Les traceurs sur internet
De tous les types de traceurs sur internet - comme les empreintes numériques (Fingerprinting) du navigateur de l'internaute, servant à l'identifier lors de prochaines connexions, les adwares ou publiciels (via les mails) - les cookies restent les plus connus et utilisés.
Selon une définition de la Commission nationale informatique et libertés (CNIL), un cookie est "un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéos connectée à Internet, etc.)".
Il existe différents types de cookies:
- les cookies "internes", définis par un éditeur de site web, nécessaires au fonctionnement élémentaire d'un site web
- les cookies d'analyse ou cookies statistiques - généralement des "cookies tiers" (placés par des prestataires externes) qui ont pour but d'enregistrer les comportements des internautes
- enfin, les cookies marketing ou publicitaires - outils essentiels, souvent tiers, utilisés pour le ciblage publicitaire et permettant le suivi des consommateurs
Mode d'emploi du ciblage publicitaire sur internet à l'aide des traceurs
1. Des cookies sont déposés sur des sites de e-commerce, sur des plateformes ou réseaux sociaux pour collecter un maximum de données d'un internaute et dresser son profil.
Ces données portent en particulier sur les connexions de l'individu (leur fréquence, les sites consultés, opérations effectuées, nombre et heure de connexion sur des plateformes ou réseaux sociaux...), ses centres d'intérêt et sur son comportement en tant que consommateur. Sont même enregistrés le temps que l'utilisateur s'attarde sur un site web, la vitesse à laquelle il défile une page et ses mouvements de souris !
2. Toutes ces données sont analysées et classées. Puis, elles sont revendues aux annonceurs, qui sont les personnes qui souhaitent voir afficher les publicités de leurs produits ou services sur des espaces publicitaires, détenus par les éditeurs des sites web.
3. Les annonceurs fixent des objectifs, leur budget marketing et le public ciblé pour les produits qu'ils veulent vendre. Ils déterminent également les plateformes sur lesquelles il souhaitent que les publicités s'affichent (réseaux sociaux, applications mobiles, moteurs de recherche...)
4. Lorsque l'internaute se connecte sur ces plateformes ou sur le site internet, il reçoit en instantané une publicité ciblée
Le système des enchères en temps réel
L'ancêtre de la publicité ciblée, la publicité "contextuelle" se basait sur une analyse de pages web pour sélectionner les publicités adéquates à leur contenu. Puis, elle est devenue "ciblée", notamment avec le perfectionnement des outils de tracking et l'arrivée du système des enchères en temps réel, en anglais Real-time Binding (RTB).
Sans rentrer dans le détail de ce système complexe, on peut retenir que ce dernier permet de mettre en relation les annonceurs avec les espaces publicitaires des éditeurs, ou "impressions". Lorsqu'un internaute clique sur une page web, ses informations sont envoyées à des régies publicitaires. Ces dernières enchérissent pour le compte de leurs annonceurs. Puis, l'un de ces annonceurs sera sélectionné selon divers critères, compte tenu notamment de ses objectifs, du budget investi ou de la publicité qu'il propose. Par exemple, l'annonceur choisi sera celui dont la publicité sera la plus adéquate au profil du consommateur. Pour finir, cet annonceur pourra envoyer son contenu publicitaire, qui sera affiché à l'internaute dans l'espace dédié du site.
Il est important de noter que toutes ces étapes sont effectuées dans un délai très court (inférieur à 100 ms), correspondant au chargement de la page internet et que les publicités affichées varient selon l'internaute.
Le RTB fait également intervenir une multitude d'acteurs intermédiaires qui proposent des technologies de plus en plus sophistiquées de ciblage des internautes, et ce quelque soit le support : ordinateur, tablette, mobile... Il peut s'agir de sociétés spécialisées dans le ciblage publicitaire en ligne ou d'autres entreprises du numérique. Ainsi, Google et Facebook sont aujourd'hui les deux acteurs incontournables du secteur de la publicité digitale. Ils représenteraient plus de 75 % du marché français.
