Lutter contre le pistage de nos comportements en ligne : la question des cookies, six mois après le RGPD

Rédigé par antistress le 21 novembre 2018 (mis à jour le 25 avril 2020) - 8 commentaires

Quelques délicieux cookies posés là

J'ai essayé de jouer le jeu.

Promis, j'ai vraiment essayé.

Quoi donc ? Eh bien, de me débarrasser des cookies pisteurs en paramétrant les choix offerts par les sites depuis le RGPD.

Spoiler : Ça ne marche pas.

Avant le RGPD

Avant le RGPD, j'utilisais l'extension libre Cookie AutoDelete pour Firefox.

Cette extension permet notamment de programmer l'effacement régulier des cookies tout en « sacralisant » au cas par cas des cookies qui se trouvent ainsi protégés de l'effacement (tels ceux qui vous permettent de rester identifié auprès du site sur lequel vous avez ouvert un compte).

Un premier inconvénient de cette extension, toutefois, est qu'elle tend à placer l'utilisateur dans la situation laborieuse de devoir « gérer » ses cookies.

Le deuxième inconvénient de cette extension allait se révéler avec l'entrée en vigueur du RGPD.

Après le RGPD

Depuis l'entrée en vigueur du RGPD, je suis passé par trois étapes successives :

Étape 1 — Cachez ces bandeaux que je ne saurai voir

Je me suis vite rendu compte que j'allais être confronté perpétuellement aux mêmes bandeaux me demandant d’accepter d'être pisté : en effet, mes choix en la matière étaient régulièrement effacés en même temps que les cookies du site (par la grâce de l'extension Cookie AutoDelete sus-évoquée, les choix en matière de cookies étant stockés...dans des cookies !). Bref, j'allais revivre encore et encore le Jour de la marmotte.

Pour régler ce problème, je me suis tourné vers l'extension libre pour Firefox I don't care about cookies qui supprime purement et simplement l'affichage de tous ces bandeaux de demande de consentement.

Mais, du coup, me voici avec deux extensions au lieu d'une pour tenter de juguler le pistage par les cookies. Cela commence un peu à faire usine à gaz, sans compter que je passe à côté des bénéfices juridiques du RGPD tout de même !

Étape 2 — J'ai une idée : et si je me servais de mes nouveaux droits conférés par le RGPD ?

Pour qu'un site puisse procéder à un traitement de données qui vous sont personnelles, le RGPD impose dorénavant que vous ayez préalablement donné votre consentement, et que celui-ci soit libre, spécifique, éclairé et univoque.

Au titre du caractère nécessairement libre du consentement (= le premier des quatre critères posés ci-dessus), la CNIL précise que votre consentement ne doit pas avoir été contraint ni influencé : il faut que vous ait été offert un choix réel, c'est-à-dire que vous n'ayez à subir aucune conséquence négative en cas de refus.

Concrètement, si l'utilisateur d'un site refuse d'être pisté, il doit quand même pouvoir accéder au site et à ses services. Et du coup, si le site affiche de la publicité, ni le titulaire du site ni ses partenaires d'affaire ne pourront l'ajuster à la personnalité de l'utilisateur.

Bingo : il me suffit donc dorénavant de me saisir une fois pour toute des choix offerts par chacun des sites que je visite pour exprimer mon refus d'être pisté ! Et je vais même pouvoir alléger mon navigateur de deux extensions !

Alors, euh... comment dire ? Ça n'a pas été aussi simple.

Le quotidien de l'utilisateur qui souhaite exprimer son refus d'être pisté est celui des sites conçus pour noyer l'utilisateur, des hyperliens qui n'aboutissent pas, des sites qui demandent à leur utilisateur de se rendre sur les sites de chacun de leurs partenaires d'affaire pour y opposer son refus d'être pisté, des sites conçus pour induire l'utilisateur en erreur dans ses choix, des pages techniques entières rédigées en anglais... (quelques exemples concrets ici).

Malgré ma formation de juriste et mon entrain à me lancer dans la bataille, j'ai dû renoncer devant la difficulté – et parfois l'impossibilité – de la tâche.

Mise à jour : Je ne suis pas le seul à le dire, le 21/01/19 la CNIL vient de sanctionner Google notamment sur ce point :
Un manquement aux obligations de transparence et d’information.
Tout d’abord, la formation restreinte relève que les informations fournies par GOOGLE ne sont pas aisément accessibles pour les utilisateurs.
En effet, l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.

Même si je reste optimiste pour l'avenir (à présent que l'Union européenne s'est saisie de la question, l'étau va peu à peu se resserrer sur les titulaires de sites et services en ligne de manière à assurer une protection effective des particuliers), il me faut revenir pour le moment à une solution plus technique que juridique pour limiter le pistage de mes comportements en ligne par les cookies.

Étape 3 — Changement de paradigme : plus de cookies !

Vous avez peut-être remarqué que Firefox s'est récemment doté d'options fines en la matière, permettant à l'utilisateur de choisir par exemple de bloquer tous les cookies tiers ou seulement les cookies qui servent à le pister (certes, l'écran de paramétrage, peu compréhensible en l'état, mérite d'être revu, je vous l'accorde).

