Agrandissement : Illustration 1
L'autre jour, je discutais avec ma mère pendant qu'elle faisait une recherche internet sur son téléphone. Évidemment, en ouvrant un site, on lui demande d'accepter les cookies. Ce qu'elle fait sans même y penser. Réaction indignée immédiate de ma part : « Mais Maman, comment peux-tu faire ça ! Il y a des gens qui se battent tous les jours pour que tu aies droit de choisir, et toi tu balaies ça d'un clic de doigt ! »
Suivi d'une discussion peu intéressante car nous n'avions pas vraiment envie de débattre. Est quand même venue la fameuse phrase « Mais j'ai rien à cacher, ça va c'est pas grave. » Ce qui n'est pas faux.
MAIS j'ai l'impression que c'est une excellente manière – surtout très répandue1 – de mal poser la question, ou en tout cas de prendre le problème dans le mauvais sens. On peut plutôt se demander quels enjeux se cachent derrière cette question des cookies.
C'est quoi un cookie ?
Car si on parle de cookies, on parle en fait de récolte de données personnelles. Il y a de nombreux dispositifs pour collecter nos données, et les cookies n'en sont qu'un parmi de nombreux autres. Ce sont de petits fichiers textes que les sites stockent sur nos terminaux (ordinateurs, smartphones, objets connectés...) afin de « sauvegarder nos préférences [mots de passe, mise en page préférée, panier sur les sites marchands, etc.] dans le but d'améliorer notre expérience de navigation ». On peut donc supprimer les cookies régulièrement, voire à chaque navigation Internet, simplement en allant dans les paramètres du navigateur (Chrome, Firefox, Explorer...).
Ces cookies enregistrent de nombreuses autres données, comme notre localisation, les autres sites que nous visitons, à quelle fréquence, etc. La quasi-totalité des sites et applications déposent des cookies dans nos objets connectés. Mais pas un seul à chaque fois. Ce sont plutôt des centaines, voire des milliers, car il y a de nombreux « partenaires », qui sont d'autres acteurs d'internet qui capitalisent sur nos données, les vendent et les rachètent (régies publicitaires2, data brokers3...).
Agrandissement : Illustration 2
Les cookies permettent de stocker les informations sur le terminal (ordinateur, ordiphone...) de l'utilisateur·ice. Mais il existe aussi des techniques dites de fingerprinting (« empreinte digitale » en anglais), qui analysent les données de l'utilisateur·ice (police de caractères utilisée, type de navigateur, etc.) pour lui créer un profil dont les données seront stockées sur les serveurs du site4. Ces techniques sont quasi-impossibles à contourner, car on ne peut pas supprimer les données du site comme on supprime les cookies de son navigateur.
Le prix des cookies
Mais à quoi servent ces données ? Le marché des data (« données ») représentait 274 milliards de dollars de dépense en 2023, et 3 millions d'emplois5. Pourquoi est-ce que des programmeur·euses se donnent tant de mal pour créer des programmes de surveillance, et pourquoi est-ce que des data brokers rachètent et vendent ces données à prix d'or ?
Parce qu'Internet est en fait un gigantesque espace publicitaire. Ces données servent à connaître les préférences des internautes pour cibler la publicité, c'est-à-dire envoyer le bon message, au bon moment, dans le bon contexte. C'est ainsi que se financent la plupart des sites Internet. En 2022, 97% du chiffre d'affaires de Facebook (116,609 milliards de dollars) venait de la publicité6. Ethan Zuckerman, pionnier de l'internet et créateur repenti de la fenêtre « pop-up », raconte dans son article de référence, Le péché originel d'Internet, la recherche de financement des premiers sites Internet. Après avoir testé les abonnements, ou les ventes de produits dérivés, ils se sont petit à petit tournés vers la publicité ciblée, encouragés en cela par le succès de la régie publicitaire de Google, AdWords7.
Sergey Brin et Larry Page, les fondateurs de Google, refusaient pourtant à cette époque de faire de la publicité. Ils pensaient que les financements publicitaires pousseraient l'entreprise à modifier ses algorithmes pour favoriser les annonceurs. Ils s'en expliquaient dans un article de 1998 : « Il est probable que les moteurs de recherche financés par la publicité favoriseront par essence les annonceurs, loin des besoins des consommateurs. »8
L'éclatement de la bulle financière d'Internet dans les années 2000 les a poussés à piétiner leurs principes, et la régie publicitaire AdWords est désormais la plus grosse du monde.
L'économie du cookie
Pour Shoshana Zuboff, ce choix est si important qu'il a modifié en profondeur le système capitaliste. La compétition entre les entreprises technologiques ne se fait plus autour de la productivité, ou du nombre de clients, mais autour de la collecte des données et leur analyse. Cela pour cibler le plus précisément possible les publicités, et valoriser au maximum les espaces publicitaires. Elle nomme cette nouvelle organisation « capitalisme de surveillance »9. Dans ce système, l'« architecture de surveillance » créée pour attirer les financements publicitaires est aussi utilisée par les États, comme l'ont montré les révélations d'Edward Snowden. La NSA aux États-Unis récolte des données et écoute des conversations d'une grande partie de la population mondiale, dans et hors des frontières états-uniennes10.
