[Dossier] Cookies et vie privée

[Générique] L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

[Aeris] Bonjour, je suis Aeris.

[Benjamin] Bonjour, je suis Benjamin Bellamy.

[Aeris] Et bien, bienvenue dans un nouvel épisode de R.D.G.P, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Benjamin] tout un programme et alors de quoi on va parler aujourd'hui Aeris ?

[Aeris] Et bien aujourd'hui on va parler des cookies et des bandocookies. Et donc si jamais vous n'avez pas écouté le podcast d'il y a 15 jours, on vous incite très fortement à y aller parce que les bases qu'on a exposées donc du coup sur le concept du RGPD, vous en a vraiment besoin pour cette édition là.

[Benjamin] Si vous n'avez pas écouté l'épisode de RDGP sur le RGPD…

[Benjamin] Revenez-y et rejoignez-nous quand vous avez fini.

[Aeris] Voilà.

[Benjamin] Si vous n'avez pas écouté l'émission Libre à Vous du 8 octobre 2024, on vous invite également à le faire. J'y ai tenu une chronique de 5 minutes sur les cookies, qui est une très bonne introduction.

[Benjamin] ou si vous avez juste pas le temps d'écouter cet épisode, et bien comme ça en cinq minutes…

[Aeris] vous aurez le résumé. Voilà.

[Benjamin] Alors les cookies, on connaît les gâteaux.

[Benjamin] C'est quoi d'autre ? De quoi on parle ?

[Aeris] Alors les cookies, on parle bien entendu dans l'informatique, en particulier sur Internet. Je pense qu'à peu près tout le monde a entendu parler des cookies, mais pas grand monde ne sait exactement qu'est-ce que c'est. Donc à l'origine ça a été inventé.

[Aeris] Ça existait déjà un peu avant mais ça a été surtout beaucoup utilisé à partir de 94.

[Benjamin] Ça a été popularisé, on va dire.

[Aeris] popularisé en 94 parce que les concepteurs de sites internet en fait avaient un petit problème à l'époque internet et le web en fait est sans mémoire c'est à dire que à chaque fois qu'on fait une requête on repart de zéro et ça embêtait un peu les concepteurs de sites internet parce que bah quand un visiteur avait déjà vu leur site internet il savait pas le dire en fait il savait pas détecter que la personne était déjà venu les voir et donc du coup ils ont décidé

[Aeris] En 94, c'était dans Netscape, le navigateur très ancien navigateur.

[Benjamin] Netscape qui faisait aussi des serveurs hein !

[Aeris] Oui, ils faisaient des serveurs, mais ils avaient surtout un des premiers navigateurs web. Et donc ils se sont dit, on va implémenter les cookies. Donc les cookies, qu'est-ce que c'est ? C'est juste un fichier, en fait. C'est une chaîne de caractère qui est stockée sur votre disque dur. Et le navigateur est très con, et à chaque fois qu'un cookie est déposé, il va le remettre. En fait, à chaque requête que vous allez faire, à chaque contenu que vous allez demander, il va remettre le cookie, en fait, et renvoyer le cookie sur le réseau à destination du serveur qui est en face.

[Benjamin] Donc un cookie, c'est une information qui, moi en tant qu'utilisateur, m'est fournie par le serveur sur lequel je me connecte.

[Benjamin] et cette information qui m'est envoyée par le serveur, mon navigateur va la renvoyer au serveur à chaque fois que je vais demander une nouvelle page, c'est ça ?

[Aeris] C'est ça, c'est exactement ça.

[Benjamin] C'est un peu comme l'analogie que j'avais prise dans l'émission Libre à Vous. C'est un peu comme le ticket qu'on me donne quand je fais la queue à la poste, avec un numéro unique, j'ai le seul.

[Benjamin] et sauf que ce ticket que moi quand je vais à la poste je le présente avant de poser ma première question et puis après on le met à la poubelle, là en fait ça reviendrait à dire que ce numéro unique donc ce cookie à chaque fois que je m'adresse à nouveau à la personne, à chaque fois que je pose une nouvelle question, il faut que je redonne ce numéro sinon on a perdu la mémoire de tout le début de la conversation.

[Aeris] C'est ça, à chaque fois que vous vous parlez, vous présentez votre ticket en disant « c'est bien moi, c'est bien moi », n'oubliez pas le début de la conversation, et comme ça, ça permet de savoir que c'est bien vous, et avoir le contexte de tout ce que vous avez fait avant, puisqu'on est capable de se souvenir de ce qui s'est passé.

