Vaporwave artist/designer bo-[ r e a l ]

Cookies or not cookies ? Les écueils de la proposition de règlement ePrivacy

N’avez-vous jamais été confrontés à des publicités vous incitant à acheter une paire de chaussures sur Facebook après la recherche de cette dernière sur un site de e-commerce deux jours plus tôt ? Imaginez un instant que ce type de pratiques publicitaires disparaissent. A la clé, des pages moins longues à charger, une expérience utilisateur moins chaotique et une confidentialité préservée de vos recherches. Alléchant n’est-ce pas ?

C’est en tout cas l’objectif que s’est fixé la Commission européenne ce début d’année dans sa proposition de règlement ePrivacy. Cette proposition intervient dans la continuité du Règlement général sur la protection des données (RGPD) qui constitue le nouveau socle de référence européen en matière de protection des données à caractère personnel.

En cours d’examen, le nouveau règlement ePrivacy doit théoriquement entrer en vigueur au même moment que le RGPD soit en mai 2018. Mais l’enfer est pavé de bonnes intentions et avec ce texte, la Commission ouvre la voie à un chambardement en profondeur de l’Internet, pas nécessairement dans l’intérêt des internautes.

Explications

La menace des cookies

Avant d’aborder plus en détails ePrivacy, revenons aux sources du problème. Au commencement de l’histoire est « le cookie » : un petit fichier texte déposé sur le navigateur web d’un internaute au moment de la consultation d’une page. A l’heure actuelle plusieurs types de cookies cohabitent (nous en citerons seulement deux par soucis de clarté) :

Les first-party cookies sont associés au domaine de la page visitée. Ils peuvent renvoyer à des cookies techniques qui améliorent le confort de navigation en adaptant la présentation du site et les préférences d’affichage du terminal (langue utilisée, résolution d’affichage) voire mémoriser les mots de passe. En parallèle, des cookies first-party mesureurs d’audience analysent la fréquentation des différents contenus et rubriques du site, afin de les évaluer et de mieux les agencer ;

Les cookies tiers sont quant à eux déposés par un élément de la page (une publicité par exemple) qui provient d’un autre domaine.

Ces cookies sont les éléments indispensables pour effectuer un ciblage comportemental. Ce procédé technique est proposé à un annonceur publicitaire pour toucher le plus finement possible ses potentiels clients. Sous l’impulsion d’organisations défendant les libertés en ligne comme la Quadrature du net ou EDRI, les autorités européennes et le gouvernement français se sont saisis du problème et ont engagé une lutte féroce contre le « profilage ».

Le brouillon du texte ePrivacy s’inscrit dans cette continuité tout en apportant son lot de nouveautés. Désormais le consentement de l’utilisateur au dépôt de cookies s’exprimera via le paramétrage de son navigateur (article 9.2) et devra être réitéré tous les six mois (article 9.3).

Fini les bannières cookies. Place au paramétrage des cookies dès la configuration du navigateur.

L’article 10 impose aux éditeurs de navigateurs web de proposer à leurs utilisateurs de configurer le logiciel de manière à interdire à des tiers de stocker des fichiers sur leurs devices, et de traiter des données qui y sont stockées (article 10.1).

Pierre B. http://hermeneusis.tumblr.com/

Les cookies contre-attaquent

Une avancée positive des droits fondamentaux sur Internet me direz-vous ? Certes. Mais le texte prend deux partis pris hasardeux :

  1. Le premier étant de croire que chaque internaute sait ce qu’est un cookie, et qu’il s’attardera à classer les sites sur lesquels il autorisera leur dépôt à l’installation de son navigateur web (une autorisation qu’il devra renouveler tous les six mois). Des organisations professionnelles à l’image de l’IAB craignent que les utilisateurs cochent par défaut le non-dépôt de cookies pour tous les sites, par facilité voire incompréhension.
  2. Le deuxième étant d’imaginer que les sites indépendants (de presse notamment) pourront se financer sans l’apport de la publicité digitale. L’utilisateur est-il aujourd’hui réellement prêt à voir le contenu gratuit auquel il a si facilement accès, se raréfier ? Pas sûr.
Face aux réticences, la Commission a déjà mis de l’eau dans son vin.

