Transparence et cookies : le mouchard dévoilé

Les cookies ou ce besoin de transparence et d'information.

Les cookies sont des fichiers texte déposés sur le disque dur de l'internaute par le serveur visité. Ils permettent d'enregistrer chacun des sites que l'internaute parcourt, et les recherches qu'il effectue. Les cookies sont souvent critiqués pour l'usage excessif qu'en font les régies publicitaires, qui créent à partir de ces "mouchards" une base de données qui recense l'historique de la navigation de l'internaute afin d'afficher une publicité collant au plus près de ses centres d'intérêt et de faire des propositions commerciales ciblées. Les cookies représentent un enjeu commercial majeur. Selon des données fournies par Google, le marché français de la publicité sur Internet est estimé à 2,26 milliards d'euros, la moitié reposant sur l'utilisation de cookies.

Aujourd'hui, les cookies ne sont régis que par les dispositions relatives aux données personnelles (loi du 6 janvier 1978 - La CNIL considère que les cookies contiennent pour la plupart des informations personnelles devant faire l'objet d'une déclaration préalable, et que la personne doit être informée que des informations sont collectées) et par la Directive vie privée et communications électroniques 2002/58/CE du 12 juillet 2002 qui conditionne l'usage des cookies à des fins de « publicité comportementale » au consentement explicite de l'internaute. Cette directive demeure très mal appliquée en Europe (Avis du G29 de 2010).

L'ENISA, l'agence européenne de sécurité des réseaux et de l'information, a récemment pris position sur les cookies de nouvelle génération (« Bittersweet cookies. Some security and privacy considerations » - 2 fév. 2011) qui « sous la direction des industriels de la publicité, ont été utilisés à d'autres fins : gestion publicitaire, profilage, tracking, etc. ». Afin de minimiser leurs effets sur la protection de la vie privée et de favoriser la transparence, l'agence fournit, entre autres, les recommandations suivantes : (i) le consentement éclairé de l'internaute doit servir de guide à la conception des systèmes utilisant des cookies; (ii) les utilisateurs doivent avoir la possibilité de gérer aisément les cookies et en particulier les nouveaux types de cookies.

À ce titre, tous les cookies doivent inclure des mécanismes de retrait faciles à comprendre et à utiliser par tout utilisateur ; (iii) le stockage de cookies en dehors du contrôle des navigateurs doit être limité ou interdit et (iv) une autre voie de service doit être fournie aux utilisateurs qui n'acceptent pas les cookies. Ce dernier point sera difficilement accepté par les services en ligne et les annonceurs car actuellement de nombreux services Web refusent la connexion des utilisateurs en cas de blocage des cookies.

Ces recommandations ne resteront pas lettre morte. En effet, des changements sont en cours : la directive 2009/136/CE du 25 novembre 2009 modifie la directive du 12 juillet 2002 et doit être transposée en droit interne avant le 25 mai 2011. C'est pourquoi le gouvernement a annoncé ces dernières semaines qu'il allait encadrer l'usage des cookies sur Internet. Ce nouvel encadrement se traduira par l'obligation d'informer l'internaute sur l'usage exact du cookie et de lui demander l'autorisation d'installation au préalable.

Concrètement, les sites et régies publicitaires seront dans l'obligation d'informer l'internaute sur la finalité du cookie et de demander son accord préalable avant de le déposer sur son ordinateur (par exemple en cliquant sur une fenêtre qui s'affichera). Un tel processus, selon Jérôme de Labriffe, président du bureau de promotion de la communication interactive IAB France, interrogé par l'AFP « frise l'aberration totale ». Bien qu'il accepte « le principe de donner la main à l'utilisateur », il indique qu' « imposer une restriction très contraignante sur les cookies est quasiment inapplicable: ça va devenir ingérable de devoir lui demander son assentiment à chaque fois qu'il ouvre une page ! ». Conformément à ce que préconise l'ENISA, les cookies concernés seront ceux qui conservent les données personnelles des internautes, et non ceux servant à faciliter la navigation (comme ceux par exemple conservant l'identifiant et le mot de passe de l'utilisateur lui évitant de réitérer son enregistrement à chaque connexion).

Plusieurs sociétés travaillent déjà depuis un moment sur le sujet telles que Mozilla, Google et plus récemment Microsoft avec la technologie « Do not Track » offrant une option aux internautes qui ne souhaitent pas que les sites visités utilisent certaines données pour de la publicité comportementale. Le mouvement est donc en marche et l'enjeu à la hauteur des efforts demandés comme l'a déclaré le directeur de l'ENISA : « De nombreux efforts sont nécessaires pour rendre ces cookies de nouvelle génération aussi transparents et contrôlables par l'utilisateur que les cookies HTTP ordinaires, en vue de sauvegarder les aspects liés à la vie privée et à la sécurité aussi bien des consommateurs que des entreprises ».