[Benjamin] Donc c'est plutôt pas mal en fait ces cookies.

[Aeris] Bah à la base en fait c'était très bien, ça a permis beaucoup de choses…

[Aeris] Le tout premier usage en fait c'était de vérifier si vous étiez déjà venu sur un site internet. Un autre usage qui est apparu ensuite c'était l'authentification. Quand vous connectez un site internet en fait à la base c'était un peu chiant parce que du coup quand vous fermiez votre navigateur ou que vous vous changez, enfin il n'y avait pas d'onglet à l'époque mais quand vous changez de page ou etc. Bah ça perdait l'information que vous étiez déjà venu et que vous étiez authentifié. Donc ils se sont dit on va stocker l'authentification dans un cookie et comme ça si vous revenez sur le site internet

[Benjamin] Donc oui, en clair, je mets mon adresse mail et mon mot de passe.

[Benjamin] on me renvoie un cookie qui va être unique, qui garantit que j'ai donné le bon login et le bon mot de passe. Et si je veux consulter une autre page, par exemple je suis en train de lire mes mails, j'ai lu un mail, j'en lis un deuxième, je renvoie ce cookie qui est unique, qui permet de dire ok c'est bon, lui je le connais.

[Aeris] C'est ça, c'est ça, c'est ça.

[Benjamin] Pas de basket, mais c'est bon, il peut rentrer, je sais qui c'est.

[Aeris] Souvent il y a le numéro de client, etc. Donc du coup on sait, tiens, c'est telle personne qui s'est bien authentifiée. Donc du coup, je suis considéré comme authentifié.

[Benjamin] Et si j'ai fermé mon navigateur, que j'ai éteint mon ordinateur et que je reviens le lendemain pour consulter à nouveau mes emails…

[Aeris] Ça va dépendre de la configuration du site puisque là c'est à discrétion du concepteur du site internet qui peut décider que le cookie est valable une heure, dix minutes, à la fermeture de l'onglet, à la fermeture du navigateur, ou ne se terminera jamais.

[Benjamin] Donc j'ai des cookies éphémères et j'ai des cookies qui vont avoir des durées de vie de un jour, une semaine, six mois.

[Aeris] Six mois, plusieurs années.

[Benjamin] D'accord. Ce qui veut dire que quand je me connecte pour lire mon mail…

[Benjamin] Sur la page de connexion, j'ai une case à cocher qui dit ce souvenir de moi, en fait c'est lié au cookie.

[Aeris] En fait, ça va juste changer la durée de rétention du cookie. Si vous cochez pas la case, globalement ça va être peut-être une heure ou en tout cas la fermeture du navigateur. Et si vous cochez la case, du coup on dit juste « garde le cookie pendant peut-être un an ou deux ans, voire à l'infini ». Et puis comme ça, on perdra jamais l'authentification.

[Benjamin] D'accord, donc en fait si je coche pas la case, quand je ferme mon navigateur, le cookie disparaît et si je le rouvre il va falloir que je me reconnecte, puisque le serveur ne me reconnaît pas. Si par contre j'ai coché la case, au moment où je me connecte, je préviens le serveur qu'il doit me renvoyer un cookie de durée de vie plus longue. Mais c'est bien le serveur qui décide de la durée de vie du cookie.

[Aeris] Ah oui c'est ça, aussi bien la case elle fera rien du tout hein, si c'est mal implémenté bah le cookie durera 10 minutes, vous fermez votre navigateur, ça sera perdu.

[Benjamin] D'accord, donc la case à cocher, elle permet de prévenir le serveur que je suis prêt. Et donc concrètement, ça veut dire que si je suis dans un cyber café…

[Benjamin] Bah je vais pas cocher du coup.

[Aeris] Bah il vaut mieux pas parce que du coup ça veut dire que celui qui peut passer derrière vous, il peut se connecter à votre place comme ça.

[Benjamin] D'accord, donc je coche pas, je ferme le navigateur. Si quelqu'un vient derrière, il pourra pas lire mes mails. Si je suis chez moi sur mon ordinateur personnel.

[Aeris] Bah du coup, vous cochez, et puis du coup, comme ça vous pouvez redémarrer votre PC la nuit, y'aura pas de problème, le lendemain matin vous serez toujours connectés.

