Archives de catégorie : Débat

Les alternatives aux cookies tiers, lesquels vont disparaître, veulent s’affranchir du consentement

Publié le par

Le numéro un mondial de la publicité en ligne, Google, a confirmé le 25 janvier qu’il bannira à partir de fin 2023 de son navigateur Chrome les cookies tiers – ces mouchards du ciblage publicitaire. Comme l’ont déjà fait Mozilla sur Firefox ou Apple sur Safari. Mais attention à la vie privée.

Il y a près d’un an, le 3 mars 2021, Google avait annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage personnalisé – au profit de « centres d’intérêts » de groupes d’individus, alors appelés « cohortes » ou, dans le jargon des développeurs «FLoC», pour Federated Learning of Cohorts (1). Une « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaires et aux « intérêts communs » (2). Et ce, sans ne plus avoir à identifier les individus un par un, mais tous ensemble de façon non indentifiable.

Cohortes, fingerprinting, centres d’intérêt, …
Mais cette technique de traçage anonymisé soulevait toujours des questions au regard du consentement des internautes et de sa conformité avec le règlement général sur la protection des données (RGPD) en Europe. De plus, les « cohortes » laissaient la porte ouverte à de l’espionnage par browser fingerprinting, c’est-à-dire la prise d’empreinte à partir du navigateur web pour collecter une floppée d’information sur l’utilisateur et son équipement. Car les réseaux publicitaires s’appuient principalement sur deux méthodes pour mettre les internautes sous surveillance. Son donc dans le même bateau : le suivi par des mouchards déposés dans le terminal et les empreintes digitales issues du navigateur.
Si les cookies tombent à l’eau, qu’est-ce qui reste ? Le fingerprinting. Cette technique de traçage des internautes, indépendamment des cookies eux-mêmes, est en fait illégale sans consentement préalable de l’internaute. L’Electronic Frontier Foundation (EFF), une ONG internationale de protection des libertés sur Internet, basée à San Francisco et aujourd’hui dirigée par Cindy Cohn (photo), a mis en place il y a une dizaine d’année un outil – Cover Your Tracks (3) – qui permet à tout internaute de vérifier le niveau de traçage de son navigateur. « Lorsque vous visitez un site web, votre navigateur fait une “demande” pour ce site. En arrière-plan, le code publicitaire et les trackers invisibles sur ce site peuvent également amener votre navigateur à faire des dizaines ou même des centaines de demandes à d’autres tiers cachés. Chaque demande contient plusieurs informations sur votre navigateur et sur vous, de votre fuseau horaire aux paramètres de votre navigateur en passant par les versions de logiciels que vous avez installés », met en garde l’EFF. Si certaines de ces informations sont transmises par défaut pour simplement mieux visualiser la page sur votre écran (smartphone, ordinateur ou tablette) et en fonction du navigateur utilisé, bien d’autres informations aspirées par du navigateur peuvent remonter – de façon sournoise et à l’insu de l’intéressé – jusqu’aux réseaux publicitaires tiers. En naviguant sur le Web, chaque internaute laisse des traces comme en marchant dans la neige. C’est ce que l’on appelle une « empreinte digitale numérique », ou fingerprinting : il s’agit essentiellement de caractéristiques propres à un utilisateur, à son navigateur et à sa configuration informatique (jusqu’à la résolution de son écran et aux polices de caractère installées dans son ordinateur…). Et le tout collecté par des scripts de suivi (tracking scripts) qui constituent les multiples pièces d’un puzzle sur le profit de l’utilisateur, qui, une fois assemblées, révèlent l’image unique de l’individu ciblé. Contrairement aux cookies qui tombent sous le coup du RGPD imposant le consentement préalable de l’internaute concerné, lequel peut aussi supprimer les cookies voire bloquer les publicités en ligne à l’aide d’un adblocker (4), les empreintes digitales échappent à tout contrôle et restent difficilement modifiables et impossible à supprimer. « Cela équivaut à suivre un oiseau par son chant ou ses marques de plumes, ou une voiture par sa plaque d’immatriculation, sa marque, son modèle et sa couleur », compare l’EFF, laquelle suggère de désactiver JavaScript pour arrêter l’exécution des scripts de suivi. JavaScript est le fameux langage de programmation de scripts, créé il y a plus d’un quart de siècle maintenant et principalement employé dans les pages web interactives, autrement dit partout sur le Web. Mais désactiver JavaScript compliquera la vie de l’internaute…

