Thomas Le Bonniec
Abonné·e de Mediapart

4 Billets

0 Édition

Billet de blog 21 mars 2022

Thomas Le Bonniec
Abonné·e de Mediapart

Cookie Monsters : les dévoreurs de données à l'arrêt ?

Les annonceurs du net étaient organisés depuis 2018 pour pister les internautes avec des cookies en contournant le RGPD. Une décision rendue le 2 février 2022 par les 28 autorités européennes de protection des données déclare hors-la-loi leur méthode de collecte de données et du consentement.

Thomas Le Bonniec
Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

  • Comment et pourquoi pister les utilisateurs ?

Il faut avant tout comprendre pourquoi les annonceurs veulent par tous les moyens déposer des cookies sur votre ordinateur lorsque vous naviguez sur internet.

Un cookie est un fichier texte stocké sur la mémoire vive de votre navigateur, qui va enregistrer des données relatives aux sites web que vous visitez, votre adresse IP, vos données de géolocalisation, etc. Il permet également de vous identifier lorsque vous vous connectez à votre compte, mais aussi de se souvenir de votre panier d'achats, ou encore de lire des vidéos.

Surtout, il en existe à des fins commerciales qui recueillent toutes sortes d'informations personnelles pour identifier précisément qui se trouve derrière l'écran et ses habitudes de navigation.

Le RGPD (Règlement Général sur la Protection des Données) rendait la chose plus difficile en créant une obligation de transparence, à laquelle les annonceurs se sont empressés de répondre en fabriquant une méthode sur mesure : le TCF – Transparency and Consent Framework (Cadre de Transparence et Consentement). Les bannières et pop-ups sont donc un choix commercial visant non pas à respecter au mieux le consentement des utilisateurs, mais à ménager autant que possible les sources de profit de ses membres.

Cette méthode a été mise en place par un lobby réunissant les annonceurs et publicitaires du net, dont Google, Microsoft,Amazon et Meta  : IAB (Interactive Advertising Bureau) Europe.

L'IAB Europe, et ses clients, fournissent ainsi le protocole de consentement pour près de 80% des sites consultables en Europe.

Plusieurs exemples permettent de mettre en évidence que le TCF procède effectivement de manière mensongère pour essayer d'extorquer le consentement de l'internaute, notamment en dissimulant au maximum la possibilité pour l'internaute de refuser les cookies « non essentiels », c'est-à-dire permettant de faire de la mesure d'audience et du marketing pour des tiers.

La Cnil avait sanctionné le non-respect de cette réglementation en infligeant à Facebook une amende de 60 millions d'euros1 le 31 décembre 2021. En faisant apparaître un bouton « accepter les cookies » comme l'option à cocher afin de refuser ceux qui étaient non-essentiels, l'entreprise dupait l'utilisateur.

Ces méthodes relèvent du « dark pattern » : des choix conscients visant à orienter l'utilisateur en l'informant peu ou mal, voire même en le manipulant. Et si les publicitaires du numérique s'acharnent à trouver des méthodes pour contourner deux points essentiels du RGPD, à savoir le consentement des utilisateurs et la transparence sur l'utilisation des données, c'est en raison des profits qu'elles génèrent.

Car l'implémentation du RGPD « à la régulière » s’avérerait très coûteux pour les publicitaires du numérique. Et c'est pourquoi ils comptent poursuivre leur stratégie de contournement.

  • La vente aux enchères des données

En effet, les données recueillies par l'intermédiaire des cookies alimentent un marché aux enchères automatisé dit Real-Time Bidding, qui propose des encarts publicitaires en temps réel, c'est-à-dire au moment même où les pages sont visitées. Or l'autorité de protection des données estime que les opérations de vente de données en temps réel ne peuvent continuer en l'état.

Jusqu'à présent l'annonceur se défaussait de cette responsabilité, en prétextant notamment n'être qu'un intermédiaire dans la collecte de données, informant les utilisateurs de leurs droits et recueillant leur consentement.

