Le business model du cookie face au règlement ePrivacy

Le projet de règlement ePrivacy censé réactualiser la directive « vie privée et communications électroniques » 2002/58/CE s’affiche comme une lex specialis, c’est-à-dire une réglementation spéciale apportée au RGPD. Elle s’inscrit également dans la stratégie MUN (Marché Unique Numérique) visant à pérenniser et renforcer l’économie numérique européenne. Elle a été présentée par la Commission européenne le 10 janvier 2017.

La volonté du nouveau règlement ePrivacy est d’encadrer plus spécifiquement l’utilisation des métadonnées et des cookies. C’est sur ce dernier élément, le cookie, que sera consacré cet article. Objet de beaucoup de fantasmes, à tort ou à raison, il convient d’en établir une description plus avancée, mais aisément compréhensible.

Qu’entend-on par cookie ?

Le cookie est un petit fichier qui s’enregistre sur le terminal de l’internaute lors de sa navigation sur les pages y ayant recours. Originairement créé par les développeurs des premiers sites web au début des années 1990, il avait pour but de faciliter la navigation en permettant ou améliorant certaines fonctionnalités. Tel une signature, il permet d’enregistrer l’authentification de l’internaute en stockant une ou plusieurs informations spécifiques de celui-ci lors de sa connexion sur un site.

Simple fichier texte, le cookie ne « traque » pas, en principe, l’utilisateur de manière active. Le cookie a une durée de vie limitée, fixée par le concepteur du site. Il est absolument nécessaire, sur le plan fonctionnel, et hors visée commerciale, à la bonne marche de nombreux sites web et d’applications. L’emploi de cookies par un site est généralement signifié par une bannière munie d’une case à cocher et proposant à l’utilisateur son consentement.

Les nombreux avantages des cookies

En clair, le cookie permet au site de se remémorer des préférences de l’utilisateur (mots de passes, recherches…). Il permet donc au webmaster (créateur du site internet) de reconnaître les habitudes d’un visiteur et, in extenso, d’établir un profil de celui-ci. L’amélioration du site au travers des cookies est donc cruciale. L’utilisation commerciale des cookies est extrêmement large et potentiellement très rémunératrice pour les propriétaires de sites comme les publicitaires. C’est un avantage marketing extrêmement efficace pour proposer aux utilisateurs des biens et services adaptés à leurs potentiels besoins (certains cookies peuvent, par exemple, sauvegarder le panier d’achat d’un utilisateur qui aurait par erreur fermé sa page).

Un cookie a également une utilité sécuritaire, puisqu’il permet de faire évoluer l’utilisateur au sein des pages du site sans laisser son identifiant de session en clair dans la barre d’url (cela limite les usurpations de session, notamment en cas de partage d’un lien sur un forum).

De plus, de nombreux cookies de fonctionnement (c’est-à-dire sans visée commerciales) sont absolument nécessaires à la bonne marche de certains sites ou applications.

Les effets pervers du développement des cookies

Tout d’abord, la durée de vie d’un cookie n’est limitée qu’au bon vouloir du créateur, ce qui pose un problème éthique et juridique quant à la validité du consentement donné par l’utilisateur.

Un type de cookie est particulièrement dangereux, le cookie dit « tierce partie ». Ce dernier se diffuse sur le web et ne se limite pas aux pages réalisées par le créateur du site. Ainsi, chaque site tiers faisant référence au premier risque d’être « contaminé » par ce type invasif de cookies.

Tracer le passage de l’utilisateur sur plusieurs pages et sites différents, avec l’ordre et les heures de connexion, est donc possible au travers de ces cookies tierces parties. Un véritable pistage (commercial, comportemental, social…) est par conséquent permis par le fonctionnement même de l’interconnexion/dépendance des sites.