La pré-version qui a fuité en décembre 2016 prévoyait une obligation de paramétrage par défaut les navigateurs web interdisant le dépôt de cookies (un volet ardemment défendue par la Quadrature du net). Dans la mesure où cette disposition aurait empêché le bon fonctionnement d’une majorité de sites, la version définitive permet le dépôt de cookies techniquement nécessaires à l’utilisation du service dont des mesureurs d’audience (article 8) et des cookies de paramétrage des préférences de l’utilisateur (considérant 21).

De plus, face à la levée de boucliers des éditeurs de sites indépendants soucieux de préserver leur modèle économique, cette nouvelle version laisse clairement entendre que des cookies walls pourront être déployés. En clair, en cas de rejet par défaut de tous les cookies, un site internet pourra forcer l’internaute à accepter ses conditions d’utilisation (et donc le dépôt de cookies) pour qu’il accède à ses contenus. Pas de quoi fluidifier la navigation, surtout sur mobile…

La revanche des cookies

Outre des incompatibilités marquées avec un certain nombre de textes européens, cette proposition de règlement interroge à plusieurs titres.

Microsoft Internet Explorer
  1. En l’état, ce texte confie l’essentiel de la mise en œuvre de la protection des données personnelles à trois sociétés éditrices de logiciels de navigation basées aux États-Unis (Google Chrome, Microsoft Internet Explorer/Edge, Apple Safari). La Mozilla Foundation (Firefox) et Opera seront évidemment concernés mais dans une moindre mesure compte tenu de leur taux d’utilisation sensiblement plus faible. A quel titre doit-on laisser à la charge de ces acteurs la sanctuarisation de nos vies privées ? Et a-t-on un instant songé aux développeurs de navigateurs libres qui ne pourront pas implémenter ces dispositifs faute de moyens dans leurs logiciels? Nombre d’illustres web browers au premier rang desquels trônent Konqueror ou Midori risquent de disparaître. Opter pour cette disposition reviendrait en définitive à instaurer un biais technologique — en omettant l’écosystème applicatif par lequel l’immense majorité des internautes se connecte.
  2. Cette proposition viendra également renforcer le modèle d’un Internet basé sur les univers loggués (ces fameux walled garden) qui ne recourent pas à des cookies tiers pour agréger de la donnée granulaire sur leurs utilisateurs. Un Google ou un Facebook par exemple captent les données déclarées par leurs utilisateurs au moment de leur inscription puis les affinent via des cookies développés par leurs soins et implémentés directement sur leurs plateformes. En cela, ces acteurs sortent du scope ePrivacy (qui se focalise uniquement sur les cookies tiers) et vont pouvoir réaliser leurs ciblages publicitaires sans contraintes.
En confondant nature et finalité des cookies, la Commission favorise une frange restreinte d’acteurs sans résoudre les problèmes liés au profilage.

Points conclusifs

Plus globalement, les problèmes soulevés par les cookies questionnent le projet émancipateur porté par les précurseurs d’Internet; celui d’un espace public gratuit et défini comme bien commun [Proulx, Goldenberg, 2010].

« L’économie de la connaissance se donne ainsi pour base une richesse ayant vocation d’être un bien commun, et les brevets et copyrights censés le privatiser n’y changent rien ; l’aire de la gratuité s’étend irrésistiblement. »
André Gorz, 2007

Cette “culture de la gratuité” relève davantage du mythe puisqu’en quelque sorte, le consommateur paie déjà mais souvent autrement [Desportes, 2007]. Le cas de la publicité comportementale est parlant. A elle seule, la publicité permet de financer des pans entiers de la toile et des contenus qui y transitent alors même que sa logique contrevient à l’idéal libertaire qui sous-tend Internet.

Autour d’ePrivacy se cristalise en définitive les tenants d’un Internet intégralement gratuit quelque peu utopique (ou en tous cas alternatif dans ses modes de financement) à ceux qui estiment que les business models actuels sont les seuls à même de le financer — une guerre de tranchées dans laquelle se complait les géants du web.

Refermer cette boîte de Pandore risque en tous cas d’être délicat surtout dans un laps de temps aussi court (le règlement doit entrer en vigueur en mai 2018). Affaire à suivre ces prochains mois…

DESPORTES G., 2007, Entrevue avec Laurent Chemla : « La gratuité des sites est un mythe », MediaPart, Paris, 6 décembre.

GORZ A., 2007, « Le travail dans la sortie du capitalisme », EcoRev, 28, Paris : 8–15.

PROULX S., GOLDENBERG A., « Internet et la culture de la gratuité », Revue du MAUSS, 1/2010 (n° 35), p. 503–517.

Like what you read? Give Clément Reix a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.