Cet article fait partie d’un dossier consacré aux publicités comportementales. Vous pouvez le consulter intégralement dans notre toute nouvelle rubrique dossier et sur la page suivante.
Le cookie est donc un espion… mais que fait la police?! Le cookie est en réalité parfaitement légal….
La législation européenne: réglementation, autorégulation et responsabilité de l’internaute
Cette législation s’appuie sur un postulat : l’utilisateur peut enlever ses cookies à tout moment. Elle ne prend pas en considération l’inégalité fondamentale des individus devant les technologies informatiques : tout le monde sait-il vraiment où sont stockés les cookies -votre mère, votre grand-père ?
En outre, il est très difficile d’identifier un bon cookie (celui qui nous permet de stocker des informations sur un site qu’on a l’habitude de consulter, qui nous simplifie la vie) d’un mauvais cookie (celui qui permet à l’annonceur de réaliser une étude marketing à moindre frais et sans rémunération du sondé). Dans le cas de Google, par exemple, on est pantois, d’autant plus que sa politique de confidentialité semble complètement opaque : le cookie qui aide à la personnalisation du moteur de recherche est-il le même que celui utilisé par DoubleClic ?
L’Europe a pris la mesure de cette utilisation détournée du cookie dans le marketing, dès juillet 2002, dans sa « directive sur la protection de la vie privée dans le secteur des communications électroniques » (2002/58). Selon l’article 5 de cette directive, exclusivement consacré aux cookies, l’utilisateur doit être informé du dépôt d’un cookie et le site doit lui donner la possibilité de le retirer. Cette directive, qui a eu du mal à être transposée dans les lois nationales des états membres, misait déjà sur l’autorégulation des régies et des sites plus que sur la réglementation, si bien que les informations relatives aux cookies et à leur enlèvement se retrouvent très souvent reléguées dans les mentions légales ou les CGU: en somme, le texte écrit en tout petit qu’on ne le lit jamais. Evolution des technologies et/ou constat d’échec, la directive a dû été modifiée en 2009, avec un « amendement cookie ». La nécessaire information de l’utilisateur (à quelle fin est utilisé le cookie) est désormais un préalable au dépôt de cookie, l’utilisateur doit donc accepter le cookie explicitement. Les retranscriptions de cette directive dans les diverses législations nationales sont à nouveau soumises à l’appréhension plus ou moins à la lettre de cette directive.
Petit point Hadopi et législation européenne : Ainsi malgré l’agitation de notre ancien président, l’Europe a tenu bon en refusant à nouveau d’autoriser l’authentification par adresse IP demandée aux fournisseurs d’accès internet, dans le cadre de la lutte contre le téléchargement illégal: l’adresse IP reste une donnée personnelle contrairement à ce que souhaitait nos législateurs. Or la communication de données strictement personnelles est soumise à l’accord préalable de l’individu sauf dans le cadre d’une affaire pénale et à la demande exclusive des autorités judiciaires. Si Hadopi a donc, pour l’heure, du plomb dans l’aile avec les mesures européennes, l’UE reste néanmoins soumise à des lobbies importants invitant à plus de contrôle sur Internet comme l’ a démontré la tentative ACTA, heureusement manquée, qui plaçait au même plan un médicament contrefait et une parodie de Bref sur internet.
Retranscrite en France en 2011 sous le nom de « Paquet Télécom » et intégrée à la loi Informatique et Libertés, la directive européenne ne semble toujours pas suivie à la lettre. Malgré un article touffu de la CNIL (qui vit dans le monde de Oui-Oui visiblement) expliquant que ce consentement doit être explicite (pas de dépôt de cookie sans consentement, un « j’accepte » sur une bannière ou un encart), il semble bien que la retranscription du texte européen dans la loi française ait rendu l’amendement cookie moins coercitif. Avocats et juristes (dont on ne doute pas que les régies soient bien entourées) affirment, contrairement à la CNIL, que
« la réglementation n’exige pas de recueillir le consentement préalable des utilisateurs pour les cookies mais exige juste qu’ils aient donné leur accord ».