Les cookies tierces parties sont donc une menace considérable pour la vie privée. Cela a été démontré dès 1996 par un groupe de travail de l’IETF (Internet Engineering Task Force)

Certains cookies sont donc conçus spécialement pour le traçage et le ciblage agressif. Ainsi, à titre d’exemple, les pixels espions sont des « images » composées d’un seul pixel (Invisible pour l’utilisateur) diffusés dans de très nombreuses pages selon le fonctionnement des cookies tierces parties. Ils permettent de récolter, en recoupant les différentes visites de l’utilisateur, une large gamme d’information sur ce dernier.

Certaines entreprises en ont fait leur cœur de commerce. Ainsi, de nombreux logiciels de collecte aux fins d’analyse et d’audience ont évolué pour offrir aux commerciaux et marketeurs de redoutables outils d’étude de marché.

Se posent donc des problématiques éthiques et juridiques essentielles, particulièrement relatives à la vie privée et aux données personnelles. Chaque ordinateur dispose de sa propre adresse IP, ce qui rend la circulation de cette donnée personnelle à des fins de profilage extrêmement dangereuse pour les utilisateurs.

L’avenir du cookie tierce partie : le fingerprinting

Le « device fingerprinting », en français empreinte digitale d’appareil, se base exclusivement sur les informations techniques que les appareils et navigateurs web communiquent aux fournisseurs d’accès internet. Cette méthode se base, non pas sur les choix et « clics » de l’utilisateur (comme les cookies), mais sur l’ensemble des réglages informatiques du terminal.

En clair, l’ensemble des informations techniques d’un poste informatique sont des données qui n’apportent pas, prises individuellement, de moyen d’identifier totalement un appareil, et donc un internaute.

Cependant, l’infinité de paramètres techniques bien particuliers qu’un utilisateur va sélectionner feront, à force de recoupement de ces informations (taille des fenêtres, système d’exploitation, nombre d’onglets ouverts, résolution de l’écran, nombre d’icônes, choix des couleurs etc.), un véritable faisceau statistique augmentant, à chaque nouvel élément technique collecté, une véritable empreinte digitale de l’appareil et de l’utilisateur[1].

Le tout, sans nécessiter, jusqu’à aujourd’hui, d’accord particulier de l’utilisateur, puisque rien n’est prévu sur le plan législatif face à cette technologie avant-gardiste.

En l’état du droit existant, c’est une potentielle manne financière considérable dans laquelle de nombreuses entreprises se sont engouffrées pour tenter de développer des moyens techniques fiables améliorant la collecte et son interprétation. Deux types de collectes peuvent être envisagées : la collecte passive, qui se repose sur les communications de l’appareil (système d’exploitation, paramètres de connexion, nombre d’onglets etc.) et la collecte active, intrusive, installant un programme exécutable sur l’appareil permettant d’obtenir de nombreuses informations supplémentaires.

Face à ces nouvelles techniques, les institutions européennes ont réagi au travers d’un projet de règlementation ambitieux.

L’ePrivacy, la contre-attaque règlementaire

Le règlement ePrivacy, dans sa nouvelle version proposée le 10 janvier 2017 s’efforce de compléter le cadre juridique applicable en matière de protection des données personnelles du RGPD (Règlement Général sur la Protection des Données). Il s’appliquera le même jour que ce dernier, à partir du 25 mai 2018.

Dans le cas particulier des cookies, le règlement imposera (articles 9 et 10) aux navigateurs internet de soumettre aux utilisateurs l’acceptation ou le refus du dépôt des cookies dès la configuration initiale de ceux-ci. Ce sera le cas d’office pour les navigateurs installés après l’entrée en application du texte mais également pour les autres suites aux mises à jour ultérieures (quoiqu’il en soit, au plus tard le 25 août 2018). De surcroit, ce consentement sera redemandé tous les 6 mois « tant que le traitement se poursuit ».

Il sera donc possible à chaque utilisateur d’interdire a priori, depuis les paramètre de son navigateur, les cookies, et donc les dangereux cookies tiers.