Cela peut s'expliquer notamment par :
- la quantité importante de données précises qu'ils détiennent sur les internautes (voir le dossier sur le ciblage des réseaux sociaux et les autres plateformes numériques)
- le fait que leur plateforme propose des espaces publicitaires intéressants pour les annonceurs en raison de leur forte audience
Les cookies, boudés par les Français ?
Selon une étude réalisée par l'IFOP en décembre 2019, sur 1000 Français, 95% savent ce que sont les cookies et 67% peuvent en donner une définition précise. Toutefois, les personnes interrogées expriment un besoin de transparence et de contrôle : 90% souhaitent connaître la liste des entreprises traitant leurs données.
De plus, alors que 70% des sondés trouvent indispensable de demander leur accord avant toute collecte de données, plus de 65% des personnes ne jugent pas efficaces les demandes d'autorisation et estiment qu'elles ne règlent pas les risques inhérents à la protection de leur vie privée.
Cela s'explique notamment par le fait qu'il y existe encore des sites internet qui bloquent l'accès aux internautes qui refusent les cookies. Pour les autres sites, soit les internautes ne savent pas vraiment comment refuser les traceurs, soit ils considèrent cette action pénible et ne prennent pas toujours le temps de le faire... La notion d'acceptation des traceurs perd alors tout intérêt.
Cette étude a été réalisée dans le cadre de la consultation publique des professionnels et internaute, à l'initiative de la CNIL.
Une modernisation de l'approche de la CNIL vis-à-vis des traceurs
Depuis un peu moins d'un an, la CNIL s'est lancée dans un projet de mise à jour des règles relatives aux traceurs sur internet. Elle souhaite abroger ses recommandations de 2013 et adapter toutes les règles applicables au ciblage publicitaire en assimilant les nouveaux principes posés par le RGPD et la LIL.
Le 28 août 2019, la CNIL a mis en place un plan d'action sur le ciblage publicitaire. Puis, le 4 février 2019, elle a publié une Délibération n°2019-093 dans laquelle on peut lire deux principales nouveautés :
1- La simple poursuite de la navigation sur un site ne pourra plus être considérée comme l'expression d'un consentement valide aux traceurs.
En effet, le RGPD insiste sur le fait que toute collecte des données par les traceurs doit être précédée d'un recueil de consentement « clair, spécifique, éclairé et univoque par une déclaration ou par un acte positif » (article 2 de la délibération). L'article ajoute également que « la pratique qui consiste à bloquer l'accès à un site web ou une application mobile pour qui ne consent pas à être suivi ("cookie walls") n'est pas conforme au RGPD ». De plus, le consentement doit être donné « de façon indépendante et spécifique pour chaque finalité distincte » et indique que « l'utilisation de cases pré-cochées, tout comme l'acceptation globale de conditions générales d'utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement. »
De même, le consentement ne sera pas considéré comme éclairé si l'internaute n'a pas été correctement informé au préalable. Cette information, « complète et visible », « doit être rédigée en termes simples et compréhensibles pour tous ».
Les autres articles donnent notamment des informations sur la responsabilité et le rôle des acteurs.
2- De plus, les opérateurs qui exploitent les traceurs doivent désormais pouvoir prouver à tout moment qu'ils ont bien informé les internautes et qu'ils ont recueilli leur consentement en bonne et due forme.
Le 14 janvier 2020, la CNIL a proposé un projet de recommandations portant sur les modalités pratiques de recueil du consentement de l'internaute, en tenant compte des résultats de la consultation publique. Le projet final devait être adopté en avril 2020 mais il sera reporté ultérieurement en raison de la crise sanitaire du Covid-19. Une fois les nouvelles recommandations publiées, la CNIL accordera une période d'adaptation de six mois aux acteurs concernés pour intégrer les nouvelles règles.