Cette manière de « se mettre en conformité » avec le RGPD est donc déclarée hors-la-loi par les autorités européennes de protection des données dans une décision rendue le 2 février 20222. L'autorité belge, chef de file de cette décision, condamne l'IAB Europe à 250 000 euros d'amende,et lui enjoint de réorganiser sa méthode de recueil de consentement, et d'effacer toutes les données recueillies par cette méthode.

En d'autres termes, les autorités administratives européennes remettent en cause l'un des grands aspirateurs à données dont se servent les annonceurs pour vendre des encarts publicitaires sur internet.

L'IAB réfute pour sa part toute « illégalité » de ses pratiques dans un document publié en réaction à la décision du 2 février. Elle estime que les opérations de Real-Time Bidding, ou les méthodes de collecte de données3 ne sont pas remises en cause. Rédigé à l'intention de ses membres, il a pour but manifeste de rassurer les annonceurs en leur promettant que rien ne change réellement, ce qui est pour le moins douteux.

En obligeant l' IAB à se mettre en conformité dans un délai de six mois, sous peine d'une astreinte de 5 000 euros par jour, cette décision veut contraindre les acteurs du numérique à entamer une refonte complète de leur méthode de recueil de consentement.

Le loobby de l'IAB a déjà annoncé qu'il fera appel4 de la décision du 2 février auprès du Tribunal de Commerce belge, suspendant la décision jusqu'au délibéré.

  • Ce qui change avec la décision

Si cette décision s'avère importante, c'est d'abord parce qu'elle a une portée symbolique très forte : prise par l'ensemble des autorités européennes, elle signifie la volonté d'appliquer le RGPD de manière systématique en s'attaquant au modèle dominant de recueil du consentement lors de la navigation sur le web.

L'autorité belge l'affirme : les internautes ne disposant pas d'une connaissance suffisante, ni d'une possibilité réelle de consentir à cet usage de leurs données, leur vente en temps réel est donc contraire au RGPD.

Johnny Ryan, de l'Irish Council for Civil Liberties (ICCL)5 est parmi ceux qui ont lancé le mouvement en déposant plainte dès 2019. Il affirmait que ces plate-formes de consentement et la mise aux enchères de données personnelles était une violation flagrante du RGPD. Dans le communiqué publié par l'ICCL le 2 février, cette méthode est présentée comme du « spam qui a, en fait, privé des centaines de millions d'Européens de leurs droits fondamentaux »6.

Cette bataille juridique a des conséquences concrètes pour les internautes : elle déterminera comment il conviendra à l'avenir de les informer de qui recueille leurs informations et à quelles fins.

  • L'appropriation des données, objet de lutte entre les GAFAM

Pour rappel, lorsqu' Apple a décidé d'implémenter une politique dénommée « App Tracking Transparency », forçant les applications sur iOS à demander l'autorisation de pister l'utilisateur sur d'autres applications, Facebook avait menacé d'attaquer en justice.

Devenue "Meta" depuis, la compagnie a dévissé en bourse le 3 février : son action a perdu un tiers de sa valeur, passant de 323 à 240 dollars en une journée, soit perdu environ 230 milliards de dollars de valeur boursière. L'une des raisons avancées : elle a estimé à 10 milliards de dollars7 les pertes liées au changement de politique d'Apple.

Apple n'est pas en reste. L'entreprise est accusée de dissimuler un autre type de traçage, dit IDFA (« Identifier for Advertisers ») ce qui a donné lieu à une plainte par l'association None Of Your Business8,auprès de l'autorité de protection des données berlinoise en novembre 2020.

Une autre plainte a été déposée en mars 2021 auprès de la CNIL par France Digitale, un lobby regroupant plus d'un millier d'acteurs du numérique en France. Là encore, Apple est accusé de faire de la concurrence déloyale, en utilisant les données de ses utilisateurs à des fins publicitaires de manière dissimulée.

Le combat pour la maîtrise des données et de la vie privée des internautes ne fait que commencer.

