Copenhague. Cookiebot, une compagnie danoise qui offre des services de mise en conformité des sites aux régulations applicables en matière de vie privée, a rendue publique une étude (2) qui révèle que 89% des sites officiels des États-membres de l’UE, et 82% des sites de l’Union Européenne contiennent des traceurs. Les sites internet des services nationaux de santé ne sont pas épargnés : alors qu’ils sont exposés à des exigences particulières du fait du caractère sensible des données de leurs utilisateurs, plus de la moitié d’entre eux permettent que cette information soit collectée par des tierces parties.

Malgré la portée de ces révélations, cette étude, élaborée en collaboration avec EDRi, une influente association de défense des droits en ligne au niveau européen, n’a jusqu’à présent été reprise que par la presse spécialisée, à de rares exceptions près.

Le message principal de ce document n’est pas que les autorités publiques cherchent délibérément à collecter cette information pour leur propre usage : c’est bien davantage leur négligence, voire leur méconnaissance du fonctionnement du système de suivi des internautes en ligne, qui sont pointées du doigt.

D’un point de vue technique, ces données sont captées par le biais d’éléments que les administrateurs peuvent ajouter gratuitement à leur site pour proposer de plus nombreux services ou contenus à leurs utilisateurs, comme une section de commentaires, une vidéo insérée par le moyen de YouTube ou, plus fréquent encore, un bouton qui permet de partager une information en un clic sur les réseaux sociaux. Grâce à ces « chevaux de Troie », ces tierces parties sont capables de placer des cookies et donc de recueillir des informations sur les personnes qui transitent sur la page en question, qu’elles fassent ou non usage de ces fonctionnalités.

L’étude pointe les deux raisons principales pour lesquelles ces pratiques sont problématiques : d’une part, elles participent de cette collecte massive de données personnelles à des fins de profilage par les grandes compagnies privées qui s’en sont fait une spécialité – Google et ses filiales en tête. Ces données s’ajoutent à celles, déjà massives, qu’elles détiennent sur les utilisateurs grâce aux services qu’elles offrent par ailleurs. D’autre part, en plus de ces acteurs bien connus du grand public, c’est aussi une multitude de compagnies (cookiebot en a recensé 112) qui tirent bénéfice de cette intrusion : elles regroupent ces données pour les monétiser en les vendant, triées et structurées, à d’autres acteurs à la recherche de profils particuliers à cibler.

Certes, ces pratiques ne sont absolument pas nouvelles, mais elles sont censées être strictement encadrées par l’Union Européenne et ses membres qui se font fort de porter des règles hautement protectrices de la vie privée, comme le RGPD (3) ou la Directive e-Privacy. Cette dernière, adoptée en 2002, est appelée à être remplacée prochainement par un règlement plus ambitieux et adapté aux réalités d’aujourd’hui (1).

Il est donc pour le moins paradoxal que ces mêmes instances publiques soient elles-mêmes en porte-à-faux avec ces règles, alors qu’elles ont durci le ton vis-à-vis d’un secteur économique dont les abus en matière de vie privée ne sont plus à démontrer.

Bien que la France ait tenu à montrer sa volonté de mettre en œuvre le RGPD de façon volontaire et déterminée, notamment par le biais de la CNIL, c’est le pays dans lequel le plus grand nombre de compagnies – 52 – sont capables de collecter les données des personnes qui consultent des sites gouvernementaux.

Outre les questions soulevées en matière juridique et les conséquences pratiques pour les citoyens, c’est aussi une question de légitimité : s’ils prétendent réguler le secteur du numérique, l’Union Européenne et ses membres ont une obligation d’exemplarité.

Perspectives

  • Contactée par nos soins, la CNIL n’a pas souhaité se prononcer sur le sujet mais devrait prochainement faire connaître sa position. Espérons qu’une réaction commune des régulateurs européens sera également portée par le Comité Européen de Protection des Données qui les réunit.
  • Le projet de Règlement e-Privacy figurera en bonne place à l’ordre du jour de la réunion le 7 juin du Conseil de l’UE dans sa formation « Transports, télécommunications et énergie », pour tenter de donner une dynamique à ce texte dont la durée des négociations s’est étendue bien plus que prévu initialement. La tendance semble cependant pointer vers l’affaiblissement des règles prévues dans la mouture initiale (2).

Sources

  1. Commission Européenne, Proposition de Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, janvier 2017.
  2. Cookiebot, New report: Hidden tracking of citizens on EU government and health sector websites, mars 2019.
  3. Union Européenne, Règlement général sur la protection des données, avril 2016.

Barthélémy Michalon