[Benjamin] En fait, les cookies rendent des services utiles.

[Aeris] Ah bah oui oui, à la base c'était extrêmement utile. Et après du coup ça a continué à être utilisé. On l'a vu aussi de plus en plus pour la personnalisation des sites internet. Du coup vous pouvez faire de la customisation, par exemple changer la couleur, changer la langue, changer votre fuseau horaire.

[Aeris] Donc les unités, plein d'informations comme ça, peut-être éventuellement un pseudo, même si c'était pas forcément stocké côté serveur, c'est des informations comme ça qui pourraient être stockées dans les cookies. Et comme ça, quand vous relanciez votre page le lendemain, par exemple votre page d'accueil sur un site internet, Orange le faisait à l'époque, du coup vous pouvez sélectionner la page sur laquelle arriver en premier quand vous les alliez sur le site d'Orange. Et du coup vous pouviez avoir directement la page sport ou la page actualité.

[Benjamin] et ça c'était stocké dans le cookie directement.

[Aeris] Et c'était stocké directement dans le cookie.

[Benjamin] Dans les cookies on peut stocker des numéros, des chaînes de caractères et des trucs plus longs, des informations assez longues.

[Aeris] Ah oui oui, alors il y a quand même une limite en taille mais globalement on peut stocker quand même pas mal d'informations et oui on peut stocker tout ce qu'on a envie, c'est juste une chaîne de caractères. Gare et paix ça passera pas quand même, on parle de plutôt quelques milliers de caractères, pas plus que ça. Oui mais on peut faire entrer des informations dedans, il n'y a pas de souci.

[Benjamin] Et donc en conclusion, les cookies c'est super, c'était l'épisode le plus court de R.D.G.P. ou il y a encore d'autres choses à dire ?

[Aeris] Ah non, forcément qu'il n'y a pas que ça. Oui, non, après ça a un peu dégénéré. Parce que du coup, c'est arrivé, forcément, l'humanité dans l'humanité, le marketing et…

[Benjamin] je te sens bien misanthrope.

[Aeris] Le marketing est arrivé par là et c'est dit tiens c'est cool parce qu'en fait on est capable de faire des statistiques avec ça puisque du coup une personne qui va avoir visité un certain contenu bah on va pouvoir la voir passer donc du coup à bah tiens tu as été voir tel article sur tel sur tel sur tel sujet je te revois revenir sur un autre article avec un à peu près le même sujet donc oh tiens ça fait des petits profils des petits profils des petits centres d'intérêt on est capable de remettre du coup un peu un peu de publicité

[Aeris] dans le coin en disant, bah tiens t'es venu voir 3 articles de foot, bah je vais te mettre de la pub pour le foot.

[Benjamin] du coup

[Aeris] Et on a vu après arriver l'Analytics aussi, donc les statistiques de fréquentation des sites d'internet, où le fait qu'une personne ait déjà vu, venu sur le site, on est capable de revoir le lendemain, bah elle est revenue sur le même site, on va stocker ça dans un coin à côté des serveurs, et faire des statistiques, bah tel site, telle page a vu tant de personnes passer.

[Benjamin] Donc là on n'est plus du tout dans la fonctionnalité.

[Benjamin] L'objectif c'est d'être capable d'identifier qu'une personne est déjà venue sur ce site.

[Benjamin] et comme le cookie peut durer six mois ou même plus

[Aeris] Ah oui, ou même plus.

[Benjamin] et même si une personne n'a pas de compte, si elle ne s'est pas connectée.

[Benjamin] je suis capable de dire, ah ben cette personne-là, unique, c'est elle et je suis sûr que c'est pas une autre, elle est déjà venue il y a 6 mois.

[Aeris] C'est ça, parce qu'en fait dès que vous arriviez sur un site, en fait là vous n'aviez même plus de… Vous étiez même plus conscient qu'on déposait un cookie en fait, parce que dans les autres cas, soit vous vous connectiez, soit vous vous changiez le profil de vos pages, ou que vous aviez quand même une certaine action que vous réalisiez avant qu'on vous dépose un cookie. Et ben là en fait dès que vous arrivez sur le site, on vous met un cookie dessus. Comme ça si vous arrivez le lendemain, ou revisitez une autre page, ben on est capable de savoir que vous êtes la même personne qu'était celle d'avant, et donc de faire des statistiques.

