Le Monde - 15.02.2020

0123
SAMEDI 15 FÉVRIER 2020 économie & entreprise| 13

l’avantage pas de manière démesurée », anti­

cipe M. Rudelle. « Ça va être habillé d’un ver­

nis sur la protection des consommateurs,

mais au final ça risque de se faire au profit de

Google », craint M. Chetrit, qui s’alarme des

délais fixés par le géant américain : « On ne

peut pas basculer comme ça si vite. C’est tout

un secteur qui va être ébranlé. »

Pour éviter que le groupe de Mountain

View n’impose unilatéralement ses vues, il

faudrait une « alliance globale des acteurs de

l’Open Web » et la mise en place d’« une gou­

vernance vigilante », si possible sous l’égide

du W3C, un organisme de standardisation à

but non lucratif, plaide M. Rouet.

Les professionnels expliquent que la ges­

tion de la donnée ne doit pas se faire unique­

ment au niveau des navigateurs, car cela

donnerait à une poignée d’acteurs – à com­

mencer par Google – un avantage compétitif

majeur. « Il ne faut pas que les GAFA soient les

seuls capables de proposer certains services

d’annonce ciblée. Ce serait de la discrimina­

tion et de l’abus de position dominante qui ne

serait de l’intérêt ni des utilisateurs, ni des

marques », résume le président de Criteo.

LA CNIL MONTRÉE DU DOIGT

Face à ce scénario catastrophe, les acteurs de

la pub demandent aux autorités françaises et

européennes d’intervenir. « Il est important

que l’Europe ne soit pas angélique », plaide

M. Rudelle. Car, pour l’instant, le secteur es­

time que l’évolution du cadre réglementaire

a plutôt bénéficié aux grandes plates­formes,

qui ont su l’exploiter à leur avantage.

Beaucoup en veulent en particulier au gen­

darme français de la vie privée : « La CNIL

n’a aucune pitié pour l’écosystème de la publi­

cité, où beaucoup de boîtes sont en concur­

rence avec des multinationales. Aujourd’hui,

si Criteo perd du chiffre d’affaires, ça va direc­

tement chez Facebook et Google », déplore,

par exemple, Michaël Froment.

Le monde de la pub paie sa prise de cons­

cience tardive de l’enjeu des données per­

sonnelles, et ses mauvaises pratiques,

comme la multiplication des annonces in­

trusives. Menacé, il cherche aujourd’hui à se

refaire une légitimité. « On arrive à un mo­

ment de vérité, explique M. Chetrit. On a trop

longtemps laissé penser que sur Internet les

contenus étaient simplement gratuits.

Aujourd’hui, il faut dire que si c’est gratuit

c’est parce qu’il y a de la pub. »

vincent fagot

« La CNIL veut redonner aux utilisateurs le

contrôle sur l’utilisation de leurs données »

Marie­Laure Denis, la présidente de la Commission nationale de l’informatique et des libertés,

détaille les grandes lignes du projet de régulation du gendarme de la vie privée

ENTRETIEN

L

a Commission nationale de

l’informatique et des liber­

tés (CNIL) a présenté, le

14 janvier, son projet de recom­

mandation sur les cookies, ces pe­

tits fichiers qui permettent de

stocker des informations sur un

internaute. Ce texte doit servir de

guide pratique aux éditeurs de si­

tes et d’applications pour re­

cueillir légalement le consente­

ment de leurs utilisateurs lorsque

ces cookies servent à collecter des

données personnelles. La prési­

dente de l’autorité, Marie­Laure

Denis, répond à nos questions.

Que contient ce projet de re­

commandations?

Il vise à redonner aux utilisa­

teurs du contrôle sur l’utilisation

de leurs données à des fins publi­

citaires. La CNIL a insisté sur plu­

sieurs points : la poursuite de la

navigation sur un site ne vaut

plus consentement et il doit être

aussi facile de refuser le dépôt

d’un traceur que d’y consentir.

Cela signifie que l’internaute

n’aura plus un gros bouton

vert proposant d’« Accepter » et

un petit texte dans un coin

pour refuser?

Il faut qu’il y ait une symétrie

entre les deux. Par ailleurs, les uti­

lisateurs doivent pouvoir connaî­

tre les destinataires de leurs don­

nées collectées à des fins de pro­

filage publicitaire. Il y a des textes

en vigueur qui imposent le re­

cueil d’un consentement libre et

éclairé mais ces préconisations

ne sont globalement pas mises en

œuvre.

Quand la CNIL va­t­elle appli­

quer ces règles?

Pour élaborer ce projet, qui est

un guide pratique sur les modali­

tés du recueil du consentement,

nous avons mené une phase de

concertation avec les profession­

nels du marketing et la société ci­

vile. Ce texte est maintenant sou­

mis à consultation jusqu’au 25 fé­

vrier. Puis, le collège de la CNIL

adoptera la recommandation dé­

finitive et nous laisserons six

mois aux acteurs publics et privés

pour s’adapter.