Distinction subtile me direz-vous, mais abyssale en droit. Les simples paramètres de votre navigateur pourraient être considérés comme un consentement. Là encore… tout le monde sait-il paramétrer son navigateur afin d’enlever les mauvais cookies et alors que certains cookies sont nécessaires à la navigation?
Dans tous les cas, la CNIL laisse du temps aux entreprises pour se mettre en conformité; il est vrai qu’une application à la lettre engendrerait une mutation profonde des entreprises de pub online, acteurs importants de l’économie numérique. En attendant donc un débat (de haute volée linguistico-juridique à n’en point douter) soulevé devant la Cour Européenne entre « donner son accord » et « donner son consentement », le marché de la publicité online en Europe a encore de beaux jours devant lui.
Les effets de la loi : autorégulation plutôt que réglementation
La loi s’appuie avant tout sur le respect des règles de confidentialités édictées par la loi « Informatiques et libertés ».Or demeure encore une certaine opacité sur les informations recueillies sur les sites et leur utilisation, dont de nombreuses organisations (internationales, nationales ou consortiums privés) se sont inquiétées.
Dès les années 2000, la Federal Trade Commission (FTC) s’était inquiétée du rachat par Double-Click, une immense régie publicitaire, de la société Abacus, géant américain du marketing de la base de données nominative clients/prospects. Un expert en sécurité, Richard Smith, avait à cette occasion alerté sur le croisement dangereux : « les cookies des navigateurs peuvent être recoupés avec les adresses e-mail sans le consentement des personnes. », ils permettraient donc, au final, « d’associer une adresse e-mail avec un profil “anonyme” que crée une personne en surfant». Lorsque Google rachète Double Click en 2007 (pour la modique somme de 3,1 milliards), à nouveau la FTC et la commission européenne placent sous surveillance cette étrange confusion des genres.
A l’origine, les « politiques de confidentialité » des sites étaient noyées dans la masse d’informations, et souvent rédigées en termes juridiques peu compréhensibles. En 2002, le consortium World Wid Web (W3C) qui avait sans doute écouté les inquiétudes de la FTC, a mis en place, et standardisé en langage web, la P3P (Platformfor Privacy Preferences) : ce langage permet aux sites d’informer automatiquement sur sa politique de confidentialité les navigateurs des utilisateurs. Ceci permet à votre navigateur de bloquer les sites ne correspondant à vos réglages. 10 ans après, tous les navigateurs (dont Google) n’ont pas accepté le standard P3P ainsi que la plupart des sites n’ont pas configuré de politique de confidentialité en P3P.
En décembre 2010, la FTC propose de s’adresser d’abord aux navigateurs (et non au site et au navigateur) en suggérant une option « Do Not Track » (développée dès 2009 par des chercheurs) et en invitant à la standardiser auprès du World Web Consortium ; le choix de la commission est bien entendu d’inviter les entreprises à une certaine autorégulation, encouragée par des groupes d’internautes très actifs. Ainsi, Safari, IE9, Firefox et bientôt Chrome (qui a déjà une extension pour bloquer Double Clic), intègrent cette option, néanmoins celle-ci est d’office désactivée. Microsoft (une fois n’est pas coûtume) enversera peut-être la tendance en annonçant que son IE 10 activerait le « Do Not Track » d’office, provoquant tollé des régies et bonheur des groupes de pression sur internet : Microsoft se paie ici une campagne de communication gratuite pour son nouveau navigateur et redore son blason auprès des tenants d’un internet libre. Encore faudrait-il que les sites s’adaptent pour être compatibles et généraliser son utilisation : si Twitter a accepté (il faut dire que dans le même temps, le réseau social donnait son accord aux annonceurs pour la publicité ciblée), Facebook a officiellement refusé cette compatibilité.
L’autorégulation et le respect des règles ne suffisent souvent pas, la règle du « pas vu, pas pris ! » (j’avoue j’étais pas inspiré) semble être appliquée par certaines régies.
En février, selon le Wall Street Journal, Google ainsi que trois autres régies auraient volontairement modifié le code de leurs publicités afin de pouvoir placer les fameux cookies nécessaires au tracking sur les navigateurs Safari, configuré de base pour refuser les cookies tiers. Si on avait l’esprit mal placé, on dirait que Google a accepté, après de nombreuses hésitations, le « Do not track » car au même moment, il a été pris la main dans le sac.