Les requêtes JavaScript et le RGPD
« Le principal objectif de Cover Your Tracks est de vous aider à établir votre propre équilibre entre la confidentialité et la commodité, explique l’ONG américain. En vous donnant un résumé de votre protection globale et une liste des caractéristiques qui composent votre empreinte digitale numérique, vous pouvez voir exactement comment votre navigateur apparaît aux trackers, et comment la mise en oeuvre de différentes méthodes de protection change cette visibilité ». C’est pour éviter notamment que le fingerprinting, avec ses requêtes JavaScript, ne le mette en infraction visà- vis du RGPD et ne se retourne contre lui, que Google a abandonné FloC pour « Topics ». Quèsaco ? Fini les « cohortes », place aux « thèmes ». Moins d’intrusions dans la vie privée, plus d’information sur les centres d’intérêt, bien que cela ne sonne pas la fin du tracking publicitaire sur ordinateurs et smartphones… Ce changement de pied sera généralisé sur Chrome à partir de fin 2023, après une phase de transition dès le troisième trimestre prochain.

La Grande-Bretagne et l’Allemagne scrutent
Et l’avantage présenté par Google le 25 janvier dernier est que toute cette « cuisine thématique » reste dans le terminal de l’utilisateur et les thèmes y sont conservés durant trois semaines avant d’être effacés. Tandis que l’interface de programmation d’applications – l’API (5) – de Google exploite trois thèmes, à raison d’un thème par semaine. Explication de Vinay Goel (photo ci-contre), directeur Privacy chez Google, basé à New York : « Avec Topics, le navigateur identifie des thèmes (topics) représentatifs des principaux centres d’intérêt des utilisateurs pour une semaine donnée, tels que “fitness”ou “voyages”, en fonction de l’historique de navigation. Ces thèmes sont gardés en mémoire pendant seulement trois semaines avant d’être supprimés. Ce processus se déroule entièrement sur l’appareil utilisé, sans impliquer de serveurs externes, Google ou autre. Lorsqu’un internaute visite un site Web participant, Topics sélectionne seulement trois thèmes, un thème pour chacune des trois dernières semaines, que l’API transmet ensuite à ce même site ainsi qu’à ses annonceurs partenaires » (6). Tout cela en toute transparence : fini les mouchards, fini le suivi dissimulé et autres cookies indigestes, fini aussi le fingerprinting sournois. L’utilisateur garde la main sur ces données le concernant.
Du moins sur Chrome où il peut accéder aux paramètres de contrôle pour y voir les thèmes partagés avec les annonceurs, en supprimer certains, avec la possibilité de désactiver entièrement la fonctionnalité. « Plus important encore, souligne Vinay Goel, les thèmes sont sélectionnés avec attention afin d’exclure les catégories potentiellement sensibles, telles que le genre ou l’appartenance ethnique ». Google n’est pas le premier à bannir les cookies tiers de son navigateur Chrome. Avant lui, Mozilla, Apple, Microsoft et Brave Software les ont écartés de respectivement Firefox, Safari, Edge et Brave. Mais le plus souvent pas des filtres « anti-cookies ». L’aggiornamento du ciblage publicitaire est en tout cas venu, quitte à secouer certains acteurs comme ce fut le cas fin 2017 lorsque Criteo a dévissé en Bourse après l’annonce d’Apple contre les cookies sur iOS 11. Depuis l’adtech française a dû s’adapter (7). D’autres, comme Prisma Media ou Webedia (8), contournent le problème en imposant des « cookies walls ». Tôt ou tard, tout l’écosystème devra passer à la publicité basée sur les intérêts – Interest-based advertising (IBA) – qui est une forme de publicité personnalisée dans laquelle une annonce est sélectionnée pour l’utilisateur en fonction des intérêts dérivés des sites qu’il a visités antérieurement. « Les thèmes sont sélectionnés à partir d’une taxonomie publicitaire, qui comprendra entre quelques centaines et quelques milliers de sujets [entre 350 et 1.500 thèmes, ndlr], tout en excluant les sujets sensibles », précise par ailleurs la plateforme de développement de logiciels GitHub (9). Reste que le monde publicitaire (marques, régies, éditeurs, adtech, …) devra se faire une raison : l’IBA donnera des résultats d’affichages différents – moins performants ? – par rapport à la publicité contextuelle mais peut-être plus utiles pour l’internaute. Mais la démarche de Google – en position dominante sur le marché mondial de la publicité en ligne – inquiète de nombreux acteurs du numérique. La firme de Mountain View (Californie) a déjà eu à répondre l’an dernier devant l’autorité de la concurrence britannique, la Competition and Markets Authority (CMA), ainsi qu’à la « Cnil » britannique, l’Information Commissioner’s Office (ICO), en prenant des engagements vis-à-vis des autres acteurs du marché et envers la protection de la vie privée (10). En Allemagne, la fédération des éditeurs VDZ a fait savoir le 24 janvier dernier qu’elle en appelait – au nom de ses 500 membres – à la Commission européenne pour dénoncer « les distorsions de concurrence de Google », suite à sa décision de « bloquer les cookies de tiers dans le navigateur dominant Chrome ». La VDZ demande à ce « que l’utilisation de cookies fournis par des tiers reste autorisée, à condition, notamment, que les utilisateurs consentent eux-mêmes à leur utilisation » (11). Elle rappelle au passage qu’en avril 2021 elle a engagé avec d’autres organisations professionnelles une action antitrust contre Apple auprès de l’autorité fédérale allemande de lutte contre les cartels (12).

