En entendant “web tracking“, il est difficile de s’empêcher de penser à l’image de la traque d’une proie à travers champ, le terme est impressionnant voir effrayant. Lors de votre navigation sur le net, vous vous êtes peut-être déjà demandé quelle empreinte restait derrière vous ? Qui se cache derrière le web tracking ? Que dit la loi pour vous protéger ?
Le web tracking est un moyen par lequel les sites identifient des utilisateurs et collectent leurs données de navigation. Le web tracking peut se faire de plusieurs manières via l’utilisation des outils suivants : cookie, fingerprinting, beacons, session replay, mouse tracking, etc.
Les trackers sont les outils permettant de collecter de la donnée sur l’utilisateur et de suivre son parcours à travers les différents sites visités. Il en existe deux types principaux :
Les trackers first-party sont les trackers qui sont utilisés par le serveur du site web sur lequel l’utilisateur navigue.
Les informations ne sont pas envoyées uniquement au serveur du site web sur lequel l’utilisateur navigue. Elles peuvent également être transmises à tout autre site web affichant des ressources sur le site visité tels que des images ou des scripts non visibles de l’utilisateur (pixel transparent). Ces derniers sont des trackers third-party.
Les trackers third-party ont mauvaise réputation car ils sont la plupart du temps invisibles de l’utilisateur et ne lui permettent pas de manifester explicitement son consentement. De plus, les données collectées sont à destination d’un autre site dont l’utilisateur ne connaît que rarement l’existence.
Principalement, les publicitaires. Après avoir collecté ces données, des services (réseaux sociaux, web analytics, Ad Tech etc.) peuvent donc définir un identifiant utilisateur qui sera stocké dans un cookie ou enregistré sous la forme d’un fingerprinting. Cet identifiant permet de suivre l’utilisateur à travers différents sites web visités via un même navigateur.
L’identification d’un utilisateur est plus précise lorsqu’il s’est connecté à un espace loggé comme certains services le nécessitent tels que Facebook ou Twitter. Ainsi, la présence d’un bouton “like” de Facebook ou d’un bouton “tweeter” de Twitter sur un site web permet aux réseaux sociaux de savoir que l’utilisateur a visité cette page internet car un appel est fait vers leurs serveurs avec ces informations.
Le tracking sert à l’affichage ciblé des publicités dans le but de générer des revenus. Une publicité ciblée génère en général plus de clics lorsqu’elle repose sur les centres d’intérêts de l’utilisateur. L’exploitation des données utilisateurs permet donc de rémunérer les publishers.
Les outils de tracking peuvent permettre d’améliorer le confort de navigation de l’utilisateur en retenant par exemple les préférences de langue ou de personnalisation de l’interface. Ce tracking est aussi nécessaire à la recommandation de produits sur les sites e-commerce.
Enfin le tracking permet d’assurer la sécurité du web via l’analyse de comportements suspects.
La notion de consentement est essentielle pour garantir la protection des données personnelles des utilisateurs, déjà inscrite dans la loi Informatique et Liberté en France puis consolidée par le RGPD aux articles 4 et 7 du règlement européen.
En juillet dernier, la CNIL a publié de nouvelles lignes directrices portant sur les cookies et autres traceurs afin de renforcer l’application du recueil du consentement de manière libre et éclairé auprès de l’internaute. Les deux axes majeurs de ces lignes directrices portent sur le consentement au dépôt de cookies et sur la nécessité pour les opérateurs de prouver qu’il y a bien eu recueil du consentement.
Le règlement ePrivacy – visant à encadrer l’utilisation des données personnelles dans le domaine des communications électroniques et à harmoniser la législation européenne – est quant à lui toujours en attente d’entrée en application.
Une solution simple pour permettre à l’utilisateur de se prémunir contre le tracking est la généralisation de la navigation privée. Bien que ce moyen de navigation ne protège en rien d’un tracking portant sur le terminal, il est assez efficace contre le tracking utilisateur réalisé à des fins publicitaires. En effet, les cookies ne durent que le temps de la session et le fingerprinting est limité à un browser générique que beaucoup d’utilisateurs partagent.
Le web tracking est au cœur des préoccupations des autorités de contrôles européennes, en particulier lorsque la finalité de la collecte de données concerne le ciblage publicitaire. Elles sont confrontées aux lobbies internationaux pour la mise en place d’une nouvelle ère dans la gestion des cookies et autres traceurs. Tous les trackers ne sont pas malicieux et permettent dans certains cas d’assurer une plus grande sécurité sur le net. Les autorités souhaitent plus de transparence pour permettre à tout internaute d’être maître de ses données et des informations qu’ils souhaitent ou non partager à des tiers.
Références :
https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-de-nouvelles-lignes-directrices
https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi
https://dpo-consulting.fr/cookies-et-autres-traceurs/
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=FR
Par Lola Met
Nous vous invitons à lire cet article sur la réalisation d’Analyse d’impact sur la vie privée : PIA RGPD