De ce fait, la CNIL devance l'Union européenne qui justement travaille sur la modernisation de la Directive vie privée et communications électronique de 2002, modifiée en 2009. Cette directive fixe les règles relatives notamment à la sécurité des réseaux et services, mais aussi à la confidentialité des communications et usages de traceurs sur internet.
Une modernisation des règles européennes ?
L'objectif du futur Règlement e-Privacy serait de renforcer la protection de la vie privée des internautes, tout en développant le marché unique numérique.
Toutefois, pour le moment, nous n'avons qu'une proposition de Règlement du 10 janvier 2017. Celle-ci a d'ailleurs été critiquée dans une lettre ouverte en mai 2017 par 33 éditeurs de la presse européenne, dont les quotidiens Le Monde, Le Figaro, Les Échos, Libération, Le Parisien, La Croix, L’Équipe et l'Humanité. Ces derniers estiment qu'en « privant les éditeurs de presse de proposer des publicités ciblées à leurs lecteurs, ePrivacy favorise la réorientation des annonceurs publicitaires de la presse vers les plateformes numériques dominantes, et diminue donc l’investissement possible dans le journalisme de qualité ». Ils déplorent aussi « une concentration des données des citoyens numériques européens aux mains de quelques entreprises mondiales ».
Puis, en janvier 2018, c'est le Conseil général de l'économie, de l'industrie, de l'énergie et des technologies, qui après avoir fait une étude d'impact, estime que "tel qu’il est proposé, le projet de règlement ePrivacy, au-delà du RGPD, risque de renforcer la position des grandes plateformes du Net qui disposent d’utilisateurs réguliers, dont une large part a ouvert un compte. Parallèlement, il risque d’affaiblir les acteurs exploitant des services ou sites qui servent des clients occasionnels."
Le 18 septembre 2019, la présidence finlandaise du Conseil de l'Union européenne a présenté un compromis.
A quoi ressemblera ce nouveau Règlement e-Privacy ? Nous le saurons dans les années à venir.
Conseils et bonnes pratiques
Le ciblage publicitaire au moyen de traceurs fait intervenir de nombreuses données personnelles : des adresses IP, les modèles de téléphones ou ordinateurs, la localisation, la langue utilisée, les habitudes de consommations et le profil qui est dressé sur un consommateur. Par exemple, Google classe les utilisateurs en plusieurs catégories en fonction de l'âge, de la religion, et même de l'état de santé et de l'orientation sexuelle.
Toutefois, Google a annoncé qu'à partir de février 2020, dans une volonté de protection des données personnelles des internautes, les annonceurs n'auront plus accès à ces profils précis mais uniquement aux données "contextuelles" des internautes. Cette décision de suppression progressive de cookies tiers fait certainement suite à l'enquête lancée en mai 2019 par la CNIL irlandaise pour vérifier la conformité au RGPD de sa plateforme de ciblage Ad Exchange. Néanmoins, le géant du numérique ne cache pas sa volonté de remplacer ce système par un autre moyen technologique aussi efficace.
Sur son site, la CNIL a donné quelques conseils pour maîtriser au mieux ses données en limitant les traces sur internet.
Par exemple, sur Firefox (version 71), dans le Menu et l'onglet "Vie privée et sécurité", puis "Protection renforcée contre le pistage", on peut choisir entre trois protections :
- La Protection standard permet de bloquer quelques traceurs lors d'un usage normal de la navigation
- La Protection stricte bloque davantage de traceurs mais peut également bloquer le fonctionnement normal du navigateur sur certaines pages
- Enfin, la protection peut être personnalisée selon nos besoins ou envies
Firefox permet également de télécharger des plugins permettant de supprimer l'enregistrement des cookies. On trouve ces extensions dans l'onglet "Modules complémentaires" du Menu.
La CNIL préconise également d'effacer l'historique des données de navigation.
Enfin, selon un rapport du cabinet eMarketer, en 2018, 30% des internautes français et la moitié des 18-24 ans utilisaient un logiciel ou outils de blocage de publicités, comme par exemple AdBlock ou CyberGhost.