[Benjamin] Oui en fait ce que tu dis c'est que historiquement il y a toujours eu des actions concomitantes au dépôt d'un cookie puisque c'est bien le serveur qui vient déposer un cookie sur mon navigateur mais ce n'est pas obligatoire. Le dépôt de cookie est totalement un doloir en fait. Si on n'est pas développeur on ne sait même pas qu'un cookie a été déposé par un site, on ne les voit pas.

[Aeris] Ah non, non, c'est ça, on ne le voit absolument pas. Maintenant, on a des outils pour, quand vous êtes technicien, pour voir les cookies déposés, qui l'a déposé, quel contenu, etc. Mais à l'époque, effectivement, il n'y avait rien. En fait, vous cochez votre case, il y avait un cookie qui apparaissait sur votre disque dur, mais vous n'aviez aucune information que ce cookie était là.

[Benjamin] Oui mais le fait de cocher la case, c'est juste un effet de bord ou plus… Mais c'est pas… Ouais oui, c'est pas de cocher la case qui, techniquement, va déclencher le dépôt de cookies. C'est juste que je me doute que si j'ai coché la case, ça dépose un cookie, mais on peut le faire sans case à cocher.

[Benjamin] Ok, si je suis un petit peu curieux que je veux voir s'il y a des cookies sur mon navigateur, comment je peux faire ?

[Aeris] Alors vous avez la console de développeur souvent des navigateurs, donc Ctrl-C je crois sous Linux ou F12. Vous cherchez dans la doc, vous la trouverez certainement. Et en fait, du coup, vous allez dans le stockage. Il y a un onglet souvent qui s'appelle stockage. Les noms changent entre Apple, Chrome et Firefox. Et dans stockage, vous allez voir les cookies. Du coup, vous pouvez voir le détail de chaque cookie qui est déposé. Vous avez des extensions qui existent. Cookie Manager par exemple. Vous pouvez cliquer du coup sur un site internet et vous voyez les cookies qui ont été déposés.

[Aeris] du coup ça permet de… alors souvent c'est abscon, vous avez des chaînes de caractères que vous comprenez absolument rien de ce qu'il y a dedans.

[Aeris] Et du coup, ça vous permet de prendre conscience un peu de ce qui est stocké sur votre PC.

[Benjamin] et puis ça permet de voir s'il y en a un, deux, douze ou… Est-ce qu'il y a un nombre limite de cookies par site ?

[Aeris] Non, on peut en déposer autant qu'on veut, après ça va être des questions de consommation mémoire et d'efficacité des requêtes. Forcément si vous mettez tout Shakespeare dans des cookies à chaque fois, ça consomme de la bande passante. Donc du coup, on veut pas avoir non plus des cookies qui font plusieurs méga octets parce que sinon, ça…

[Benjamin] Mais je peux, ouais, donc en fait je peux avoir un cookie pour mémoriser la couleur et puis un autre pour ma session et puis un autre, enfin, je peux avoir plusieurs cookies pour…

[Aeris] Autant de cookies que nécessaire, voilà.

[Benjamin] Ok, pour différentes fonctionnalités, différentes finalités.

[Benjamin] Ok, et donc on voit qu'il y a des cookies qui sont tout à fait légitimes et utiles.

[Benjamin] et il y a des cookies moins recommandables.

[Aeris] Alors ce n'est pas qu'ils sont moins recommandables, c'est qu'en soi, toutes les finalités dont on a parlé avant, en fait, sont légitimes et licites en soi. Vouloir faire de l'analytique, vouloir faire du suivi d'audience, etc. Ce n'est pas illégal. Le problème, c'est surtout que l'ERGPD est… Je vous renvoie à…

[Aeris] au podcast il y a 15 jours sur le sujet, définit que pour être licite, un traitement doit avoir une base légale donnée. Et la base légale ne se choisit pas, elle s'impose par rapport à la finalité qui est visée. Et donc par exemple, s'authentifier sur le site internet, c'est nécessaire à l'exécution du contrat puisque si vous ne pouvez pas vous connecter, on va prendre l'exemple d'une pizzeria comme on avait pris il y a 15 jours.

[Benjamin] On aime bien les pizzas.