Cela m'a donné l'idée d'aller encore plus loin : plutôt que de devoir gérer le sort des cookies déposés dans mon navigateur au fur et à mesure de ma navigation (comme je le faisais avec Cookie AutoDelete), si j’interdisais plutôt le dépôt de tout cookie dans mon navigateur ?

Firefox permet cela, et même de créer des exceptions site par site. Mais l'interface, qui exige de passer à chaque fois par différents menus, est malcommode.

C'est là qu'intervient l'extension libre CookieMaster pour Firefox. Je l'ai configurée de manière à interdire par défaut le dépôt de tout cookie (qu'il provienne d'un site tiers ou même du site visité). L'extension offre alors un accès direct (au moyen d'un bouton sur la barre d'outils) pour autoriser, au cas par cas, tel ou tel site à déposer des cookies.

J'avoue qu'à ma grande surprise, passé quelques jours, je n'ai autorisé que très peu de sites (ce qui réduit de fait la gestion des cookies au maximum) : ceux pour lesquels j'ai ouvert un compte, afin de ne pas avoir à m'identifier à chaque fois (actuellement : Wikipédia, LinuxFr.org, Firefox Add-ons, le forum HardWare.fr, mon blogue) – il me manque sûrement une petite poignée de sites que j'ajouterai au fur et à mesure de mes pérégrinations. Il faut noter cependant que j'utilise différents profils pour ma navigation, et que je n'ai pour l'instant interdit les cookies par défaut que sur mon profil principal, qui me sert à butiner de l'information (et pas à gérer mes comptes, par exemple). Quoi qu'il en soit, pour cet usage, je n'ai rencontré aucun site dysfonctionnel avec ce paramétrage.

Enfin, si vous optez pour cette façon de faire, vous ne pourrez pas faire l'économie d'installer l'extension libre pour Firefox I don't care about cookies dont nous parlions plus haut, sous peine de devenir fou.

Les cookies ne sont hélas pas le seul moyen de vous pister. Dans cette thématique, d'autres contre-mesures techniques vous sont proposées dans les billets suivants, comme de bloquer au maximum les requêtes vers des sites tiers.

Table des matières de cette série de billets dédiée à la protection contre le pistage de nos comportements en ligne :

8 commentaires

#1  - Alain Quéméneur a dit :

Article très intéressant. Merci. Je ne connaissais pas Cookiemaster, je vais l'essayer.

Répondre
#2  - Olivier-Jean Rigaud a dit :

Bonjour,

"C'est là qu'intervient l'extension libre CookieMaster pour Firefox. Je l'ai configurée de manière à interdire par défaut le dépôt de tout cookie (qu'il provienne d'un site tiers ou même du site visité)."

Comment configurer pour interdire le dépôt de cookie du site visité. Dans les réglages je vois bien pour les cookies tiers, mais pas les autres.

Merci.

Répondre
#3  - antistress a dit :

Salut,
En fait c'est le comportement par défaut de l'extension : les cookies du site visité sont bloqués par défaut ;)

"For first-party cookies, CookieMaster assumes that if you haven't explicitly allowed them, then they should be blocked. If you want cookies for that site, you need to interact with CookieMaster to tell it so."

A plus

Répondre
#4  - Olivier-Jean Rigaud a dit :

Merci.

Répondre
#5  - Djan a dit :

Pour l'instant je recommande la gestion des cookie via Cookie Autodelete mais je vais peut-être changer ma façon de faire les choses.
À ce titre j’intégrerais sûrement l'extension que tu propose dans une prochaine version de mon tuto «Protéger sa navigation sous Firefox» https://www.djan-gicquel.fr/proteger-sa-navigation-sous-firefox

Répondre
#6  - Loïc a dit :

Le top de l'anti cookies, c'est l'extension Temporary Containers de Firefox. Combinée à Firefox Multi Account Containers, elle crée un nouveau container pour chaque page web. Et ça permet de détruire le container complet quelques minutes après avoir fermé la page. C'est comme Cookie Autodelete mais en largement plus costaud.
Ça permet ainsi d'isoler les cookies entre les pages, l'historique de navigation en javascript. Bref tout est isolé par des containers Firefox sans trop d'effort. Quelques rares pages sont incompatibles mais dans l'ensemble, c'est top.

Répondre
#7  - Loz a dit :

« des pages techniques entières rédigées en anglais... »
Ha Ha ! Dès que je veux refuser ses cookies, Yahoo me parle en Allemand...

Répondre
#8  - antistress a dit :

J'espère que ce n'est pas leur façon de forcer le consentement…

Répondre

Fil RSS des commentaires de cet article

Écrire un commentaire

NB : en publiant votre commentaire, vous acceptez qu'il soit placé sous la licence CC BY-SA comme indiqué aux conditions d'utilisation du site

Quelle est le troisième caractère du mot zgnhj3 ?