En France aussi, les services de renseignement récupèrent les données des citoyen·nes français·es et étranger·es, notamment grâce à des collaborations avec les fournisseurs d'accès et les autres acteurs d'internet11.
Agrandissement : Illustration 3
Ainsi, la question des cookies est en fait une des mécaniques centrales de la collecte généralisée des données des internautes, à des fins publicitaires ou de surveillance étatique. Elle est la source principale de revenus des sites Internet, et conditionne toute son organisation. Le RGPD (Règlement Général pour la Protection des Données) oblige désormais les sites à "recueillir le consentement des internautes" avant de leur déposer des cookies, donc à donner la possibilité de les refuser. Mais face aux enjeux économiques colossaux, les programmeur·ses rivalisent d'inventivité pour :
1- masquer les finalités réelles des cookies en les rendant "sympathiques" et drôles (voir la première illustration de cet article), poussant à les accepter.
2- inciter par le conception même de la fenêtre à cliquer sur "accepter tous les cookies" plutôt que sur "continuer sans accepter". Ainsi, le bouton "continuer sans accepter" est souvent plus petit, caché à un coin de la fenêtre, avec des couleurs pâles, tandis que le bouton "accepter tous les cookies" est en couleurs vives au centre de l'écran. Les navigations sur Internet se faisant de plus en plus vite, nous ne prenons pas le temps de vérifier tout le temps sur quoi nous cliquons, et acceptons les cookies sans même le remarquer.
Ce n'est donc pas entièrement la faute de ma mère : l'architecture même des sites est faite pour que la grande majorité d'entre nous les accepte, et perpétuer cette architecture de surveillance. La CNIL (Commission Nationale de l'Informatique et des Libertés) utilise le concept de "privacy by design" pour désigner le fait que les sites doivent être pensés dès leur conception dans l'optique de respecter la vie privée des utilisateur·ices12. Mais n'est-ce pas condamné à rester un voeu pieux, tant les intérêts économiques sont colossaux ?
Nous verrons dans les prochains articles les conséquences concrètes de cette surveillance, conséquences qui vont bien au-delà de l'intrusion dans la vie privée.
Pour des détails plus techniques sur les cookies, je vous renvoie à l'article de La Quadrature du Net sur le sujet.
1 Comme le montre le documentaire Nothing to hide. Marc MEILLASSOUX, Mihaela GLADOVIC, Nothing to hide, DeepDocs, 2017 https://peertube.cpy.re/w/d2a5ec78-5f85-4090-8ec5-dc1102e022ea
2 Une régie publicitaire est un organisme qui fait le lien entre les espaces publicitaires et les annonceurs. Ici, les espaces publicitaires seraient les sites internet et les annonceurs les entreprises qui veulent faire de la publicité. La plupart des GAFAM sont des espaces publicitaires mais proposent aussi des services de régie publicitaire.
3 Les data brokers sont des marchands de données. Ces entreprises amassent des stocks de données et les revendent à des régies publicitaires. Elles représentaient 274 milliards de dollars d'investissement en 2023: https://www.ia-insights.fr/big-data-statistiques-chiffres-cles-2023/
4 Nikos SMYRNAIOS, Les GAFAM contre l'internet. Une économie politique du numérique, INA éditions, 2017
5 Source : Statista, 2023. Voir « Big Data : Statistiques et Chiffres Clés (2023) », IA Insights, 25 juin 2023. https://www.ia-insights.fr/big-data-statistiques-chiffres-cles-2023/
6 Source : Meta Facebook Reports Fourth Quarter and Full Year 2020, 2021, 2022, 2023 Results https://investor.fb.com/financials/default.aspx
7 Ethan ZUCKERMAN, « The Internet's original sin », The Atlantic, 14 août 2014 https://www.theatlantic.com/technology/archive/2014/08/advertising-is-the-internets-original-sin/376041/
8 Sergey BRIN, Lawrence PAGE, « The anatomy of a Large-scalehypertextual Web search engine », Computer Networks and ISDN systems 30, n. 1-7, 1998:18, cité par Soshanna ZUBOFF, L'Âge du capitalisme de surveillance, Zulma, 2022, p. 106
9 Shoshana ZUBOFF, L'Âge du capitalisme de surveillance, Zulma, 2022
10 Ibid.
11 Félix TREGUER, Contre-histoire d'Internet. Du XVe siècle à nos jours, Éléments, 2023
12 Voir le rapport de la CNIL La forme des choix. Données personnelles, design et frictions désirables. Cahiers IP 6, janvier 2019. Rapport complet ici https://linc.cnil.fr/cahier-ip6-la-forme-des-choix. La partie sur le concept de privacy by design est à retrouver ici https://linc.cnil.fr/ip6-la-necessaire-regulation-du-design-et-des-architectures-de-choix