Addendum : depuis le 26 février, la page d'accueil de Facebook a changé son bandeau de consentement, qui semble (enfin) respecter les exigences de la Cnil

1https://www.cnil.fr/en/cookies-sanction-de-60-millions-deuros-lencontre-de-facebook-ireland-limited

2https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-21-2022-english.pdf

3https://iabeurope.eu/wp-content/uploads/2022/02/APD-Decision-FAQ-v2-1.pdf

4https://iabeurope.eu/all-news/iab-europe-to-appeal-belgian-data-protection-authority-ruling/

5L'ICCL est une ONG irlandaise défendant les droits humains et les libertés civiles.

6https://www.iccl.ie/news/gdpr-enforcer-rules-that-iab-europes-consent-popups-are-unlawful/

7https://www.wsj.com/articles/facebook-feels-10-billion-sting-from-apples-privacy-push-11643898139?mod=article_inline

8https://noyb.eu/en/noyb-files-complaints-against-apples-tracking-code-idfa

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Bienvenue dans le Club de Mediapart

Tout·e abonné·e à Mediapart dispose d’un blog et peut exercer sa liberté d’expression dans le respect de notre charte de participation.

Les textes ne sont ni validés, ni modérés en amont de leur publication.

Voir notre charte

À la Une de Mediapart

Journal — Exécutif
Retraites, chômage, énergie : Macron attaque sur tous les fronts
Le président de la République souhaite mener à bien plusieurs chantiers d’ici à la fin de l’année : retraites, chômage, énergies renouvelables, loi sur la sécurité, débat sur l’immigration… Une stratégie risquée, qui divise ses soutiens.
par Ilyes Ramdani
Journal
La Cnil saisie d’un recours collectif contre la « technopolice »
La Quadrature du Net a recueilli les mandats de 15 248 personnes pour déposer trois plaintes contre les principaux outils de surveillance policière déployés un peu partout en France. Elle demande notamment le démantèlement de la vidéosurveillance et l’interdiction de la reconnaissance faciale. 
par Jérôme Hourdeaux
Journal — Santé
Soins non conventionnels : « Les patients ont une spiritualité, une part d’irrationnel »
Parmi les soins non conventionnels, au très large public, il y a de tout : certains ont trouvé une place auprès de la médecine traditionnelle, d’autres relèvent de la dérive sectaire. Le chercheur Bruno Falissard, qui a évalué certaines de ces pratiques, donne quelques clés pour s’y retrouver. 
par Caroline Coq-Chodorge
Journal
« L’esprit critique » cinéma : luxe, érotisme et maternité
Notre podcast culturel débat des films « Sans filtre » de Ruben Östlund, « Les Enfants des autres » de Rebecca Zlotowski et « Feu follet » de João Pedro Rodrigues.
par Joseph Confavreux

La sélection du Club

Billet de blog
L’éolien en mer menacerait la biodiversité ?
La revue Reporterre (par ailleurs fort recommandable) publiait en novembre 2021 un article auquel j’emprunte ici le titre, mais transposé sous forme interrogative … car quelques unes de ses affirmations font problème.
par jeanpaulcoste
Billet de blog
Les sulfureuses éoliennes de la baie de Saint-Brieuc en débat
[Rediffusion] A l’initiative d’Ensemble ! deux débats ont été organisés les 24 et 25 septembre autour du projet de parc éolien dans la baie de Saint-Brieuc. En voici le compte rendu vidéo, avec mon intervention, présentant mes enquêtes sur Mediapart, et les prises de parole de Katherine Poujol (responsable de l’association « Gardez les caps !) ou encore de Lamya Essemlali (présidente de Sea Shepherd France).
par Laurent Mauduit
Billet de blog
Le gigantisme des installations éoliennes offshore en Loire Atlantique et en Morbihan
Un petit tour sur les chemins côtiers en Loire Atlantique et en Morbihan pour décrire et témoigner du gigantisme de ces installations offshores, de la réalité de l'impact visuel, et de quelques réactions locales.
par sylvainpaulB
Billet de blog
Éolien : vents contraires !
[Rediffusion] Mal aimées parmi les énergies renouvelables, les éoliennes concentrent toutes les critiques. La région Provence Alpes-Côte d'Azur les boycotte en bloc sans construire d'alternatives au « modèle » industriel. le Ravi, le journal régional pas pareil en Paca, publie une « grosse enquête » qui ne manque pas de souffle...
par Le Ravi