0123
SAMEDI 15 FÉVRIER 2020 économie & entreprise| 13
l’avantage pas de manière démesurée », anti
cipe M. Rudelle. « Ça va être habillé d’un ver
nis sur la protection des consommateurs,
mais au final ça risque de se faire au profit de
Google », craint M. Chetrit, qui s’alarme des
délais fixés par le géant américain : « On ne
peut pas basculer comme ça si vite. C’est tout
un secteur qui va être ébranlé. »
Pour éviter que le groupe de Mountain
View n’impose unilatéralement ses vues, il
faudrait une « alliance globale des acteurs de
l’Open Web » et la mise en place d’« une gou
vernance vigilante », si possible sous l’égide
du W3C, un organisme de standardisation à
but non lucratif, plaide M. Rouet.
Les professionnels expliquent que la ges
tion de la donnée ne doit pas se faire unique
ment au niveau des navigateurs, car cela
donnerait à une poignée d’acteurs – à com
mencer par Google – un avantage compétitif
majeur. « Il ne faut pas que les GAFA soient les
seuls capables de proposer certains services
d’annonce ciblée. Ce serait de la discrimina
tion et de l’abus de position dominante qui ne
serait de l’intérêt ni des utilisateurs, ni des
marques », résume le président de Criteo.
LA CNIL MONTRÉE DU DOIGT
Face à ce scénario catastrophe, les acteurs de
la pub demandent aux autorités françaises et
européennes d’intervenir. « Il est important
que l’Europe ne soit pas angélique », plaide
M. Rudelle. Car, pour l’instant, le secteur es
time que l’évolution du cadre réglementaire
a plutôt bénéficié aux grandes platesformes,
qui ont su l’exploiter à leur avantage.
Beaucoup en veulent en particulier au gen
darme français de la vie privée : « La CNIL
n’a aucune pitié pour l’écosystème de la publi
cité, où beaucoup de boîtes sont en concur
rence avec des multinationales. Aujourd’hui,
si Criteo perd du chiffre d’affaires, ça va direc
tement chez Facebook et Google », déplore,
par exemple, Michaël Froment.
Le monde de la pub paie sa prise de cons
cience tardive de l’enjeu des données per
sonnelles, et ses mauvaises pratiques,
comme la multiplication des annonces in
trusives. Menacé, il cherche aujourd’hui à se
refaire une légitimité. « On arrive à un mo
ment de vérité, explique M. Chetrit. On a trop
longtemps laissé penser que sur Internet les
contenus étaient simplement gratuits.
Aujourd’hui, il faut dire que si c’est gratuit
c’est parce qu’il y a de la pub. »
vincent fagot
« La CNIL veut redonner aux utilisateurs le
contrôle sur l’utilisation de leurs données »
MarieLaure Denis, la présidente de la Commission nationale de l’informatique et des libertés,
détaille les grandes lignes du projet de régulation du gendarme de la vie privée
ENTRETIEN
L
a Commission nationale de
l’informatique et des liber
tés (CNIL) a présenté, le
14 janvier, son projet de recom
mandation sur les cookies, ces pe
tits fichiers qui permettent de
stocker des informations sur un
internaute. Ce texte doit servir de
guide pratique aux éditeurs de si
tes et d’applications pour re
cueillir légalement le consente
ment de leurs utilisateurs lorsque
ces cookies servent à collecter des
données personnelles. La prési
dente de l’autorité, MarieLaure
Denis, répond à nos questions.
Que contient ce projet de re
commandations?
Il vise à redonner aux utilisa
teurs du contrôle sur l’utilisation
de leurs données à des fins publi
citaires. La CNIL a insisté sur plu
sieurs points : la poursuite de la
navigation sur un site ne vaut
plus consentement et il doit être
aussi facile de refuser le dépôt
d’un traceur que d’y consentir.
Cela signifie que l’internaute
n’aura plus un gros bouton
vert proposant d’« Accepter » et
un petit texte dans un coin
pour refuser?
Il faut qu’il y ait une symétrie
entre les deux. Par ailleurs, les uti
lisateurs doivent pouvoir connaî
tre les destinataires de leurs don
nées collectées à des fins de pro
filage publicitaire. Il y a des textes
en vigueur qui imposent le re
cueil d’un consentement libre et
éclairé mais ces préconisations
ne sont globalement pas mises en
œuvre.
Quand la CNIL vatelle appli
quer ces règles?
Pour élaborer ce projet, qui est
un guide pratique sur les modali
tés du recueil du consentement,
nous avons mené une phase de
concertation avec les profession
nels du marketing et la société ci
vile. Ce texte est maintenant sou
mis à consultation jusqu’au 25 fé
vrier. Puis, le collège de la CNIL
adoptera la recommandation dé
finitive et nous laisserons six
mois aux acteurs publics et privés
pour s’adapter.