[Aeris] Voilà, si vous commandez une pizzeria, vous avez besoin de faire une commande sur le site internet, vous allez avoir besoin de vous connecter au site, et du coup, c'est nécessaire. Et donc du coup, on n'a pas besoin de vous demander votre avis, et c'est un peu logique, et c'est évident à peu près pour tout le monde.

[Benjamin] me livrerai une pizza, qui me demande mon login, mon mot de passe et qui va venir déposer un cookie

[Benjamin] Il peut le faire ?

[Aeris] Ils peuvent le faire sans avoir rien de spécial à faire ?

[Benjamin] sans me demander mon avis.

[Aeris] Sans demander l'avis, alors il y a une obligation d'information qui vient avec le RGPD, et ça, ça peut se faire assez naturellement en fait, au moment de cocher la case, au moment de s'ententifier, ça peut être marqué juste « bah je vais déposer un cookie ».

[Aeris] Puis voilà, y'a rien de plus à faire.

[Benjamin] T'as dit en introduction qu'on allait parler des cookies et des bandos de cookies.

[Benjamin] Mais donc ça veut dire que je peux avoir un site sur lequel je vais me connecter qui va stocker des cookies sur mon navigateur sans qu'il y ait de bandeau de cookies.

[Aeris] Ah oui, dans un cas comme ça, y'aurait absolument pas besoin en fait.

[Benjamin] et s'il ne le fait pas, est-ce qu'il respecte le RGPD ?

[Aeris] Ah oui, oui, bah dans un cas comme ça, y'aurait pas de problème en fait.

[Benjamin] D'accord.

[Aeris] C'est parce que justement, c'est nécessaire au contrat, il y a juste besoin d'informer, donc ça peut se faire par tout moyen.

[Aeris] et du coup pas forcément par un brando cookie.

[Aeris] Et par exemple dans le cas d'un login, par exemple, s'authentifier suffirait juste de marquer on va déposer un cookie et ça peut être juste à côté du bouton de connecter et c'est fini. Il n'y a rien besoin de spécifique. Ça pourrait être aussi par exemple dans la charte de confidentialité du site internet, c'est juste indiqué, j'ai besoin de poser le cookie pour me connecter et c'est tout. La durée de rétention, souvent c'est quelques minutes où…

[Aeris] Ça peut être 6 mois, 1 an par exemple si on a cogé la case me mémoriser.

[Aeris] Mais voilà, ça dépasse, ça se passe pas plus que ça.

[Benjamin] D'accord, mais alors quand on se plaint que avant 2018, il n'y avait pas tous ces bandos et qu'internet était quand même beaucoup mieux et que à cause du RGPD on a tous ces bandos de cookies…

[Benjamin] En fait c'est un petit peu exagéré.

[Aeris] Alors oui c'est exagéré parce que c'est pas vraiment le RGPD qui impose ces bandos cookies. Le problème va être sur justement les autres finalités qui sont visées par les responsables de…

[Benjamin] Alors, rappellons-nous les autres finalités.

[Aeris] Justement, ça va être les finalités d'Analytics. Donc si on veut compter les utilisateurs ou si on veut faire du profiling, par exemple, pour placer de la publicité, du coup on n'est plus dans nécessaire à l'exécution du contrat. On tombe dans l'intérêt légitime et on tombe dans le consentement. Puisque on veut commander une pizza. Donc ça n'a aucun rapport avec la publicité, par exemple, ou que la pizzeria puisse suivre l'audience de son site internet. Donc du coup on ne peut pas être dans nécessaire au contrat et on tombe dans l'intérêt légitime ou le consentement.

[Aeris] Sauf que ces deux-là…

[Aeris] une demande en fait explicite à l'utilisateur de est-ce que tu es bien d'accord ? Alors dans le cas de l'interlégitime pour…

[Aeris] pouvoir t'opposer éventuellement puisque par défaut ce serait actif, et dans le cas du consentement pour refuser puisque ça doit être désactivé par défaut. Mais du coup c'est à ce moment-là, dans ces cas-là, où on a besoin d'avoir l'information qui apparaît et que l'utilisateur puisse s'opposer au traitement avant que celui-ci arrive.

[Benjamin] Alors attendez, si je reprends un peu, si j'ai bien compris, donc il y a trois, pour simplifier, trois grandes catégories d'utilisation des cookies, il y a…

[Benjamin] La première, c'est ce qu'on appelle un peu le cookie technique. C'est pouvoir mémoriser ma session parce que je me suis connecté avec mon login, mon mot de passe. Le deuxième, c'est les analytics, c'est-à-dire la mesure d'audience, clairement.

