Le top 5 des solutions de « tracking » au profit de tiers et présents sur les sites internet appartiennent à Google. La plupart de ces solutions participent à la synchronisation des cookies comme nous le rappelle une étude récente[1].
Derrière ces pratiques, il y a un seul et même enjeu : mieux connaitre les internautes, consommateurs en puissance, afin de leur proposer de la publicité et des offres ciblées.
Google ne vient-il pas d’annoncer vouloir tester le remplacement du mot de passe par l’empreinte liée à notre utilisation des matériels et systèmes qui y sont associés[2] ?
Les cookies permettent de collecter l’adresse IP de la personne, des informations sur son navigateur et sur les Add-ons, sur les URL (via l’entête Referer), les préférences de langage par exemple.
Il en est de même des boutons de partage et de recommandation des réseaux sociaux (cf. Like, Tweet, +1) situés sur les pages des sites internet. Grâce à ces « widgets », les réseaux sociaux suivent les visiteurs des pages concernées, indépendamment du fait que ceux-ci cliquent ou pas sur un bouton ou que les internautes soient membres dudit réseau, dès lors qu’ils ont déjà visité le site du réseau social en question.
Dans la pratique, les cookies ne sont qu’un outil de suivi parmi d’autres
Diverses solutions permettent de contourner les bloqueurs et effaceurs de cookies afin de suivre et de profiler les personnes lors de leur navigation sur les sites internet et de l’utilisation d’applications et d’objets connectés, tout en essayant d’éviter l’application des dispositions de l’article 5(3) de la directive vie privée et communications électroniques[3] qui encadrent l’accès aux informations, (indépendamment de leur caractère personnel), contenues dans le terminal d’un utilisateur ou le dépôt d’informations dans celui-ci au moyen de cookies.
-
Les Supercookies[4] ou « Evercookies » :
Stockés en dehors du navigateur, l’interface du navigateur ne permet pas de les détecter et de les supprimer et ce, alors même qu’ils n’ont pas de durée d’expiration. Ils sont souvent utilisés pour contourner le blocage des cookies ou les règles qui les encadre.
Outre les Supercookies, il est aussi possible de suivre un internaute en ligne au travers de l’empreinte digitale qu’il laisse lors de l’utilisation d’un matériel.
- L’empreinte digitale de systèmes ou matériels
Il peut s’agir de l’empreinte digitale d’objets connectés, du navigateur, d’applications y compris sur mobile, d’un compteur intelligent…
Les informations générées par ces matériels ne manquent pas. Il peut s’agir de données dérivées de la configuration du système ou de l’agent utilisateur, de données liées à l’utilisation de protocoles de réseaux de communication, d’information CSS, de données dérivées d’objets JavaScript (ex. document, window, écran, navigateur, date et langue), de l’entête http, de l’horloge, des API (cf. vidéo, taille de l’écran, couleur et la police, type de CPU ou d’OS, le numéro de version), des Plugin installés…
Une fois combinées à d’autres données (adresse IP, cookies, supercookies), les informations permettent d’identifier la personne concernée[5] , de déduire ou de faire le lien avec son identité.
A la différence des cookies, les utilisateurs ne disposent pas de moyen simple de s’opposer à la constitution d’empreintes digitales ou d’en modifier les informations. Elles peuvent donc être facilement utilisées pour identifier les personnes à leur insu.
Dans un avis rendu en 2014, les CNIL des Etats Membres réunies au sein du G29 ont clairement pris position en faveur de l’application de l’article 5 (3) aux cookies et autres technologies similaires au nombre desquelles figurent les empreintes digitales des systèmes[6].
En France, l’article 5 (3) de la eprivacy directive a été transposé dans l’article 32-II de la « loi informatique et libertés » en vertu duquel, tout utilisateur d’un service de communications électroniques doit être préalablement informé par le responsable du traitement de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement.
Après le suivi en ligne, place au tracking « in store[7] » en passe de devenir la nouvelle norme[8]
Les dispositions de l’article 5 (3) de la e-privacy directive s’appliquent aux services fournis via un réseau public de communication électronique. Par conséquent, les solutions de « tracking » visant à collecter des données relatives au mobile de la personne via le réseau WiFi afin de constituer un profil de celle-ci, pourraient ne pas entrer dans le champ de ce texte.
La rédaction du texte de loi laisse planer un certain flou juridique. Le sujet n’est pas simple, notamment pour les visiteurs d’un centre commercial, d’une gare ou les clients d’un grand magasin. Bien que les locaux soient des propriétés privées, ils reçoivent un « public » à qui ils proposent de profiter de leur propre réseau WiFi.
On suivra donc avec attention la révision en cours de la directive 2002/58 qui pourrait étendre son champ d’application aux services fournis « par l’intermédiaire de réseaux privés intentionnellement rendus accessibles au public ».
Enfin le G29 a rappelé à plusieurs reprises que tant l’empreinte digitale du système que le profil d’une personne pouvaient constituer une donnée à caractère personnel, notamment quand cela permettait d’adresser des contenus et publicités personnalisées à ladite personne.
Dès lors que le traitement permet d’identifier directement ou indirectement une personne, il doit alors être conforme à la directive 95/46 de protection des données personnelles qui encadre la collecte, l’utilisation, la conservation et la sécurité des données mais aussi l’interconnexion de fichiers et veille à ce que les droits des personnes concernées soient protégés.
Enfin, les entreprises ont désormais jusqu’en 2018, pour se préparer au nouveau Règlement Européen de protection des données qui encadre le profilage[9]et dont la violation des dispositions sera lourdement sanctionnée.
[1] http://randomwalker.info/publications/OpenWPM_1_million_site_tracking_measurement.pdf
[2] https://www.theguardian.com/technology/2016/may/24/google-passwords-android?utm_content=buffercab0d&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer#img-1
[3] Aussi appelée eprivacy directive http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=URISERV%3Al24120
[4] Flash cookie’ ( plugin Adobe ) est un des Supercookies les plus importants.
[5] Calcul de l’empreinte du navigateur https://amiunique.org/
[6] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp224_en.pdf
[7] http://marseille.latribune.fr/innovation/2016-03-11/pourquoi-instore-digital-s-installe-a-st-pancras.html
[8] https://www.theguardian.com/technology/datablog/2014/jan/10/how-tracking-customers-in-store-will-soon-be-the-norm
[9] http://www.journaldunet.com/ebusiness/expert/64337/profilage—tout-n-est-pas-permis-mais-rien-n-est-interdit–ou-presque.shtml