La Commission européenne enquête
En France, la Commission nationale de l’informatique et des libertés (Cnil) se penche sur « les alternatives aux cookies » (13) mais n’a encore rien dit sur les « Topics » de Google. De son côté, Margrethe Vestager, vice-présidente de la Commission européenne et en charge de la Concurrence et du Numérique, n’a pas attendu la requête de la VDZ pour s’interroger sur la fin des cookies tiers – notamment sur les intentions de Google – comme l’atteste un courrier daté du 23 avril 2021 et envoyé au Parlement européen (14). Deux mois après, le 22 juin 2021, la Commission européenne ouvrait une enquête sur les pratiques publicitaires de Google et sur la décision de ce dernier d’« interdire le placement de “cookies tiers” sur Chrome » (15) : « L’enquête se poursuit », nous indique Margrethe Vestager. La filiale Internet d’Alphabet est donc scrutée de toute part en Europe. Autant que les internautes eux-mêmes ? @

Charles de Laubier

Copie privée : les micro-ordinateurs vont-ils être taxés avant ou après l’élection présidentielle ?

Publié le par

Le conseiller d’Etat Thomas Andrieu, nommé en novembre 2021 président de la commission « pour la rémunération de la copie privée », débute son mandat avec un dossier très sensible politiquement : taxer les ordinateurs portables et de bureau pour les enregistrements d’œuvres qui y sont faits.

Avoir le droit d’enregistrer sur le disque dur interne d’un micro-ordinateur des copies numériques d’œuvres multimédias – que cela soit de la musique, des films, des jeux vidéo, des livres numériques ou encore des images – fera-t-il l’objet en 2022 d’une taxe lors de l’achat d’un nouvel équipement (PC portable, PC de bureau ou disque dur interne vendu séparément) ? Cette année devrait être décisive, puisque la commission « pour la rémunération de la copie privée » – rattachée au ministère de la Culture (1) – est censée analyser les résultats inédits d’une étude d’usage que l’institut de sondage CSA a finalisée et remise en octobre 2021.