[Benjamin] Et la troisième c'est la publicité.

[Aeris] Oui.

[Benjamin] Et la publicité, pourquoi ? Parce que aujourd'hui la majorité de la pub sur internet se fait par profilage.

[Benjamin] C'est à dire qu'on souhaite garder en mémoire le parcours de l'internaute sur internet pour savoir quel site il a visité et en déduire un profil et puis lui afficher la publicité la plus pertinente.

[Benjamin] par rapport à ses goûts et…

[Aeris] Et en fait la distinction entre l'intérêt légitime et le consentement va surtout jouer justement sur la… l'intrusion en fait sur les droits de l'utilisateur. C'est que la publicité va être beaucoup beaucoup beaucoup plus intrusive que juste faire des statistiques sur le site internet. Et donc du coup on ne peut… On n'a plus la balance des droits en fait nécessaire à l'intérêt légitime et donc du coup on est obligé de se reporter sur le consentement.

[Benjamin] Alors ouais parce que si on reprend par rapport à ce qu'on avait dit il y a deux semaines sur le RGPD…

[Benjamin] Il y a trois finalités qui sont les plus usuelles.

[Aeris] 3 bases légales.

[Benjamin] les trois bases légales pardon du RGP2 donc qui sont

[Aeris] Nexé nécessaire à l'exécution du contrat, intérêt le victime.

[Benjamin] intérêts légitimes et consentement.

[Benjamin] Donc consentement ça veut dire que j'ai demandé à un utilisateur est-ce que tu es d'accord pour que je fasse ça avec tes données personnelles ? On parle de données personnelles hein !

[Aeris] Ah oui oui, à chaque fois on parle de données personnelles.

[Benjamin] Si dans un cookie on stocke quelque chose qui n'est pas une donnée personnelle…

[Aeris] Bah le RGBG ça applique pas et du coup, bande au cookie, y'a pas besoin.

[Benjamin] on fait ce qu'on veut, d'accord. Donc on parle bien de données personnelles.

[Benjamin] Si je demande le consentement, bah forcément si l'utilisateur est d'accord je peux faire ce que je veux. Intérêt légitime.

[Aeris] En fait, c'est là où c'est un peu plus compliqué, mais l'intérêt légitime… Par exemple, la Pizzaria aurait… À mon sens, il y a un intérêt légitime effectivement à suivre les audiences de son site internet. Et donc du coup, ça paraît logique de dire par défaut, en fait, je suis les utilisateurs. C'est pas très intrusif sur sa vie privée, parce que je fais juste un compteur pour dire, t'as vicité.

[Benjamin] Mais c'est pas strictement nécessaire à la vente de pizza.

[Aeris] C'est ça, c'est pas strictement nécessaire la vente de pizza et vous pourrez…

[Benjamin] Mon boulot c'est de vendre des pizzas, c'est pas de mesurer combien de clients viennent sur mon site. Et si en plus je fais de la pub pour autre chose sur mon site de vendre de pizzas, là par contre c'est même plus de l'intérêt légitime.

[Aeris] C'est ça, c'est que là ça va être beaucoup trop intrusif. Après c'est pas toujours pareil, ça dépendra de la publicité que vous allez faire et des agrégations de données que vous allez demander. Mais la plupart des régies publicitaires aujourd'hui sont assez intrusives sur les données qu'elles demandent en fait, sur le contexte d'utilisation, sur plein de choses.

[Benjamin] Oui parce qu'en plus il y a la granularité et l'étendue des données de l'utilisateur, des données privées qu'on va mémoriser.

[Aeris] Et potentiellement on va même dépasser le cadre de la simple pizzeria, parce que par exemple si la pizzeria fait de la publicité via du Google Ads, bah du coup les cookies que vous allez publier ne sont pas uniquement ceux liés à la pizzeria, mais à tous les sites qui ont déployé du Google Ads avant.

[Aeris] Donc du coup, si par exemple vous avez été sur Le Monde avant d'aller voir la Pizzeria, Le Monde déploie aussi du Google Ads, donc a déposé un cookie Google Ads. Quand vous allez arriver sur le site de la Pizzeria, le cookie Google Ads va partir aussi. Et donc du coup, Google va savoir que vous avez un intérêt pour Le Monde et pour la Pizzeria.