C’est un an et demi après la
mise en place du règlement
général sur la protection des
données (RGPD). Pourquoi ne
pas l’avoir appliqué aux coo
kies dès le début?
Sur les cookies, compte tenu de
l’ampleur de cette régulation qui
concerne la quasitotalité des sites
Web et des applications en France,
il était opportun de ne pas sanc
tionner tout de suite des acteurs
sans qu’ils connaissent précisé
ment les recommandations. Cela
permet une conformité plus ra
pide que des sanctions, qui
auraient mis plus de temps à clari
fier le cadre général. Ensuite, une
période d’adaptation était néces
saire pour permettre aux acteurs
de s’inscrire dans un cadre juridi
que plus lisible et leur donner de la
sécurité juridique. Nous atten
dions aussi l’adoption d’ePrivacy
[la nouvelle version du règlement
européen, qui va compléter le
RGPD] qui devait entrer en vi
gueur à la même date que le RGPD.
La période d’adaptation ne porte
que sur un sujet très précis : les
nouvelles modalités du recueil du
consentement aux traceurs. Tou
tes les autres dispositions relatives
aux cookies restent applicables et
sont déjà contrôlées par la CNIL.
Certains disent que ces règles
auront un impact négatif sur le
secteur de la pub en ligne...
La CNIL ne nie pas que l’applica
tion de la loi européenne et de la
loi nationale est susceptible
d’avoir un impact sur le modèle
économique de certains acteurs.
C’est pourquoi nous avons privi
légié une méthode concertée et
progressive tout en restant prag
matiques. Nous avons, par exem
ple, dressé une liste des cookies
exemptés du consentement.
Le précédent cadre européen
sur les données contenait déjà
des dispositions sur les coo
kies. Ces recommandations re
présententelles la dernière
chance de réguler ce secteur?
Compte tenu des enjeux en ma
tière de protection de la vie pri
vée et du profilage massif, il est
indispensable que les règles
soient claires pour tout le monde
et que le régulateur les fasse res
pecter. Il y a un écosystème com
plexe et souvent opaque pour
l’utilisateur. Notre régulation
veut donner de la visibilité et de
la transparence sur la circulation
Pour espionner les consommateurs,
les alternatives restent limitées
La technique du « fingerprinting », qui permet de suivre les internautes, est peu adaptée
I
ls ne vont probablement pas
disparaître, mais leur usage
va largement diminuer : les
cookies, ces petits fichiers utili
sés pour identifier un internaute
et enregistrer sa navigation, sont
l’un des maillons essentiels de la
publicité ciblée sur Internet, et
concentrent à la fois l’attention
des régulateurs, des éditeurs de
navigateurs Internet et des dé
fenseurs de la vie privée. Mais les
cookies ne sont pas le seul outil
qui permette d’espionner la navi
gation des internautes. Une
autre technologie, relativement
bien connue, permet dans de
nombreux cas d’attribuer un
identifiant unique à un utilisa
teur, pour suivre son activité en
ligne : le « fingerprinting », ou
prise d’empreinte.
Cette pratique part d’un constat
simple : la vaste majorité des in
ternautes utilisent, pour surfer
sur le Web, un terminal qui pré
sente certaines caractéristiques :
son système d’exploitation, la ré
solution de son écran, le type de
navigateur et son numéro de ver
sion... En croisant ces différents
paramètres, on peut aboutir à
une « empreinte » qui a de bonnes
chances d’être unique pour peu
que l’on multiplie les points de
mesure ; des millions d’internau
tes français utilisent un naviga
teur Chrome depuis un PC Win
dows, mais il n’y en a possible
ment qu’un seul qui utilise
Chrome sur un PC Windows 8,
avec une résolution d’écran de
1024 × 768 pixels, et a installé cinq
extensions spécifiques sur son
navigateur.
En théorie, un mouchard qui
mesurerait tous ces paramètres
pourrait donc identifier l’inter
naute de façon fiable, comme un
commerçant qui prendrait une
photographie de toutes les per
sonnes passant devant sa vitrine.
Mais ces techniques, qui font par
fois aussi appel à des outils très
élaborés sont loin d’être parfaites.
Plusieurs études portant sur quel
ques centaines de milliers d’inter
nautes montraient qu’il était pos
sible d’identifier ainsi plus de
80 % des internautes ; mais une
autre réalisée sur deux millions
d’utilisateurs sur un site com
mercial, aboutissait à la conclu
sion que seul un tiers des em
preintes étaient uniques.