Dossier sensible pour Thomas Andrieu
Le problème est que cette commission « copie privée » a beau avoir un nouveau président depuis le 6 novembre dernier (2), en la personne de Thomas Andrieu (photo), conseiller d’Etat, elle ne peut reprendre ses travaux tant que ses autres membres ne sont pas nommés eux aussi. « Nous réunirons la commission une fois que l’arrêté de sa nouvelle composition – pas encore signé à ma connaissance [au 27 janvier, ndlr] – sera publié au Journal Officiel », indiquait il à Edition Multimédi@. Les mandats sont d’une durée de trois ans : celui du précédent président, Jean Musitelli, s’est achevé fin septembre, tandis que ceux des vingt-quatre membres (représentant les fabricants et importateurs de supports, les consommateurs et ayants droit) se sont arrêtés fin novembre (3). « Cette désignation relève de la compétence des ministères en charge de la Culture, de l’Economie et de la Consommation. Elle est indispensable pour que la commission [copie privée] puisse poursuivre ses travaux, et notamment procéder à l’analyse des résultats des études d’usages des pratiques de copie privée sur les microordinateurs », s’est impatientée la Société civile des producteurs phonographiques (SCPP), le 18 janvier à l’occasion de son bilan annuel (4). Elle est membre de Copie France, l’unique organisme français mandaté pour collecter la redevance pour la copie privée (5) et occupant pas moins de dix sièges au sein de la commission « copie privé ». Celle-ci fixe les barèmes des taxes sur les appareils high-tech dotés d’un support de stockage numérique (smartphones, tablettes, disques de sauvegarde externe, clés USB, box, etc.). Cette « redevance pour rémunération de la copie privée », présentée comme une contrepartie au droit des utilisateurs d’enregistrer des œuvres et de les partager dans un cercle restreint (entendez « familial »), s’applique au nouveaux appareils vendus (montant pouvant atteindre plusieurs dizaines d’euros en fonction de la capacité de stockage). Prochains sur la liste : les micro-ordinateurs. Cela fait près de trois ans que la commission « copie privée » prépare le terrain à cette taxation des ordinateurs personnels (portables ou fixes) et des disques durs internes vendus « nus » : c’est-à-dire pouvant être installés à l’intérieur d’un PC, d’un Mac, d’une box ou d’un boîtier NAS (6).
Mais, fraîchement nommé par Roselyne Bachelot (ministre de la Culture) et Bruno Le Maire (ministre de l’Economie, des Finances et de la Relance), Thomas Andrieu (45 ans) se retrouve avec ce dossier sensible politiquement. Car, contrairement à l’Allemagne, à l’Italie et aux Pays-Bas qui assujettissent depuis quelques années les micro-ordinateurs de leurs compatriotes, la France, elle, n’a encore jamais franchi le pas. Aucun des gouvernements français qui se sont succédés ne se sont risqués à étendre cette redevance « copie privée » aux ordinateurs des Français. Non seulement cela serait malvenu au moment où l’on incite les foyers à s’équiper d’un ordinateur personnel – voire familial – pour faire les démarches administratives en ligne, télétravailler en période de crise sanitaire ou encore permettre aux enfants de suivre l’école en distanciel. De plus, alors que l’élection présidentielle est programmée pour les 10 et 24 avril prochains et que les législatives suivront les 12 juin et 19 juin, une telle taxe ne serait pas vraiment perçue comme populaire auprès de l’électorat… Pas sûr non plus que l’actuel chef d’Etat Emmanuel Macron – donné partant pour un second mandat et ancien ministre de l’Economie, de l’Industrie et… du Numérique (2014-2016) – donne son aval à une mesure qui grèverait le pouvoir d’achat des Français. Sans parler de la lutte contre la fracture numérique…

« Préjudice » pour les ayants droit ?
Une fois les vingt-quatre membres de la la commission « copie privée » désignés, Thomas Andrieu fixera une séance plénière pour tirer les conclusions des résultats de l’étude d’usage CSA (achevée depuis six mois). Selon NextInpact, 1.017 possesseurs de ces appareils ont été interrogés et, sans surprise, la copie d’œuvres sur ces supports est avérée (7). Pour les ayants droit, il y a donc « préjudice ». L’arbitre sera sans doute à l’Elysée. @

Charles de Laubier

Les opérateurs télécoms appellent l’UE, présidée par la France, à imposer le peering payant aux GAFAM

Publié le par

La France préside le Conseil de l’Union européenne (UE) durant ce premier semestre 2022, alors que les négociations sur le Digital Markets Act (DMA) débutent. C’est l’occasion pour Orange, Deutsche Telekom, Telefónica ou encore Telenor de tenter d’imposer aux géants du Net le « peering payant ».

Un mois après avoir été approuvée par le Parlement européen, lors du vote en séance plénière du 15 décembre dernier à Strasbourg (1), la proposition de législation sur les marchés numériques – appelée Digital Markets Act (DMA) – va maintenant faire l’objet de négociations entre les eurodéputés et les vingt-sept gouvernements des Etats membres réunis au sein du Conseil de l’Union européenne (UE), lequel est présidé non pas par Emmanuel Macron mais par Charles Michel (photo). Cette approbation du projet de DMA vaut en effet mandat pour la négociation qui s’engage.

