[Rediffusion du Mag #3] Depuis l’entrée en vigueur (2016) puis en application (2018) du Règlement Général pour la Protection des Données (RGPD) en Europe, publicitaires et éditeurs n’ont de cesse de vous le répéter, sous cette forme ou une autre : le respect de votre vie privée est leur priorité. Mais le plus souvent, cette bonne volonté affichée n’est qu’une façade servant à masquer l’envie de faire perdurer une situation où vos données personnelles sont aspirées, recoupées et exploitées afin de financer la machine du tout gratuit en ligne.
Heureusement, les choses changent petit à petit… de gré ou de force. En France, le respect de la vie privée, c’est (normalement) du sérieux. Notamment depuis la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Elle a fait suite au scandale lié à la découverte du fichier SAFARI, qui entendait interconnecter les fichiers nominatifs de l’administration française. Elle a notamment donné naissance à la CNIL.
La vie privée, victime du laisser-faire
Depuis, la Commission Nationale de l’Informatique et des Libertés veille. Elle est en cela aidée par le droit européen qui, depuis les années 90, n’a de cesse que de renforcer la protection des citoyens en la matière, avec un concept assez constant : pour traiter des données personnelles, il faut un consentement explicite.
Il a néanmoins fallu adapter les textes aux différentes pratiques et technologies, ce qui s’est parfois fait avec un certain laxisme, que l’on paie encore aujourd’hui. Par exemple, pour le dépôt de cookies servant au suivi publicitaire, la CNIL considérait dans ses recommandations de 2013 qu’un bandeau d’information suffisait, tant qu’il présentait les finalités précises et qu’il offrait « la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ». Pour la Commission, dans ces conditions, « la poursuite de sa navigation vaut accord ». Une erreur que l’on paiera cher et longtemps.
Car dans la majeure partie des cas, ces bandeaux ne permettaient pas de s’opposer simplement au dépôt de cookies. Parfois c’était impossible à moins de passer par des réglages du navigateur. Les sites n’attendaient pas plus le début de la navigation pour effectuer le dépôt et se moquaient bien des réserves de la CNIL sur des outils de suivi statistiques gratuits, utilisés par de grandes plateformes pour récolter des données en masse.
Ce qui devait arriver arriva, face à ce laisser-faire les internautes ont progressivement appris à se protéger : les bloqueurs de publicités et du pistage en ligne se sont multipliés (certains étaient même recommandés par la CNIL à une époque), au point d’être désormais la norme dans de nombreux navigateurs (à l’exception du premier d’entre eux, Chrome de Google).
De meilleures protections, mais un secteur qui refuse de changer
Ces dernières années, on a même vu de grands acteurs s’impliquer, comme Mozilla ou encore Apple, en introduisant des fonctionnalités parfois assez dures sur la question du traitement des données personnelles, ce qui a fragilisé certains qui n’avaient pas forcément anticipé ces décisions. De quoi pousser le secteur de la publicité, qui a d’ailleurs porté le sujet en France devant l’Autorité de la concurrence.
Le législateur européen a pour sa part continué à renforcer les textes jusqu’à l’entrée en vigueur du RGPD en 2016, empêchant de considérer la poursuite de navigation comme un accord de l’internaute. Le responsable d’un traitement de données personnelles doit désormais pouvoir « démontrer que la personne concernée a donné son consentement », la demande de consentement doit être exprimée de manière claire et simple, on doit pouvoir retirer le consentement à tout moment et il doit être « aussi simple de retirer que de donner son consentement ».
Des principes aisés à comprendre, mais qui n’allaient pas vraiment dans le sens d’une industrie qui est bien décidée à ne pas évoluer. Depuis plus de 20 ans, elle aurait en effet pu sentir le vent tourner, et au gré de la souplesse dont elle a fait l’objet, se transformer progressivement pour adapter le besoin d’un modèle économique viable à l’offre publicitaire, de personnalisation, au contexte législatif. Mais non : elle n’a plutôt eu de cesse que de chercher à le combattre et à le contourner.
Et si des changements se constatent ici ou là ces dernières années, c’est le plus souvent à la marge et à reculons, sous la pression ambiante. Ce qui n’est pas le gage d’une évolution rapide ou saine.
Du RGPD aux cookie walls
On le voit d’ailleurs assez bien depuis l’entrée en application du RGPD en 2018. Dans les premiers temps, les sites ont affiché de gros bandeaux clamant que « votre vie privée est notre priorité », mais en ne proposant pas le plus souvent une option de refus aussi claire que l’acceptation.