C’est un an et demi après la

mise en place du règlement

général sur la protection des

données (RGPD). Pourquoi ne

pas l’avoir appliqué aux coo­

kies dès le début?

Sur les cookies, compte tenu de

l’ampleur de cette régulation qui

concerne la quasi­totalité des sites

Web et des applications en France,

il était opportun de ne pas sanc­

tionner tout de suite des acteurs

sans qu’ils connaissent précisé­

ment les recommandations. Cela

permet une conformité plus ra­

pide que des sanctions, qui

auraient mis plus de temps à clari­

fier le cadre général. Ensuite, une

période d’adaptation était néces­

saire pour permettre aux acteurs

de s’inscrire dans un cadre juridi­

que plus lisible et leur donner de la

sécurité juridique. Nous atten­

dions aussi l’adoption d’ePrivacy

[la nouvelle version du règlement

européen, qui va compléter le

RGPD] qui devait entrer en vi­

gueur à la même date que le RGPD.

La période d’adaptation ne porte

que sur un sujet très précis : les

nouvelles modalités du recueil du

consentement aux traceurs. Tou­

tes les autres dispositions relatives

aux cookies restent applicables et

sont déjà contrôlées par la CNIL.

Certains disent que ces règles

auront un impact négatif sur le

secteur de la pub en ligne...

La CNIL ne nie pas que l’applica­

tion de la loi européenne et de la

loi nationale est susceptible

d’avoir un impact sur le modèle

économique de certains acteurs.

C’est pourquoi nous avons privi­

légié une méthode concertée et

progressive tout en restant prag­

matiques. Nous avons, par exem­

ple, dressé une liste des cookies

exemptés du consentement.

Le précédent cadre européen

sur les données contenait déjà

des dispositions sur les coo­

kies. Ces recommandations re­

présentent­elles la dernière

chance de réguler ce secteur?

Compte tenu des enjeux en ma­

tière de protection de la vie pri­

vée et du profilage massif, il est

indispensable que les règles

soient claires pour tout le monde

et que le régulateur les fasse res­

pecter. Il y a un écosystème com­

plexe et souvent opaque pour

l’utilisateur. Notre régulation

veut donner de la visibilité et de

la transparence sur la circulation

Pour espionner les consommateurs,

les alternatives restent limitées

La technique du « fingerprinting », qui permet de suivre les internautes, est peu adaptée

I

ls ne vont probablement pas

disparaître, mais leur usage

va largement diminuer : les

cookies, ces petits fichiers utili­

sés pour identifier un internaute

et enregistrer sa navigation, sont

l’un des maillons essentiels de la

publicité ciblée sur Internet, et

concentrent à la fois l’attention

des régulateurs, des éditeurs de

navigateurs Internet et des dé­

fenseurs de la vie privée. Mais les

cookies ne sont pas le seul outil

qui permette d’espionner la navi­

gation des internautes. Une

autre technologie, relativement

bien connue, permet dans de

nombreux cas d’attribuer un

identifiant unique à un utilisa­

teur, pour suivre son activité en

ligne : le « fingerprinting », ou

prise d’empreinte.

Cette pratique part d’un constat

simple : la vaste majorité des in­

ternautes utilisent, pour surfer

sur le Web, un terminal qui pré­

sente certaines caractéristiques :

son système d’exploitation, la ré­

solution de son écran, le type de

navigateur et son numéro de ver­

sion... En croisant ces différents

paramètres, on peut aboutir à

une « empreinte » qui a de bonnes

chances d’être unique pour peu

que l’on multiplie les points de

mesure ; des millions d’internau­

tes français utilisent un naviga­

teur Chrome depuis un PC Win­

dows, mais il n’y en a possible­

ment qu’un seul qui utilise

Chrome sur un PC Windows 8,

avec une résolution d’écran de

1024 × 768 pixels, et a installé cinq

extensions spécifiques sur son

navigateur.

En théorie, un mouchard qui

mesurerait tous ces paramètres

pourrait donc identifier l’inter­

naute de façon fiable, comme un

commerçant qui prendrait une

photographie de toutes les per­

sonnes passant devant sa vitrine.

Mais ces techniques, qui font par­

fois aussi appel à des outils très

élaborés sont loin d’être parfaites.

Plusieurs études portant sur quel­

ques centaines de milliers d’inter­

nautes montraient qu’il était pos­

sible d’identifier ainsi plus de

80 % des internautes ; mais une

autre réalisée sur deux millions

d’utilisateurs sur un site com­

mercial, aboutissait à la conclu­

sion que seul un tiers des em­

preintes étaient uniques.