Les « telcos » se sentent exclus du DMA
« Les mesures horizontales comme le Digital Markets Act jouent un rôle crucial et, pour cette raison, nous les appuyons fermement. En outre, nous devons également tenir compte [du fait qu’]une partie importante et croissante du trafic du réseau est générée et monétisée par les plateformes des Big Tech, mais cela nécessite des investissements et une planification de réseau continus et intensifs de la part du secteur des télécommunications », ont fait valoir les principaux opérateurs télécoms historiques d’Europe réunis au sein de leur organisation de lobbying Etno (2).
Et la douzaine de signataires – Telekom Austria Vivacom (ex- Bulgarian Telecom), Proximus (ex-Belgacom), Telenor, KPN, Altice Portugal, Deutsche Telekom, BT Group, Telia Company, Telefónica, Vodafone, Orange et Swisscom – de suggérer de rééquilibrer les forces en présence en faisant mieux payer les GAFAM via le « peering payant » (même si cette facturation des interconnexions réseau n’est pas explicitement mentionnée) : « Ce modèle – qui permet aux citoyens de l’UE de profiter des fruits de la transformation numérique – ne peut être durable que si ces grandes plateformes technologiques contribuent également équitablement aux coûts du réseau ». Les opérateurs télécoms semblent avoir le sentiment d’être exclus du DMA et des négociations qui s’annoncent. « Les nouvelles stratégies industrielles [doivent] permett[re] aux acteurs européens – y compris les opérateurs télécoms – de rivaliser avec succès dans les espaces de données mondiaux, afin de développer une économie de données européenne fondée sur de véritables valeurs européennes », préviennent ils. Ce futur règlement européen DMA ne s’intéresse en effet qu’aux grandes plateformes de services en ligne dits « essentiels » et dont il dresse « une liste noire » – dixit le communiqué du Parlement européen (3) – de leurs pratiques : lorsqu’elles agissent comme des « contrôleurs d’accès » – ou gatekeepers : cela va des « économies d’échelle extrêmes », des « effets de réseau très importants », des « effets de verrouillage », à l’« intégration verticale » ou encore aux « avantages liés aux données », le tout combiné à des « pratiques déloyales ». Les GAFAM – Google, Amazon, Facebook, Apple, Microsoft et bien d’autres géants de l’Internet – sont concernés au premier chef car ils peuvent abuser de leur position dominante « au détriment des prix, de la qualité, des normes en matière de vie privée et de sécurité, d’une concurrence loyale, du choix et de l’innovation dans ce domaine ». Griefs potentiels auxquels peuvent s’ajouter des « conséquences sociétales et économiques négatives ».
Aux yeux du Parlement européen, sont considérés comme des « services de plateforme essentiels » une flopée d’acteurs du numérique tels que, pêle-mêle : « les services d’intermédiation en ligne, les moteurs de recherche en ligne, les systèmes d’exploitation tels que les dispositifs intelligents, l’Internet des objets ou les services numériques embarqués dans les véhicules, les réseaux sociaux en ligne, les services de plateformes de partage de vidéos, les services de communications interpersonnelles non fondés sur la numérotation [les messageries instantanées ou les messageries d’e-mails, ndlr], les services d’informatique en nuage, les services d’assistant virtuel, les navigateurs web, la télévision connectée et les services de publicité en ligne » (4). Il n’en reste pas moins que les GAFAM sont les premiers visés puisque pour tomber sous le coup du règlement DMA et être qualifié de « contrôleurs d’accès », il faut réaliser 8 milliards d’euros de chiffre d’affaires annuel dans l’espace économique européen (5) et avoir une capitalisation boursière d’au moins 80 milliards d’euros (6), ainsi que totaliser au moins 45 millions d’utilisateurs finaux par mois ainsi que de plus de 10 000 entreprises utilisatrices.

Des garde-fous et des amendes salées
Outre le fait d’être un garde-fou des gatekeepers, le futur DMA – consacré aux «marchés contestables et équitables dans le secteur numérique » (7) – donne pouvoir à la Commission européenne pour mener des enquêtes de marché et appliquer des sanctions, lesquelles représentent « au moins 4 % et jusqu’à concurrence de 20 % de son chiffre d’affaires mondial total réalisé au cours de l’exercice précédent ». @

Charles de Laubier

Cybersécurité et cybercensure pourraient accélérer la balkanisation du Net et marginaliser l’Icann

Publié le par

L’avenir de l’Internet est hypothéqué par le cybersécuritaire et le cyberpolitiquement correct. Les remèdes contre les ransomware et les fake news pourraient s’avérer pire que les maux. Les lignes Maginot du Net et sa surveillance généralisée risquent d’accélérer son éclatement.

Pendant que les acteurs de l’Internet et les start-up de l’économie numérique font la fête à Lisbonne au Portugal, à l’occasion de la grand-messe du Web Summit du 1er au 4 novembre 2021 au Portugal (1), le « réseau des réseaux », lui, est de plus en plus pris à partie par les politiques de lutte contre la cybercriminalité et les cybermenaces, d’une part, et la traque aux fausses informations et aux contenus illicites, d’autre part. La pression des Etats, dont certains appellent à la « coopération internationale » contre ces « fléaux », réels ou pas, va peser sur le fonctionnement du Web et la gouvernance du Net.

