Les pop-ups de consentement aux cookies espions sur le web envahissent les internautes. En Californie, une nouvelle norme permet de poser un choix, une fois pour toutes, pour tous les sites Internet. Et en Belgique?
«Cookies consent», «politique de confidentialité», «personnaliser vos cookies», «traitement de vos données»… Pas une visite sur Internet sans voir surgir ces messages rendus obligatoires par le RGPD, le règlement général européen sur la protection des données, qui permet de «refuser», «paramétrer» ou «accepter tout». Tout? Ces fameux cookies c’est-à-dire des mini-fichiers qui, sur laptops, tablettes, smartphones ou même télés intelligentes, recueillent et stockent automatiquement des informations sur les données personnelles d’utilisateur mais aussi sur l’activité en ligne: donc, non seulement l’adresse IP, des éléments d’identification, les infos de connexion, les mots de passe, la géolocalisation, mais aussi les pages web consultées, les achats en ligne, la langue utilisée, les types d’articles qu’on prend le plus de temps à lire sur le web…
Ces «données utilisateur» que chaque site web visité enregistre rendent la navigation plus agréable car, grâce à elles, ces sites peuvent reconnaître l’internaute, un peu comme le serveur d’un restaurant enregistrerait les préférences de clients habitués. Mais cela pose aussi un problème de vie privée, car des cookies appelés «tiers» permettent à un site autre que celui visité de percer les secrets d’utilisation de l’internaute. C’est à cause de ces cookies tiers que, après une recherche sur la réparation d’une machine à laver, des bannières vantant les atouts du dernier lave-linge Whirlpool ou Miele inondent l’écran. C’est par ces cookies-là que s’opère le ciblage, voire le microciblage publicitaire dont sont friands les entreprises et sites commerciaux. Mais, depuis plusieurs années, le RGPD stipule qu’un site ne peut plus stocker de cookies tiers sans demander le consentement de l’utilisateur.
C’est un progrès en matière de vie privée, mais il faut l’avouer, donner son feu vert pour l’utilisation de ces cookies 20 fois par jour est assez irritant. Et beaucoup d’internautes préfèrent «autoriser tout», sans conditions, par facilité. «A cause de ces pop-ups récurrents fatigants, le RGPD s’est mis dans une drôle de situation, constate Nicolas van Zeebroeck, professeur à la Solvay Business School (ULB) où il enseigne la stratégie numérique. Le mécanisme mis en place par les sites, pour respecter la règle européenne, est finalement un peu vicieux car il pousse l’utilisateur dans une direction qui les arrange. Dès lors, le RGPD ne rencontre pas son objectif. Même si la règle est bonne, l’utilisateur n’a pas les moyens d’exercer son droit de manière simple, claire, univoque.»
Dans le livre qu’il vient de publier (1), l’universitaire évoque un système qui pourrait soulager les internautes du monde entier : le Global Privacy Control (GPC) mis au point en Californie. Avec cette norme GPC, il est possible de choisir une fois pour toutes, via une option ajoutée dans les paramètres de son navigateur, la manière dont ses données sont utilisées et vendues par les sites internet. L’info sera envoyée automatiquement à tous les serveurs consultés qui ne pourront alors pas l’ignorer. La loi californienne oblige d’ailleurs désormais les sites web, les plateformes, les réseaux sociaux, à tenir compte du message unique envoyé par les internautes qui ont choisi d’utiliser le GPC. Les applications mobiles sont concernées, elles aussi. Cependant, tous les navigateurs n’intègrent pas le GPC. Certains, comme Chrome, qui ne disposent pas d’une fonction GPC intégrée, prennent tout de même en charge les extensions GPC.
Si ce système – tellement simple qu’on peut s’étonner qu’il ne soit pas encore plus répandu – devait être rendu obligatoire dans tous les Etats-Unis et de l’autre côté de l’Atlantique, cela risquerait d’être un coup dur pour l’économie numérique. Car on peut imaginer qu’un bon nombre d’internautes refuseraient alors que leurs données soient distribuées à tout vent. Cela commencerait à faire beaucoup. Les GAFAM eux-mêmes ne seraient, par contre, pas si mal pris. «Ils ont déjà adapté leur businesse model pour ne plus vendre les données personnelles des utilisateurs mais des services dérivés de ces données, explique le Pr van Zeebroeck. Un exemple: Google vous profile à partir de vos données personnelles, puis vend ce profil anonymement, sans vos données personnelles. Vous rentrez ainsi dans des catégories anonymes de profils que les annonceurs peuvent acheter pour faire de la publicité ciblée. Les données ne sortent pas du navigateur, mais c’est ce dernier qui fait le profilage. Pour Google qui possède une large part du marché des navigateurs, c’est tout profit.»
Hypocrite ? Oui et non. De plus en plus de portes se retrouvent tout de même fermées. Si un système comme le GPC devenait un standard obligatoire, la vie privée s’en porterait un peu mieux, puisqu’il ne serait plus nécessaire de stocker à distance d’énormes volumes de données indiscrètes. Cela éviterait aussi l’apparition incessante de demandes de consentement aux cookies. Bref, la possibilité pour les utilisateurs d’exercer leur libre-arbitre serait confortée. Mais cela renforcerait la position des GAFAM qui contrôlent les navigateurs du web et les systèmes d’exploitation des PC et smartphones, lesquels deviendraient une espèce de mur pour les données des utilisateurs. «Ces géants numériques y auraient accès, ne pourraient plus les stocker chez eux et encore moins les vendre, mais ils pourraient établir des profils, ce qui les rendrait totalement incontournables pour le ciblage publicitaire», continue van Zeebroeck.
La dernière porte à fermer ne serait-elle pas alors celle du profilage par les GAFAM ? On peut imaginer, via un système du type GPC, que soit imposé un réglage par défaut pour qu’aucune donnée privée ne puisse être exploitée à des fins de profilage. « Là, on flinguerait la publicité ciblée, reconnaît le professeur de Solvay. Il n’est pas certain que l’utilisateur en sorte gagnant. Le discours de GAFAM comme Meta est de dire que, si on n’accepte pas que nos données soient exploitées, alors il faut payer un abonnement pour rester sur Facebook. Fini la gratuité du service. La fin du ciblage et du microciblage publicitaire n’arrangerait pas non plus les petites entreprises et les PME qui ont accès au marché de la pub en ligne grâce au microciblage qui a fait exploser la taille du gâteau publicitaire. Si on en revient à une publicité non ciblée, la taille va se réduire et ne sera plus accessible qu’aux entreprises qui en ont les moyens… » Ce serait une catastrophe pour les millions d’annonceurs dans le monde qui se sont habitués à avoir accès à une micro-audience de niche pour vendre leurs produits ou leurs services.
(1) L’Economie numérique, enjeux et ressorts d’une révolution, par Nicolas van Zeebroeck, éditions de l’Université de Bruxelles, 226 p.