[Benjamin] D'accord. Sachant qu'en plus…

[Benjamin] pour simplifier, l'idée c'est pas de rentrer dans les détails trop techniques mais donc j'ai des éditeurs de sites

[Benjamin] vont essayer de placer leurs produits.

[Benjamin] et est-ce que j'ai des cookies qui vont d'un bout à l'autre ?

[Aeris] Oui, alors il y a des cookies qui vont d'un bout à l'autre et surtout il y a la plateforme intermédiaire en fait qui fait la relation entre les deux, qui elle va avoir pour objectif, ce soit Google, Facebook, Microsoft, etc. va avoir pour objectif de rassembler le maximum d'informations sur vous, sur tout, avoir le centre d'intérêt le plus précis possible pour être capable de revendre votre profil à un meilleur prix en face, parce que c'est toujours plus vendeur de dire j'ai quelqu'un qui a entre 39 et 50 ans, qui a un cadre supérieur et qui aime le foot, plutôt que de juste dire il y a quelqu'un qui aime le foot quoi.

[Benjamin] D'accord, mais ce qu'on disait tout à l'heure, c'est que je me connecte à un site.

[Benjamin] Le serveur me renvoie un cookie.

[Benjamin] ce cookie il est propre à ce site là.

[Aeris] Alors c'est là où ça dépend de la configuration qui est faite par l'éditeur. En fait le cookie peut être déposé pour un site donné, pour un sous-domaine, donc par exemple google.com tout seul, ou pour tous les domaines de Google, ou pour tous les sites courts.

[Aeris] Et donc ça va vraiment dépendre de la granularité du cookie, en fait, qui peut aller de juste une page à l'intégralité d'Internet.

[Benjamin] Et donc c'est ça ce qu'on appelle les cookie tiers.

[Aeris] Et c'est ça, un cookie tier en fait, c'est Google Analytics par exemple, où Google Ads va déposer un cookie en disant « bah c'est pour tout le monde, et quel que soit le domaine, vous allez renvoyer ce cookie-là ». Et donc du coup, bah il suffit que Google Analytics les dépose une fois, et sur tous les sites internet après, bah il va fuiter à chaque fois.

[Benjamin] Et donc c'est ça ce qui permet de suivre un internaute à la trace et de savoir qu'il a été sur des sites différents.

[Aeris] Voilà.

[Benjamin] Et donc là on va pouvoir faire du profilage assez précis vu.

[Aeris] Oui, c'est le but. Google Analytics va se retrouver partout. Ils sont capables de faire des statistiques très précises sur l'intégralité de votre visite, sur toute votre navigation puisque vous allez avoir souvent les mêmes publicitaires et les mêmes régies publicitaires partout. Vous en avez souvent plusieurs sur un site internet. C'est assez facile pour ces régies-là de voir… Ah tiens, j'ai déjà vu passer ce cookie juste la page d'avant. C'était un site complètement autre.

[Aeris] Mais du coup, je suis capable de faire le profil ligne des centres d'intérêt du visiteur.

[Benjamin] D'accord et à partir du moment où j'ai ces centres d'intérêt effectivement j'ai un profil assez précis de savoir si c'est le ménageur de moins de 50 ans ou un cadre qui vit en centre ville. Je peux savoir où il est géographiquement ?

[Aeris] Ben géographiquement, avec l'adresse IP, après on peut recroiser avec d'autres informations, par exemple. On voit par exemple si vous allez sur un site de presse, ben peut-être que vous allez voir votre actualité régionale.

[Aeris] voire locales, et donc du coup, bah, on est capable d'avoir des centres d'intérêt comme ça de plus en plus précis.

[Benjamin] Et donc en recoupant plusieurs informations techniques associées à ces cookies, je vais avoir une idée de quel est l'internaute que j'ai en face de moi. Et je vais pouvoir lui afficher le message publicitaire qui me semble le plus pertinent.

[Aeris] Bah c'est ça et surtout l'intérêt en fait pour les publicitaires c'est la pertinence va augmenter les chances ou les risques selon le point de vue de cliquer sur la pub en fait puisque plus on vous mettra une publicité pertinente pour votre contexte plus vous allez avoir de chances de cliquer dessus et donc plus ça sera intéressant pour tout le monde.