Forte poussée des « Internet souverains »
L’Icann (2), seule organisation non-gouvernementale qui gère dans le monde les noms de domaine de l’Internet, est censée avoir pris depuis cinq ans maintenant son indépendant par rapport aux Etats-Unis. Mais son rôle reste méconnu et suscite la défiance de nombreux pays. Dirigée par le Suédois Göran Marby (photo), l’Icann est censée s’être émancipée depuis cinq ans de la tutelle étatsunienne et à la suite de l’expiration le 1er octobre 2016 du contrat qui la liait depuis 1998 au département du commerce des Etats-Unis (DoC) et son administration nationale des télécommunications et de l’information (NTIA).
Depuis ce tournant historique, la gestion de domaines et des « identificateurs uniques » du Net relève du secteur privé (3). L’Icann, qui est une société californienne à conseil d’administration présidée par Göran Marby, fait depuis lors figure d’autorité suprême de l’Internet, dotée d’une gouvernance multipartite (gouvernements, entreprises, société civile, etc.) et du département Iana (4) supervisant l’attribution mondiale des adresses IP, des numérotations autonomes, et des racines des noms de domaine (DNS). L’Européen Göran Marby – habitant et travaillant à Los Angeles – accompagne cette émancipation de l’institution (5), tout en s’engageant à ce que « l’Internet de demain reste aussi libre, ouvert et accessible que l’Internet d’aujourd’hui ». Or des vents contraires soufflent de plus en plus fort.
Rien qu’en matière de cybersécurité et de protection des données, l’Icann semble effacée. Les 13 et 14 octobre, les Etats-Unis ont réuni une trentaine de pays – dont la France, mais sans la Russie – pour riposter aux rançongiciels. Le 14 octobre, ils ont publié un « Joint Statement » contre les ransomware (6). De son côté, Göran Marby a fixé le 4 octobre dernier une dizaine d’objectifs (7) pour 2022 afin d’améliorer le fonctionnement et la transparence de l’Icann, dont la 23e assemblée générale annuelle s’est tenue fin octobre (8). Parmi eux, explique-t-il : « La sécurité de l’information, la cybersécurité et la sécurité personnelle combinées aux préoccupations liées à la protection de la vie privée sont des sujets d’actualité, mais la réponse à ces préoccupations a été dispersée entre divers groupes non reliés. Le DSFI-TSG [groupe de travail technique sur la sécurité du système de noms de domaines (9), ndlr] a construit un moyen de communiquer au-delà de certaines des frontières qui existent dans l’écosystème de l’Icann ».
A l’heure où la Russie, la Chine, l’Inde ou encore l’Iran cherchent à s’affranchir de l’Internet, la balkanisation du « réseau des réseaux » guette. « L’Internet libre et l’Internet souverain, ces deux notions ne se contredisent pas », avait lancé le président russe Vladimir Poutine en décembre 2019. Göran Marby le reconnaît : « Le rôle, le mandat et les activités de l’Icann sont peu connus », appelant sa communauté à « travailler plus étroitement avec les gouvernements du monde ». Et d’ajouter en perspective : « Le prochain milliard d’utilisateurs d’Internet proviendront en grande partie d’Asie et d’Afrique, alors nous devrions commencer à les rejoindre ». La Chine en fait partie. Sur les questions de cybersécurité, de cyberguerre, de « souveraineté numérique » ou d’« Internet souverain », l’Icann a-t-elle son mot à dire ? Reste que la mainmise de cette organisation privée sur la racine d’Internet, en cheville avec la société américaine Verisign cotée à la Bourse de New-York, fait débat. Le cofondateur d’Internet, Louis Pouzin (10) (*) (**), ne cesse de fustiger ce « monopole autoproclamé ».

Gouvernance du Net : le forum fin 2021
Göran Marby ouvra-t-il le débat au sein de l’Icann ? « Les discussions techniques sur les racines alternatives, les systèmes de noms de domaine alternatifs et les protocoles Internet alternatifs (IP) se poursuivent dans les forums en dehors de l’écosystème de l’Icann. Certaines propositions sont avancées et d’autres sont fondées sur des opinions plutôt que sur des faits, mais toutes ont le potentiel de changer la façon dont fonctionne Internet ». La 16e réunion annuelle du Forum sur la gouvernance de l’Internet (IGF), organisée par la Pologne – à Katowice du 6 au 10 décembre 2021 – sous le thème cette année d’« Internet United » (11) sonnera-t-elle la fin des divisions ? @

Charles de Laubier

Les cookies non-sollicités ont la vie dure, mais les sanctions pécuniaires commencent à tomber

Publié le par

En France, les éditeurs de sites web – au premier rang desquels une quarantaine mis en demeure en juillet par la Cnil, après une vingtaine en mai – sont censés s’être mis en conformité depuis le 6 septembre. La Grande-Bretagne, elle, tente de réhabiliter les cookies.

