On l’a tous fait : cliquer sur «Accepter tous les cookies» sans réfléchir, par paresse ou parce qu’on ne savait pas comment les refuser. Mais ce petit clic n’est pas si anodin et constitue une porte d’entrée sur notre vie privée.
Les cookies, ce sont des petits fichiers texte qui contiennent des données et qui sont sauvegardés sur notre navigateur par un site web. Ils sont apparus au début des années 1990 – en 1994 précisément – avec les prémices du commerce en ligne, rappelle Vincent Legeleux, expert informatique au sein de la Commission nationale pour la protection des données (CNPD) : «Il s’agissait alors de trouver un système pour sauvegarder un panier ou les données d’un formulaire par exemple, d’enregistrer les préférences de navigation de l’internaute afin de faciliter la navigation.» Ce sont les cookies «essentiels».
Puis il y a eu les autres, qui permettent d’établir des statistiques, peu à peu largement détournés à des fins commerciales, ainsi que l’apparition d’autres traceurs capables de récupérer nos données. «Aujourd’hui, on parle aussi de technologies « finger printed » : même sans déposer un fichier, un site peut nous étudier par divers moyens techniques», indique l’expert.
Des données de plus en plus sensibles
Ces données, de plus en plus développées et sensibles, et utilisées de plus en plus massivement, permettent de faire de la publicité comportementale, c’est-à-dire de proposer une publicité ciblée à l’internaute. «Quatre-vingt-dix-neuf pour cent de la publicité est comportementale», souligne Vincent Legeleux, qui ajoute «l’utilisateur n’a pas toujours conscience des traces qu’il laisse.
En plus, il ignore souvent que ses données sont vendues aux enchères dans le cadre du système « real-time bidding »». Ce processus, qui ne prend que quelques centaines de millisecondes, consiste à mettre aux enchères l’espace publicitaire que possèdent certaines pages web : des acheteurs potentiels peuvent consulter les informations concernant l’internaute puis, en fonction de leur intérêt, décider d’enchérir pour que leur publicité soit affichée dans cet espace.
Publicité ciblée
Si les cookies ne sont pas dangereux par nature (ils ne peuvent pas infecter l’ordinateur avec un virus), les accepter n’est pas sans conséquence : toutes ces traces digitales semées comme le Petit Poucet permettent d’établir un profil détaillé de l’utilisateur, et portent non seulement atteinte à sa vie privée mais peuvent aussi être exploitées à des fins malveillantes. «Quand on accepte tous les cookies, il faut savoir que le site sur lequel on surfe peut savoir quels autres sites ont été précédemment visités, connaître tous les paramètres de notre PC ou téléphone, et même le mouvement de notre souris.» La NSA, ainsi que l’a révélé Edward Snowden, les a par exemple utilisés pour identifier des cibles et surveiller leur navigation.
«La publicité ciblée peut laisser des traces préjudiciables, par exemple au travail», ajoute Vincent Legeleux. Surtout, certains sites vendent nos informations à d’autres sites «partenaires», parfois à des centaines d’entre eux.
Et c’est là que le bât blesse. «Lorsqu’un site n’est pas particulièrement honnête, les données peuvent amener à des spams et des tentatives de fishing. Les mots de passe et d’authentification peuvent être divulgués. Dans un cas extrême, nos données peuvent atterrir auprès d’organisations criminelles. Cela peut aller loin. Le risque est faible, mais il existe. Cependant, il est bien plus dangereux d’ouvrir une pièce jointe que d’accepter les cookies», tempère-t-il.
À une autre échelle, le ciblage peut aussi devenir politique. C’est ce qui s’est passé en 2016 avec le scandale Cambridge Analytica : l’entreprise a utilisé à leur insu les données personnelles de 87 millions d’abonnés à Facebook pour cibler les électeurs indécis lors des élections présidentielles et les manipuler en les exposant à des messages politiques personnalisés, dans le but d’aider Donald Trump à accéder à la Maison-Blanche.
Design trompeur
Face à un tel développement, les premières lois européennes régulatrices sont apparues dès 2005. Jusqu’au règlement général sur la protection des données (RGPD), en 2018, qui impose aux sites web d’informer l’utilisateur de l’existence de cookies et d’obtenir son consentement pour les utiliser.
Cependant, certains sites essaient d’obtenir ce consentement coûte que coûte et les utilisateurs ne peuvent pas accepter ou rejeter librement les cookies en raison de bannières qui prêtent à confusion, à dessein évidemment. «On constate souvent une « torsion » des lignes directrices de consentement», déplore Vincent Legeleux. Ce sont des «dark patterns» ou «deceptive designs» (designs trompeurs) issus des observations psychologiques des mécanismes d’urgence. «Il s’agit d’utiliser une méthode trompeuse pour que les gens consentent à autoriser les cookies.
Par exemple, mettre un minuteur avant d’autoriser l’accès au contenu lorsqu’on accepte uniquement les cookies essentiels, afficher une seule option, écrire en bleu sur du bleu, mettre en évidence un gros bouton « accepter » et un bouton « refuser » peu visible, utiliser des termes que les gens ne comprennent pas, voire changer le vocabulaire, comme « Voulez-vous faire une super expérience? Ou une expérience moyenne? », etc.»
Le RGPD peut sanctionner certains de ces deceptive designs, car ils entrent en contradiction avec la notion de consentement, qui doit être libre et éclairé. «Mais la nouvelle législation sur les services numériques, le DSA (NDLR : adopté l’an dernier), ira encore plus loin pour protéger l’utilisateur», assure Vincent Legeleux.
Alors quelle solution? Si on veut éviter de laisser trop de traces sur internet, il faut évidemment limiter le partage d’informations personnelles, notamment sa localisation, et effacer régulièrement l’historique et les données de navigation, systématiquement lorsqu’on utilise un autre ordinateur que le sien. «Refuser les cookies, ce n’est pas vraiment une solution, car il y a d’autres traceurs, et les cookies servent à quelque chose», modère Vincent Legeleux, qui conseille plutôt de «passer en mode privé ou incognito, pour partir d’une base vierge, de sorte que le site n’aura rien à récupérer. Ou utiliser des navigateurs gratuits spécialisés dans la vie privée».
Avec FireFox il est possible d’effacer tous les cookies à la fermeture et même de gérer les exceptions pour les sites où l’on veut garder les cookies.