Facebook, l’année dernière, a provoqué une levée de boucliers à peine deux semaines après que Mark Zuckerberg ait annoncé à une soixantaine d’annonceurs sa toute nouvelle stratégie publicitaire basée sur le ciblage comportemental
« Nous allons aider vos marques à faire partie des conversations quotidiennes qui se produisent tous les jours entre les membres »
Un blogueur australien a en effet constaté que le réseau social, au moyen de son application « Beacon », apposait un cookie actif après déconnexion du réseau, enregistrant toute votre activité sur le web et en prime, très peu sécurisé.
Les nouvelles règles de confidentialité Google édictées au 1er mars ont ainsi été retoqués le 16 octobre par l’Europe, invitant à les mettre en conformité avec la législation de l’UE : elles doivent »fournir une information plus claire et plus complète sur les données collectées » et indiquer clairement leur « finalité« . Il est vrai que la page de confidentialité est une vaste blague, composée de formules vides de sens qui ne disent rien sur la revente de données et ne faisant pas la distinction entre « bon » et « mauvais » cookie.
Dans le cas de Facebook ou de Google, la surveillance est d’autant plus active que, alors qu’ils monétisent la collecte d’informations, ils engrangent un certain nombre de données personnelles et privées, et d’identifiants nominatifs.
Se prémunir des cookies
Malgré cet arsenal législatif (et comme on est toujours pas dans le monde de Oui-Oui), le rôle incombe encore à l’utilisateur de se prémunir contre ces cookies.
Plusieurs solutions s’offrent alors :
- les supprimer tous (enfin ceux qui sont installés au bon endroit.. ce qui n’est pas toujours le cas) manuellement (et régulièrement… ça va de soi!) de votre ordinateur.
Sur Windows 7 : panneau de configuration → réseau et internet → supprimer l’historique de navigation et les cookies
- configurer le navigateur pour mieux maîtriser ses cookies. Plutôt que d’activer la fonction d’alerte (essayez un peu tout de même histoire de vous apercevoir du nombre de cookies qui polluent nos pages), je vous conseillerais surtout de désactiver les cookies tiers (ceux qui sont déposés sur votre ordinateur par un serveur autre que celui lié au domaine du site que vous visitez). En effet, théorie (toujours dans le monde Ouï-ouï), les cookies déposés par le même serveur sont utilisés pour la navigation (sauf dans le cas du targeting si vous avez bien compris mon explication !): un site comme Amazon par exemple exige d’accepter les cookies afin de gérer votre panier…
Suivez le guide pour ces navigateurs : Chrome, Firefox, IE9… pour Safari, et bien pas de guide puisque (comme vous l’avez noté) les cookies tiers sont d’office refusés.
- télécharger des extensions pour votre navigateur : inflencés par des groupes de pression actifs sur le net, les navigateurs développent au fur et à mesure des extensions permettant un contrôle plus large de la protection de la vie privée sur le net : Priv3 pour Firefox permet d’empêcher les réseaux sociaux de vous tracer (« les boutons +1″ ou « like » permettent de vous tracer et ce, dès qu’ils s’affichent à l’écran). Google a même mis en ligne son propre plugin (législation oblige?) Keep my opts out pour désactiver son cookie publicitaire, DoubleClick.
Je vous conseille AdBlock (Safari, Chrome, Firefox): ce plugin bloque toutes les publicités des sites internet tout en vous laissant la possibilité facilement de les débloquer.
- utiliser un logiciel spécialisé comme Spybot Search & Destroy ou Cookies manager : vous sélectionnez les cookies que vous souhaitez supprimer et indiquez au logiciel ceux qu’il doit systématiquement refuser ou supprimer.
Il impute donc à l’utilisateur de se prémunir contre les cookies et ce, malgré les tentatives de réglementation… Internet, loué en tant qu’espace de libertés, loin des considérations mercantiles et des lobbying, a bien changé, à moins que ce soit la place de l’homme… Avec internet, tous prospects est le dernier article concluant cette série consacrée à la publicité comportementale.