à jour : CookieViz. Celui-ci permet de visualiser simplement les très nombreux services qui sont susceptibles de vous pister à travers les sites que vous visitez.
Il y a quelques années, la CNIL mettait en ligne un outil permettant d'analyser quels services déposaient des cookies lors de la navigation des internautes sur un site. Le constat était alors sans appel : ils étaient parfois des dizaines, des centaines, même si aucun consentement n'avait été donné.
Depuis, de nombreuses extensions ont pris le relais dans les navigateurs. Kimetrak pour analyser les requêtes effectuées depuis un site bien entendu, mais également Ghostery (Mozilla/Hubert Burda Media) ou Privacy Badger (EFF). Et malgré l'entrée en vigueur du RGPD, les sites n'ont pas vraiment revu leur politique en profondeur.
Les méthodes de pistage alternatives aux cookies se sont multipliées, allant du calcul d'une empreinte (fingerprinting) à des solutions parfois plus poussées, notamment pour cacher certains scripts. Éternel jeu du chat et de la souris.
Une nouvelle version de CookieViz
La CNIL le sait, et semble se préparer à sa nouvelle salve de contrôle. Son laboratoire d'innovation numérique (LINC) a ainsi développé une nouvelle version de CookieViz. Cette v2 est actuellement en bêta, toujours open source, le code étant disponible sous licence GPLv3 via GitHub.
Elle n'avait pas été remaniée en profondeur depuis 2016, les changements ont donc été nombreux. Elle est notamment bien plus simple à installer et à utiliser. Terminé le besoin d'installer des serveurs et autres outils d'analyse de trafic. Désormais, vous téléchargez un fichier compressé, vous le décompactez, vous lancez l'exécutable et c'est tout !
La promesse de CookieViz est la suivante : obtenir une « analyse des interactions entre un navigateur et des sites et serveurs distants. Vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations ». Concrètement, il affichera un petit graphique permettant de visualiser les requêtes effectuées depuis les sites que vous visitez et d'autres acteurs tiers, avec ou sans dépôt de cookie. Il passe pour cela par un navigateur embarqué.
Toujours des dizaines de cookies et de requêtes par site
Nous avons effectué un simple test en nous rendant sur trois grands sites de presse nationale français : Le Monde, Le Figaro puis Libération. Dès la première visite, on peut voir des dizaines d'acteurs graviter autour du logo du site alors que nous n'avons fait que naviguer sur sa première page sans donner le moindre consentement explicite.
Même chose pour les deux autres sites qui étoffent encore un peu plus le maillage, certains acteurs étant présents de manière récurrente. Ainsi, ils pourront savoir que nous sommes passés d'un site à l'autre pour reconstituer une partie de notre navigation. C'est tout le principe des scripts de boutons sociaux qui sont parfois intégrés aux pages.
On peut décider d'un clic droit de se focaliser sur un acteur, de voir les cookies qui lui sont lié et leurs contenus. N'hésitez pas à faire vos propres tests et à partager vos découvertes au sein de nos commentaires.
Car CookieViz v2 permet désormais plus simplement de constater, si vous n'en étiez pas déjà convaincus, que la plupart des sites qui se disent « soucieux de votre vie privée » et n'hésitent parfois pas à critiquer les pratiques des grandes plateformes vous prennent pour des jambons sur le sujet. Graphique et données à l'appui.
Espérons que la CNIL, qui a laissé faire de nombreux sites pendant bien trop d'années déjà, s'en saisira rapidement. Ses nouvelles recommandations sont attendues sous peu. Les outils semblent prêts pour les enquêtes... avant les sanctions ?