Le device fingerprinting est également concerné puisque le considérant 20 du projet de règlement ePrivacy fait mention des « captures d’empreintes numériques » qui, au même titre que les pixels invisibles, les logiciels espions (etc.) devront être interdites sans le consentement de l’utilisateur.

Mais alors, tout va-t-il pour le mieux dans le Marché Unique Numérique ? Rien n’est moins sûr.

Le business model du cookie

L’exemple de la presse gratuite est particulièrement révélateur. Face à la chute vertigineuse des ventes du journal sous format papier, les grands noms de la presse écrite se sont tournés vers le numérique en proposant une information gratuite aux citoyens, avec tout de même la possibilité pour eux de s’abonner afin d’accéder aux articles les plus fouillés, ou les plus récents.

Comment un tel modèle économique peut-il fonctionner, apparemment gratuitement ? Les données personnelles récupérées au travers des cookies sont revendables, de même que les espaces publicitaires des sites (profilés, d’ailleurs, au travers de ces mêmes cookies). Un tel système peut donc croitre économiquement, ou du moins subsister. C’est l’une des raisons du choix de titres accrocheurs qui pourront être relayés rapidement sur les réseaux sociaux afin d’acquérir une visibilité croissante. Chaque « clic » d’un utilisateur sur un article paye, au travers des données récupérées, le visionnage de l’article. C’est un cercle de croissance économique qui n’est, d’ailleurs, pas toujours en faveur d’une qualité journalistique des articles relayés.

Cependant, si le cookie commercial peut être désactivé d’office par l’utilisateur, au lieu de lui être proposé par une bannière à chaque connexion sur le site, les probabilités importantes de pertes économiques risquent de sonner le glas d’une large proportion de médias qui ne fonctionnaient (ou du moins survivaient), jusqu’alors, qu’au travers de la technique du cookie.

Et ces pertes ne concernent pas que la presse écrite car le développement des applications gratuites sur smartphone fonctionne également en partie grâce aux reventes de données et aux publicités ciblées permises les cookies. Privées d’une telle source de financement, nombre de start-up travaillant sur des objectifs ambitieux risquent, de facto, de mettre la clef sous la porte.

Enfin, tout le monde n’est pas égal face à cette nouvelle règlementation. D’une part, les sites et navigateurs de faibles importances seront lourdement sanctionnés, d’autre part les plus importants risquent de s’en sortir renforcés : ils seront certes pénalisés mais débarrassés de la (déjà) faible concurrence qui, elle, sera incapable de s’adapter au changement.

Ces nombreuses questions, dont certaines ont été abordées ici, expliquent probablement l’une des raisons pour lesquelles un règlement européen censé s’appliquer en mai 2018 n’est encore qu’à l’état de projet. De nombreuses conséquences directes et indirectes sont à anticiper, bien que l’objectif, en soi puisse-t-être tout à fait louable et compréhensible.

De nombreuses personnalités se sont élevées contre le projet de règlement ePrivacy sur la question des cookies. Mais il ne faut pas oublier qu’il est fondamental, pour la règlementation européenne, de s’adapter rapidement aux problématiques soulevées par la transition numérique qui va en s’accélérant et dépasse systématiquement son encadrement légal.

De plus, c’est un intérêt vital pour l’Union Européenne de conforter le Marché Unique Numérique face aux géants d’Outre-Atlantique qui, eux, n’affrontent pas (du moins avec la même vigueur) de telles controverses éthiques.


[1] Cette empreinte digitale prend la forme d’un « jeton numérique » exprimé en langage binaire. Il peut varier selon la configuration de l’utilisateur et ainsi générer une suite binaire unique, potentiellement identifiante (considérant qu’un ciblage ne prend souvent pas plus de quelques minutes, les paramètres techniques de l’appareil changeant rarement en un si faible laps de temps).

Retour