Lutter contre le pistage de nos comportements en ligne : la question des cookies, six mois après le RGPD

Quelques délicieux cookies posés là

J'ai essayé de jouer le jeu.

Promis, j'ai vraiment essayé.

Quoi donc ? Eh bien, de me débarrasser des cookies pisteurs en paramétrant les choix offerts par les sites depuis le RGPD.

Spoiler : Ça ne marche pas.

Avant le RGPD

Avant le RGPD, j'utilisais l'extension libre Cookie AutoDelete pour Firefox.

Cette extension permet notamment de programmer l'effacement régulier des cookies tout en « sacralisant » au cas par cas des cookies qui se trouvent ainsi protégés de l'effacement (tels ceux qui vous permettent de rester identifié auprès du site sur lequel vous avez ouvert un compte).

Un premier inconvénient de cette extension, toutefois, est qu'elle tend à placer l'utilisateur dans la situation laborieuse de devoir « gérer » ses cookies.

Le deuxième inconvénient de cette extension allait se révéler avec l'entrée en vigueur du RGPD.

Après le RGPD

Depuis l'entrée en vigueur du RGPD, je suis passé par trois étapes successives :

Étape 1 — Cachez ces bandeaux que je ne saurai voir

Je me suis vite rendu compte que j'allais être confronté perpétuellement aux mêmes bandeaux me demandant d’accepter d'être pisté : en effet, mes choix en la matière étaient régulièrement effacés en même temps que les cookies du site (par la grâce de l'extension Cookie AutoDelete sus-évoquée, les choix en matière de cookies étant stockés...dans des cookies !). Bref, j'allais revivre encore et encore le Jour de la marmotte.

Pour régler ce problème, je me suis tourné vers l'extension libre pour Firefox I don't care about cookies qui supprime purement et simplement l'affichage de tous ces bandeaux de demande de consentement.

Mais, du coup, me voici avec deux extensions au lieu d'une pour tenter de juguler le pistage par les cookies. Cela commence un peu à faire usine à gaz, sans compter que je passe à côté des bénéfices juridiques du RGPD tout de même !

Étape 2 — J'ai une idée : et si je me servais de mes nouveaux droits conférés par le RGPD ?

Pour qu'un site puisse procéder à un traitement de données qui vous sont personnelles, le RGPD impose dorénavant que vous ayez préalablement donné votre consentement, et que celui-ci soit libre, spécifique, éclairé et univoque.

Au titre du caractère nécessairement libre du consentement (= le premier des quatre critères posés ci-dessus), la CNIL précise que votre consentement ne doit pas avoir été contraint ni influencé : il faut que vous ait été offert un choix réel, c'est-à-dire que vous n'ayez à subir aucune conséquence négative en cas de refus.

Concrètement, si l'utilisateur d'un site refuse d'être pisté, il doit quand même pouvoir accéder au site et à ses services. Et du coup, si le site affiche de la publicité, ni le titulaire du site ni ses partenaires d'affaire ne pourront l'ajuster à la personnalité de l'utilisateur.

Bingo : il me suffit donc dorénavant de me saisir une fois pour toute des choix offerts par chacun des sites que je visite pour exprimer mon refus d'être pisté ! Et je vais même pouvoir alléger mon navigateur de deux extensions !

Alors, euh... comment dire ? Ça n'a pas été aussi simple.

Le quotidien de l'utilisateur qui souhaite exprimer son refus d'être pisté est celui des sites conçus pour noyer l'utilisateur, des hyperliens qui n'aboutissent pas, des sites qui demandent à leur utilisateur de se rendre sur les sites de chacun de leurs partenaires d'affaire pour y opposer son refus d'être pisté, des sites conçus pour induire l'utilisateur en erreur dans ses choix, des pages techniques entières rédigées en anglais... (quelques exemples concrets ici).

Malgré ma formation de juriste et mon entrain à me lancer dans la bataille, j'ai dû renoncer devant la difficulté – et parfois l'impossibilité – de la tâche.

Mise à jour : Je ne suis pas le seul à le dire, le 21/01/19 la CNIL vient de sanctionner Google notamment sur ce point :
Un manquement aux obligations de transparence et d’information.
Tout d’abord, la formation restreinte relève que les informations fournies par GOOGLE ne sont pas aisément accessibles pour les utilisateurs.
En effet, l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.

Même si je reste optimiste pour l'avenir (à présent que l'Union européenne s'est saisie de la question, l'étau va peu à peu se resserrer sur les titulaires de sites et services en ligne de manière à assurer une protection effective des particuliers), il me faut revenir pour le moment à une solution plus technique que juridique pour limiter le pistage de mes comportements en ligne par les cookies.

Étape 3 — Changement de paradigme : plus de cookies !

Vous avez peut-être remarqué que Firefox s'est récemment doté d'options fines en la matière, permettant à l'utilisateur de choisir par exemple de bloquer tous les cookies tiers ou seulement les cookies qui servent à le pister (certes, l'écran de paramétrage, peu compréhensible en l'état, mérite d'être revu, je vous l'accorde).

Cela m'a donné l'idée d'aller encore plus loin : plutôt que de devoir gérer le sort des cookies déposés dans mon navigateur au fur et à mesure de ma navigation (comme je le faisais avec Cookie AutoDelete), si j’interdisais plutôt le dépôt de tout cookie dans mon navigateur ?

Firefox permet cela, et même de créer des exceptions site par site. Mais l'interface, qui exige de passer à chaque fois par différents menus, est malcommode.

C'est là qu'intervient l'extension libre CookieMaster pour Firefox. Je l'ai configurée de manière à interdire par défaut le dépôt de tout cookie (qu'il provienne d'un site tiers ou même du site visité). L'extension offre alors un accès direct (au moyen d'un bouton sur la barre d'outils) pour autoriser, au cas par cas, tel ou tel site à déposer des cookies.

J'avoue qu'à ma grande surprise, passé quelques jours, je n'ai autorisé que très peu de sites (ce qui réduit de fait la gestion des cookies au maximum) : ceux pour lesquels j'ai ouvert un compte, afin de ne pas avoir à m'identifier à chaque fois (actuellement : Wikipédia, LinuxFr.org, Firefox Add-ons, le forum HardWare.fr, mon blogue) – il me manque sûrement une petite poignée de sites que j'ajouterai au fur et à mesure de mes pérégrinations. Il faut noter cependant que j'utilise différents profils pour ma navigation, et que je n'ai pour l'instant interdit les cookies par défaut que sur mon profil principal, qui me sert à butiner de l'information (et pas à gérer mes comptes, par exemple). Quoi qu'il en soit, pour cet usage, je n'ai rencontré aucun site dysfonctionnel avec ce paramétrage.

Enfin, si vous optez pour cette façon de faire, vous ne pourrez pas faire l'économie d'installer l'extension libre pour Firefox I don't care about cookies dont nous parlions plus haut, sous peine de devenir fou.

Les cookies ne sont hélas pas le seul moyen de vous pister. Dans cette thématique, d'autres contre-mesures techniques vous sont proposées dans les billets suivants, comme de bloquer au maximum les requêtes vers des sites tiers.

Table des matières de cette série de billets dédiée à la protection contre le pistage de nos comportements en ligne :

Vus : 582
Publié par antistress : 174