L’idée était ainsi de gêner le visiteur avec ce gros bandeau, de lui expliquer que tout cela a été rendu obligatoire par une méchante loi européenne, sans jamais la respecter avec un bouton « Refuser ». Là encore, la CNIL a fait le choix de la souplesse, laissant du temps aux différents acteurs pour s’adapter. Elle a défini de nouvelles lignes directrices en 2019, puis des recommandations l’année suivante, laissant jusqu’à mars 2021 aux sites pour s’adapter. Force est de constater qu’encore aujourd’hui, nombreux sont ceux à ne même pas appliquer ces règles de base.
Et ceux qui l’appliquent n’hésitaient parfois pas à chercher à tromper les internautes. Interprétant à leur faveur une recommandation d’interface graphique de la CNIL, nombreux ont été ceux qui ont par exemple ajouté un lien en petit à droite de leur panneau d’information un « Continuer sans accepter » plutôt qu’un gros bouton « Refuser ». Les internautes le choisissant quand même, certains ont... décidé de le déplacer en douce et de le remplacer par un « Continuer et accepter ». Le lien ressemble à l’ancien, ceux qui ne font pas attention se font avoir par habitude.
On parle alors de « dark pattern ». Une pratique sur laquelle on entend malheureusement assez peu la CNIL publiquement. D’autres ont fait le choix des « cookie walls » qui consistent à dire aux visiteurs : permettez-nous de collecter vos données ou abonnez-vous via une offre payante. Une forme de chantage selon certains, pas très en phase avec l’esprit du RGPD et d’un consentement libre. La CNIL a de son côté indiqué qu’elle jugerait au cas par cas lors de ses contrôles, qui s’accélèrent ces dernières années.
On note néanmoins que cette pratique tend à considérer que publicité et pistage sont intrinsèquement liés. Or, ce n’est le cas que parce que le marché n’a pas respecté la loi et le consentement pendant des années. On pourrait d’ailleurs considérer que cela a créé une distorsion de concurrence entre les sites abusant de la flexibilité ambiante et ceux qui restent dans les clous.
La CNIL durcit le ton, Pixel de tracking veille
Depuis 2021, la CNIL a multiplié les vagues de mise en demeure et les amendes, tant de grandes plateformes que de société de taille plus modeste, mais l’ampleur du travail qui reste à faire est gigantesque, tant les abus dans le traitement des données personnelles sont entrés dans les mœurs.
Pour s’en rendre compte, il suffit de suivre l’excellent travail mené par le compte « Pixel de Tracking » sur Twitter ces dernières années. Chaque jour, il référence des pratiques qui vont à l’encontre du RGPD, des astuces techniques mises en place pour contourner les bloqueurs et autres protections mises en place par les sites, même quand cela pose des soucis de sécurité (voir le CNAME Cloaking).
Nous l’avons interrogé, sous couvert d’anonymat, pour connaître ses motivations. Il nous a indiqué avoir « travaillé une dizaine d’années dans l’adtech, ce qui m’a permis d’avoir une bonne compréhension du fonctionnement de ce secteur, de l’intérieur. Les problématiques techniques sont très intéressantes, c’est un secteur qui bouge beaucoup ». Il nous raconte avoir vu l’évolution de la pratique publicitaire au fil du temps, comment l’on est passé des bannières avec de simples liens, gérées par des régies et des commerciaux, à une mécanique automatisée au niveau mondial, se nourrissant de la collecte de données massive.
Mais aussi « le poids de plus important de Google et Facebook, la place du RTB [Real Time Bidding, ndlr] et des données personnelles ». Il confesse d’ailleurs lui-même une « prise de conscience sur les problématiques liées à la vie privée très progressive. J’ai principalement quitté le secteur pour cette raison, je ne me voyais pas continuer de l’intérieur, la contradiction devenait trop forte entre mon inquiétude sur ces questions, et l’adtech qui n’évoluait pas assez vite ». Frustré par le traitement de ce sujet dans la presse grand public, face à l’ampleur qu’il constatait en réalité, il décide de prendre la parole publiquement, mais sous pseudonyme. « Le secteur est une énorme boîte noire, très compliquée à comprendre pour quelqu’un qui n’a pas bossé dedans. J’ai fini par me lancer il y a 2 ans avec un blog et un compte Twitter, que j’alimente régulièrement ».
Il se focalise plus sur l’aspect technique que juridique, qui n’est pas son domaine d’expertise principal, mais apprend « au fil de l’eau » sur ce point. Il se félicite néanmoins de la tournure actuelle, notamment à travers les conséquences de la jurisprudence Schrems II et son rôle dans la prise de conscience collective.