Permettre aux internautes et aux mobinautes de refuser les cookies aussi simplement que de les accepter. Telle est la philosophie des « Cnil » européennes, conformément à la directive sur la protection des données électroniques (ePrivacy) et le règlement général sur la protection des données (RGPD). En France, après une soixantaine de mises en demeures sur les cookies par la Commission nationale de l’informatique et des libertés (Cnil), présidée par Marie-Laure Denis (photo), les sociétés et organisations contrevenantes à la nouvelle réglementation sur les cookies avaient jusqu’au 6 septembre pour s’y conformer.

Le site web Lefigaro.fr sanctionné
Par exemple, le 27 juillet dernier, le groupe Le Figaro a été sanctionné et mis à l’amende par la Cnil – à hauteur de 50.000 euros – « en raison du dépôt de cookies publicitaires à partir du site lefigaro.fr sans recueil du consentement préalable des internautes ». Ces petits fichiers, mouchards ou témoins des « faits et gestes » des internautes enregistrés lors de leurs navigations personnelles, étaient automatiquement logés dans l’ordinateur du visiteur du site web du quotidien Le Figaro par des partenaires de la société éditrice, mais sans action de la part de cet utilisateur ou malgré son refus. Une plainte d’une utilisatrice du Figaro.fr avait été déposée le 16 août 2018 auprès de la Cnil, la plaignante faisant notamment état de l’installation de cookies sur son terminal avant toute action de sa part sur le site web du quotidien et sans recueil de son consentement. L’éditeur du Figaro a tenté de faire valoir le fait que « l’ensemble des cookies identifiés dans le rapport [de la Cnil] comme étant des cookies “internes”, c’est-à-dire déposés par les domaines du site qu’elle édite [lefigaro.fr, player-video.lefigaro.fr], sont en réalité déposés par des tiers au moyen d’un code Javascript exécuté par la page du site web de l’éditeur visitée par l’internaute ». Le Figaro a indiqué que, dans ce cas, « [elle] n’est pas au courant de l’existence de ce cookie et n’a pas le moyen d’en contrôler le dépôt ou la lecture ». La Cnil ne l’a pas entendu de cette oreille : « Plusieurs de ces cookies poursuivaient un objectif publicitaire et auraient dû être soumis au consentement de l’utilisateur », a estimé la Cnil qui a décidé de mettre à l’amende la filiale média du groupe Dassault et de rendre publique cette décision (1) – en plus d’être publiée au Journal Officiel (2). Ce non-respect des règles sur les cookies par Lefigaro.fr remontait avant l’entrée en application du RGPD européen et s’est poursuivi malgré les nouvelles lignes directrices et la recommandation de la Cnil datant du 1er octobre 2020 – faisant suite aux directives « cookies » (3) prises par cette dernière à l’été 2019 et abrogeant la recommandation de 2013.
La Cnil a estimé que le cas du Figaro, mais aussi dans de nombreuses autres affaires, que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur de sa propre responsabilité dans la mesure où il a la maîtrise de son site web et de ses serveurs informatiques. « Cette décision s’inscrit dans le prolongement de la décision du Conseil d’Etat dite “Editions Croque Futur” du 6 juin 2018 (4), qui précisait déjà la répartition des responsabilités entre les éditeurs de site [web] et leurs partenaires », a justifié le gendarme des données personnelles et de la vie privée. Le Conseil d’Etat a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ». Entre 2020 et 2021, l’autorité administrative indépendante dit avoir signifié à ce jour environ 70 mesures correctrices – mises en demeure et sanctions – en lien avec le non-respect de la législation sur les cookies. Et que dans 60 % des cas, il s’agit de sociétés ou d’organismes « étrangers », à savoir que la société mère est établie en dehors de la France.

Amazon et Google condamnés en France
C’est ainsi que la Cnil a prononcé le 7 décembre 2020 deux sanctions sans précédente en Europe à l’encontre d’Amazon (5) et de Google (6), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français de la protection des données personnelles a reproché aux deux géants du Net d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Comme Le Figaro et les autres récalcitrants (grandes plateformes numériques, fabricants de matériel informatique et de logiciels, sociétés de e-commerce, acteurs du tourisme en ligne, sociétés de location de véhicules, établissements bancaires, collectivités locales, fournisseur d’énergie, et même des services publics en ligne), ils ont été condamnés à une amende pour avoir violé l’article 82 de la loi « Informatique et libertés ».