« Pas assez performant »

« Deux facteurs expliquent princi­

palement ces différences », estime

Pierre Laperdrix, chargé de re­

cherche à l’Institut national de re­

cherche en sciences et technolo­

gies du numérique de Lille au sein

de l’UMR Cristal et créateur du

site amiunique.org, qui permet

de vérifier quelle est l’empreinte

de votre navigateur.

« D’abord, plus la base d’utilisa­

teurs est importante, plus on a sta­

tistiquement de chances d’avoir

des empreintes identiques. Et les

études précédentes étaient en gé­

néral menées sur des sites spécifi­

ques, ce qui pouvait introduire une

forme de biais avec une surrepré­

sentation d’utilisateurs sous

Linux, par exemple », ajoute­t­il.

Ce manque de fiabilité, par rap­

port aux cookies, fait que le fin­

gerprinting ne s’est jamais im­

posé auprès des publicitaires. Les

études à grande échelle sur les si­

tes les plus fréquentés dans le

monde montrent que moins de

4 % des sites utilisent cette techni­

que, qui a aussi des utilisations lé­

gitimes en matière de sécurité,

par exemple pour identifier les

machines automatisées ou véri­

fier si un internaute utilise bien

sa machine habituelle pour se

connecter au site de sa banque.

« Aujourd’hui, le fingerprinting

n’est pas assez performant pour

pouvoir identifier avec certitude

un utilisateur de façon unique. Si

on veut l’appliquer dans un sys­

tème publicitaire, avec une base

d’utilisateurs potentiels d’un mil­

liard de personnes, ça n’est pas

possible », estime M. Laperdrix.

« Par ailleurs, l’écosystème publici­

taire actuel dépend beaucoup du

système de real­time­bidding [en­

chères en temps réel]. Ce système

de ces données collectées à des

fins de ciblage publicitaire.

Que vous inspirent les efforts

des grands acteurs – Apple avec

Safari, Google avec Google

Chrome, Mozilla – de limiter

l’utilisation de tels fichiers?

Même sans l’utilisation de coo­

kies, les GAFA [Google, Apple, Face­

book, Amazon] devraient en prin­

cipe être soumis à travers le RGPD

à une obligation d’information et

de recueil du consentement pour

la combinaison de toutes les don­

nées qu’ils collectent massive­

ment à des fins de ciblage publici­

taire. Les utilisateurs bénéficient

du même niveau de protection et

les acteurs sont soumis aux mê­

mes règles, quels que soient les

outils techniques utilisés par les

personnes pour surfer sur le Web.

Est­ce que ePrivacy va vous for­

cer à réécrire vos règles?

Le projet de règlement ePrivacy

est un texte que la CNIL appelle de

ses vœux. Il pourrait être l’occa­

sion de traiter la question du re­

cueil du consentement au niveau

des navigateurs. Aujourd’hui, ce

sont les GAFA qui font les choix de

paramétrage et pas l’utilisateur. Il

est important de réguler cet éco­

système en imposant des règles

uniformes. Du jour au lendemain,

les GAFA peuvent changer les pa­

ramétrages de leurs navigateurs,

ce qui n’est satisfaisant ni pour les

utilisateurs ni pour les acteurs qui

en sont très dépendants.

propos recueillis par

martin untersinger

a besoin de pouvoir identifier très

rapidement la personne. Or le fin­

gerprinting nécessite de faire des

tests longs, avec des temps de col­

lecte des informations beaucoup

plus importants que lorsqu’on uti­

lise des cookies. »

Malgré tout, certains naviga­

teurs, comme Firefox ou Brave,

ont d’ores et déjà commencé à li­

miter techniquement les possibi­

lités de « prise d’empreinte », an­

ticipant un éventuel développe­

ment de ces techniques, plus insi­

dieuses que les cookies puisque,

en l’absence de fichier sur sa ma­

chine, il est plus difficile pour

l’utilisateur de savoir quelles in­

formations sont collectées.

De son côté, l’industrie publici­

taire semble réfléchir à une solu­

tion systémique mais encore très

floue. L’Internet Advertising Bu­

reau (IAB), la principale organisa­

tion professionnelle de la publi­

cité en ligne, a annoncé ce 11 fé­

vrier travailler sur un « projet

Rearc », vaste chantier technique

visant à établir un « système

d’identifiant unique et chiffré »

qui « respectera la vie privée » des

internautes tout en permettant

de continuer à proposer de la pu­

blicité ciblée.

Aucun détail technique sur ce

projet, encore à l’état de ré­

flexion, n’a été communiqué. « Si

nous réussissons, ce sera une évo­

lution comparable au premier pas

sur la Lune », a concédé Jason

White, membre du conseil d’ad­

ministration de l’IAB.

damien leloup

DE LEUR CÔTÉ, 

LES INDUSTRIELS

DU SECTEUR 

SEMBLENT RÉFLÉCHIR 

À UNE SOLUTION 

SYSTÉMIQUE, MAIS 

ENCORE TRÈS FLOUE