On le voit dans la décision récente de la CNIL qui a jugé illégaux les transferts des données collectées vers les États-Unis dans le cadre de l’outil Google Analytics qui incite les éditeurs de site à regarder du côté de Matomo (un outil européen, open source et que l’on peut héberger facilement sur ses propres serveurs). Ou l’amende de 250 000 euros infligée à l’IAB Europe par une coordination des CNIL Européennes début février sur l’outil de gestion du consentement TCF (Transparency and Consent Framework) qui va devoir être revue (l’IAB a fait appel).
L’avenir de la vie privée s’écrit sous nos yeux
S’il est « curieux de voir la suite, [il] reste sceptique, l'industrie publicitaire n'a aucune envie de réellement se réformer. Ils voudront d'abord épuiser tous les recours, et chercheront ensuite à éviter un changement de business model ». Il considère également que les choix et priorité de la CNIL posent également question : « les sanctions restent très rares. Si l'on ne s'appelle pas Google ou Facebook, il n'y a aucun risque à bafouer la loi. Si l'on s'appelle Google ou Facebook, les amendes restent souvent ridicules. Là on peut pointer du doigt le manque de moyens de la CNIL. Mais on peut aussi s'interroger sur l'efficacité de leurs process, ce n'est pas normal de voir la quasi-totalité du web français bafouer aussi ouvertement ePrivacy en déposant des cookies sans consentement, multiplier les dark patterns sur les fenêtres de consentement ». Il reste néanmoins plein d’espoir si la prise de conscience opère.
S’il milite pour une interdiction pure et simple de la publicité ciblée, tant les dérives sont grandes, ou la séparation des activités des plateformes, il voit dans les activités d’associations comme Noyb une opportunité de trouver des solutions, notamment à travers la proposition de l’Advanced Data Protection Control (ADPC), qui permettrait une gestion plus globale, intégrée aux navigateurs. Reste maintenant à savoir quels équilibres seront trouvés en matière de vie privée et de modèles économiques en ligne dans les années à venir.
Alors que l’on parle déjà d’analyser nos expressions faciales pour la publicité dans le métavers, plusieurs textes européens sont en discussion et permettront à nouveau de changer la donne, ou pas. Déciderons-nous collectivement de faire du respect de la vie privée une opportunité plutôt qu’une valeur à combattre ?
La suite au prochain épisode.
Commentaires (9)
#1
Mensonge !
La collecte des informations sur notre vie privée est leur priorité.
La protection des informations collectées est leur priorité (garder l’avantage sur les concurrents).
Bon ok, le respect de notre vie privée arrive assez bas dans le classement.
Mais c’est pas si mal.
#2
Merci David pour cet article. Je vais suivre le blog de pixel de traking
#3
C’est assez marrant d’ailleurs ce bandeau.
J’avais trouvé étrange que la première chose qu’affichait le site de ma pizzeria c’était un énorme bandeau « Votre vie privée est notre priorité. »
Parce que moi j’étais venu commander une pizza. Je pensais que leur priorité c’était de faire des pizzas.
Bien sûr c’était une petite chaîne de 3 pizzerias de ma ville. On est loin du vilain aspirateur de données. Je suppose que ça venait de leur agence web qui leur a collé ça parce qu’ils doivent utiliser des trucs d’analytics à la con.
Mais j’avais trouvé que ça soulignait de manière assez ironique le ridicule de la situation. Même un site pour commander des pizzas dans une petite chaîne locale se retrouve à t’afficher ce genre de trucs alors que tout ce qui est à peu près utile à traquer sur un site de commande de pizza, c’est qui achète quoi. Hors ça rentre dans le cadre de l’intérêt légitime.
Mais comme ils foutent des traceurs sans même savoir pourquoi parce que ça devait être dans le package de l’agence web, ils se retrouvent à devoir te dire « Votre vie privée est notre priorité » au lieu de « Vos pizzas sont notre priorité ».
#3.1
En effet, c’est cocasse !
Mais même si récemment les autorités de protection des données ont décidé de mesures communes quant aux pratiques autour des dépôts de cookie et bandeaux, les cas où ils sont tellement dissuasifs (pas de non, bien caché, etc) sont encore légion.
Même chose pour les “j’accepte les conditions et la politique de vie privée” qui, bien que contraire au RGPD, sont encore une généralité.