La Grande-Bretagne veut des cookies !
Celui-ci impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur. Potentiellement, les amendes peuvent atteindre jusqu’à 2 % du chiffre d’affaires de l’entité condamnée pour non-conformité. La Cnil a déjà prévenu : les contrôles s’inscrivent dans la durée avec d’autres campagnes de vérifications et de mesures correctrices qui seront ainsi menées à partir de cette rentrée 2021-2022, « afin d’assurer le respect de la vie privée des internautes français ».
Au 14 septembre, sur la quarantaine d’éditeurs de sites web mis en demeure cet été, « 80 % des acteurs concernés se sont mis en conformité » – pas les 20 % restants… Et le gendarme des données personnelles, qui assume sa politique répressive, de prévenir les mauvais joueurs présents et futurs : « De nouvelles campagnes de contrôle sont en cours de préparation. Comme les précédentes, elles continueront à cibler des acteurs privés nationaux et internationaux, mais également des organismes publics dont les sites web génèrent un trafic important. Par ailleurs, une attention particulière sera portée aux sites des partis politiques en raison des élections présidentielles qui se dérouleront en 2022. Les vérifications continueront à porter sur la possibilité de refuser les cookies aussi simplement que de les accepter, mais également sur le respect effectif de ce choix » (7). Les cookies déposés sans consentement ou refus préalables sur les disques durs des ordinateurs ont donc la vie dure, tout comme ceux mis dans les mémoires de stockage des smartphones ou des tablettes.
Mais à force de vouloir protéger la vie privée des internautes, les bannières surgissantes sont devenues presque systématiques et gênent la fluidité de navigation sur le Web. Et des voix commencent à s’en plaindre. Fin août, dans une interview parue le 26 dans The Telegraph, le secrétaire d’Etat britannique au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, il a prévenu qu’il a l’intention de supprimer les fenêtres surgissantes sans arrêt sur les écrans des visiteurs de sites web pour leur demander d’accepter ou de refuser le dépôt de cookies et, ce faisant, la permission stocker des renseignements personnels au sujet de chacun d’eux. Bien que le ministre britannique membre des conservateurs convienne que les cookies présentant « un risque élevé pour la vie privée des personnes » devront toujours recevoir un avis de consentement, il a affirmé que bon nombre de ces bannières intempestives sont « inutiles » et « devraient être supprimées ». Depuis que le Brexit est entré en vigueur le 1er janvier 2021, la Grande-Bretagne veut s’affranchir du RGPD et prépare sa propre réglementation sur la protection des données. Et l’assouplissement de l’autorisation demandée en ligne aux internautes concernant les cookies serait envisagé. Mais Oliver Dowden se veut prudent sur les intentions du gouvernement britannique dans ce domaine sensible, assurant que « nous pouvons toujours veiller à ce que des normes élevées de protection de la vie privée soient protégées » (8). Il s’agit aussi de ne pas heurter l’Union européenne, avec laquelle le Royaume-Uni a signé pour quatre ans des « accords d’adéquation sur les données » commerciales et policières. Si Bruxelles était amené à dire que Londres va trop loin dans sa réforme sur les données personnelles, une rupture de ces accords pourrait compliquer la vie des entreprises britanniques vis-à-vis de l’Europe.
Le ministre britannique se veut confiant pour la réforme à venir, prenant l’exemple de deux autres pays indépendants que sont le Japon et la Nouvelle-Zélande, dont les données sont considérées comme « adéquates » par l’Union européenne.

Noyb (Max Schrems) épingle
L’organisation autrichienne non gouvernementale Noyb (9) multiplie, elle, des actions en Europe en déposant des centaines de plaintes devant la justice de plusieurs pays européens contre des sites web contrevenant aux règles du RGPD sur le dépôt ou pas des cookies via une bannière simplifiée et sans ambiguïté. C’est oui ou bien c’est non.
Le 10 août dernier, Noyb a officiellement déposé 422 plaintes sur les 10.000 sites web mis sous surveillance. « Certains acteurs majeurs comme Seat, Mastercard ou Nikon ont instantanément changé leurs pratiques, s’est félicité Max Schrems, président de la Noyb (10). Cependant, de nombreux autres sites web n’ont cessé que les pratiques les plus problématiques. Par exemple, ils ont peut-être ajouté une option de “rejet”, mais celle-ci reste difficile à lire ». @

Charles de Laubier