« Pas assez performant »
« Deux facteurs expliquent princi
palement ces différences », estime
Pierre Laperdrix, chargé de re
cherche à l’Institut national de re
cherche en sciences et technolo
gies du numérique de Lille au sein
de l’UMR Cristal et créateur du
site amiunique.org, qui permet
de vérifier quelle est l’empreinte
de votre navigateur.
« D’abord, plus la base d’utilisa
teurs est importante, plus on a sta
tistiquement de chances d’avoir
des empreintes identiques. Et les
études précédentes étaient en gé
néral menées sur des sites spécifi
ques, ce qui pouvait introduire une
forme de biais avec une surrepré
sentation d’utilisateurs sous
Linux, par exemple », ajoutetil.
Ce manque de fiabilité, par rap
port aux cookies, fait que le fin
gerprinting ne s’est jamais im
posé auprès des publicitaires. Les
études à grande échelle sur les si
tes les plus fréquentés dans le
monde montrent que moins de
4 % des sites utilisent cette techni
que, qui a aussi des utilisations lé
gitimes en matière de sécurité,
par exemple pour identifier les
machines automatisées ou véri
fier si un internaute utilise bien
sa machine habituelle pour se
connecter au site de sa banque.
« Aujourd’hui, le fingerprinting
n’est pas assez performant pour
pouvoir identifier avec certitude
un utilisateur de façon unique. Si
on veut l’appliquer dans un sys
tème publicitaire, avec une base
d’utilisateurs potentiels d’un mil
liard de personnes, ça n’est pas
possible », estime M. Laperdrix.
« Par ailleurs, l’écosystème publici
taire actuel dépend beaucoup du
système de realtimebidding [en
chères en temps réel]. Ce système
de ces données collectées à des
fins de ciblage publicitaire.
Que vous inspirent les efforts
des grands acteurs – Apple avec
Safari, Google avec Google
Chrome, Mozilla – de limiter
l’utilisation de tels fichiers?
Même sans l’utilisation de coo
kies, les GAFA [Google, Apple, Face
book, Amazon] devraient en prin
cipe être soumis à travers le RGPD
à une obligation d’information et
de recueil du consentement pour
la combinaison de toutes les don
nées qu’ils collectent massive
ment à des fins de ciblage publici
taire. Les utilisateurs bénéficient
du même niveau de protection et
les acteurs sont soumis aux mê
mes règles, quels que soient les
outils techniques utilisés par les
personnes pour surfer sur le Web.
Estce que ePrivacy va vous for
cer à réécrire vos règles?
Le projet de règlement ePrivacy
est un texte que la CNIL appelle de
ses vœux. Il pourrait être l’occa
sion de traiter la question du re
cueil du consentement au niveau
des navigateurs. Aujourd’hui, ce
sont les GAFA qui font les choix de
paramétrage et pas l’utilisateur. Il
est important de réguler cet éco
système en imposant des règles
uniformes. Du jour au lendemain,
les GAFA peuvent changer les pa
ramétrages de leurs navigateurs,
ce qui n’est satisfaisant ni pour les
utilisateurs ni pour les acteurs qui
en sont très dépendants.
propos recueillis par
martin untersinger
a besoin de pouvoir identifier très
rapidement la personne. Or le fin
gerprinting nécessite de faire des
tests longs, avec des temps de col
lecte des informations beaucoup
plus importants que lorsqu’on uti
lise des cookies. »
Malgré tout, certains naviga
teurs, comme Firefox ou Brave,
ont d’ores et déjà commencé à li
miter techniquement les possibi
lités de « prise d’empreinte », an
ticipant un éventuel développe
ment de ces techniques, plus insi
dieuses que les cookies puisque,
en l’absence de fichier sur sa ma
chine, il est plus difficile pour
l’utilisateur de savoir quelles in
formations sont collectées.
De son côté, l’industrie publici
taire semble réfléchir à une solu
tion systémique mais encore très
floue. L’Internet Advertising Bu
reau (IAB), la principale organisa
tion professionnelle de la publi
cité en ligne, a annoncé ce 11 fé
vrier travailler sur un « projet
Rearc », vaste chantier technique
visant à établir un « système
d’identifiant unique et chiffré »
qui « respectera la vie privée » des
internautes tout en permettant
de continuer à proposer de la pu
blicité ciblée.
Aucun détail technique sur ce
projet, encore à l’état de ré
flexion, n’a été communiqué. « Si
nous réussissons, ce sera une évo
lution comparable au premier pas
sur la Lune », a concédé Jason
White, membre du conseil d’ad
ministration de l’IAB.
damien leloup
DE LEUR CÔTÉ,
LES INDUSTRIELS
DU SECTEUR
SEMBLENT RÉFLÉCHIR
À UNE SOLUTION
SYSTÉMIQUE, MAIS
ENCORE TRÈS FLOUE