#3.2
Etant justement du côté “développement”, je me retrouve bien souvent coincé, parce que pour le moindre site où tu veux un peux d’analyse de fréquentation, tu te retrouves à devoir mettre la popup débile.
Même les alternatives à Google Anaytics (souvent demandé par les propriétaires du site) du genre Matomo, tu as besoin de consentement. Revenir à l’analyse de logs n’est souvent pas viable (pas toujours accès sur du mutualisé, demande beaucoup de ressources, certaines informations sont manquantes car uniquement accessibles via du JS…)
Ensuite, tu veux intégrer le moindre petit outil, plugin ou équivalent, même une bête vidéo hostée sur Youtube, bam, tu regardes et ça te fout 3 cookies alors que tu n’as rien demandé. L’autre jour un client me demande d’intégrer “Crisp”, un système de chat assez sympa. C’est une solution commerciale (même s’il existe une version gratuite) et l’inclusion de leur JS entraine masse de cookies…
Bref, ça devient la jungle et en effet pour un bête site vitrine montrant ton offre de pizza, tu te retrouves à devoir demander le consentement pour 15 cookies :(
#4
“De quoi pousser le secteur de la publicité ont d’ailleurs porté le sujet en France devant l’Autorité de la concurrence.” heu y’a pas un probleme de formulation là ?
#5
C’est pas dit. Son homologue espagnole a à peu près le même budget et pourtant : 601 des 1702 condamnations au sein de l’UE, contre 34 pour la CNIL… (source : https://www.enforcementtracker.com/)
Les logs contiennent des données à caractère personnel (DCP), donc les traiter pour faire de l’analytique nécessite consentement préalable. Je le rappelle au cas où : Le RGPD encadre les traitements de DCP dans leur globalité, que ça soit via cookies, logs, bdd…
Faire de l’analytique avec la législation actuelle n’est pas vraiment possible à mon avis :
C’est le drame de l’UE : dépendance à des technos tierces (probablement US) qui ne respectent pas la législation UE. D’ailleurs pour rappel toute solution de nationalité US traitant des DCP est automatiquement contraire au RGPD, point. Cf l’arrêt Schrems 2 de la CJUE. Ce qui signifie que rien qu’un CDN US comme Google Fonts ou Akamai c’est nope, car il traite au minimum l’user agent et l’adresse IP du visiteur du site sur lequel il est appellé.
Plus globalement, le secteur du web fait n’importe quoi côté DCP depuis des décennies, donc forcément maintenant que les autorités se réveillent ça commence à piquer et beaucoup d’entreprises sont dans le déni et se comportent comme l’industrie publicitaire elle-même (notamment parce qu’elles en sont au moins partiellement dépendantes).
#6
Le “web analytics” totalement anonymisé fournit déjà pas mal d’infos qui peuvent être suffisantes (d’où viennent les utilisateurs, quelles pages sont les plus consultées, quel matos ils utilisent… C’est un peu plus galère pour le nombre de visiteur (nouveaux vs déjà venus) mais lorsqu’on n’a pas vocation à utiliser ces stats pour se faire mousser auprès de potentiels partenaires c’est déjà pas mal.
Sinon tout à fait d’accord sur le gros bazar des technos pourtant implémentées de plus en plus “nativement”. En effet les google fonts sont un très bon exemple. Du point de vue du commanditaire du site (celui qui te demande de créer un site pour lui), il s’en tape totalement, il veut une jolie police, il a repéré celle là sur un site qu’il aime bien, et il serait hors de question de payer des royalties massives pour obtenir une licence sur une police payante.
Même chose pour les analytics où d’un côté tu as Google Analytics avec tout ce qu’il faut pour zéro euro (toujours pour le commanditaire), installable en 1 clic et de l’autre… du gros bordel généralement pas top, pas user-friendly, …
Et je ne parle même pas des extensions wordpress genre Jetpack, Yoast SEO machin, les recaptcha sur le formulaire de contact…
On a un GROS problème… mais tout le monde s’en fout, donc on met des popups débiles où les gens cliquent sur “foutez-moi vite la paix j’en ai rien a foutre de vos cookies”… VDM
#7
Le referer et l’user agent sont des données à caractère personnel s’il est possible d’identifier un individu en les recoupant à d’autres données.
Les Google fonts sont téléchargeables et servables en first party, rien n’oblige à passer par le CDN de Google.
Tout à fait. L’argument à opposer au commanditaire devrait être l’amende qu’il risque mais pour ça il faudrait qu’il ait une forte probabilité de se prendre une amende et que le montant soit dissuasif, ce qui est actuellement loin d’être le cas.