[Benjamin] Si moi je suis utilisateur et que j'ai cliqué dessus, je suis plutôt content, c'est que j'y trouve un intérêt, sinon je clique pas dessus.

[Aeris] Oui. Après c'est là où est tout le problème, c'est que oui vous allez avoir un intérêt mais les gens ne se rendent pas forcément compte de la montagne d'informations qu'ils ont divulguées pour avoir cette publicité pertinente et qu'en fait les data brokers, on appelle ça des data brokers, qui concentrent les données des Français, ont des mines d'informations sur le… un des data brokers français par exemple annonce qu'il est capable d'avoir plus de 200 points de comparaison sur l'intégralité de la population française.

[Benjamin] D'accord, mais donc depuis que le RGPD est en place, donc on a dit, le RGPD date de 2016, son application pratique, elle date plutôt de mai 2018, le RGPD a mis un peu le holà et a dit non mais il y a donc, il y a six bases légales, on en a cité trois, les trois autres qui sont un peu moins utilisées, c'est…

[Aeris] obligations légales, soins gardes des intérêts vitaux et missions d'intérêt public.

[Benjamin] D'accord.

[Benjamin] En gros, nous ce qu'on retient, c'est l'exécution du contrat.

[Benjamin] intérêts légitimes ou consentements qui sont les trois qui en gros correspondent au cookie fonctionnel, au cookie d'analytics et au cookie publicitaire. On simplifie hein, mais en gros ça rentre à peu près dans ces cases là, respectives. Pour tout ce qui est publicitaire, le RGP dédit…

[Benjamin] Il faut le consentement ?

[Benjamin] Et c'est pour ça qu'on voit des bandos qui arrivent et qui nous demandent notre consentement.

[Benjamin] Ce consentement qu'on nous demande, bon bah si je comprends bien, c'est pour…

[Benjamin] valider qu'on est bien d'accord à avoir de la publicité.

[Benjamin] Donc tout va bien !

[Aeris] En fait, tout va bien oui et non, parce que du coup le consentement est ce que les publicitaires ou les éditeurs de sites aiment pas du tout, parce que le consentement, en particulier dans le RGPD, implique de n'avoir aucun inconvénient à le refuser. Sauf que si vous arrivez sur un site internet, qu'on vous dit « bonjour, je vais vendre l'intégralité de votre vie privée à un annonceur », et en gros vous avez rien en échange et vous avez rien à gagner…

[Aeris] et bien la probabilité que les gens disent oui elle est à peu près nulle et les différentes études qui ont lieu sur le sur le sujet montre qu'effectivement on passe globalement quand on est dans du monde de l'intérêt légitime ou du nécessaire au contrat à des taux d'acceptation de 80% à des taux d'acceptation qui sont complètement inverses à 20% seulement quand on demande du consentement

[Aeris] Et donc du coup ça veut dire qu'il y a une perte monstrueuse de chiffre d'affaires de part de marché sur les annonceurs.

[Benjamin] j'ai rien en échange, c'est pas tout à fait vrai puisque en gros aujourd'hui quand j'ai des services de presse sur internet

[Benjamin] soit j'ai payé un abonnement, soit c'est financé par de la pub parce qu'à la fin il y a des gens qui bossent à produire ce contenu et il faut bien qu'ils mangent et qu'ils payent leur loyer et je pense pas que leur propriétaire accepte qu'il paye leur loyer en cookie ou en nombre de hits sur internet, ça suffira pas. Donc en fait la publicité permet de financer ses services et ses contenus.

[Benjamin] Mais donc ce que tu dis c'est que si on appliquait le RGPD…

[Benjamin] de manière stricte aujourd'hui.

[Benjamin] Cette économie s'effondre.

[Aeris] C'est ça en fait le problème c'est que l'apparition du RGPD, enfin c'est pas vraiment l'apparition du RGPD du coup puisque c'est en tout cas en France en plus la loi date de 1978. Mais en gros les publicitaires et les éditeurs comptaient justement rentrer ça dans le nécessaire à l'exécution du contrat puisqu'ils considéraient que c'était leur fond de commerce et c'était comme ça qu'ils se rentabilisaient. Sauf que le RGPD a dit non ça ne peut pas faire partie du nécessaire à l'exécution du contrat. Vous devez avoir un business model qui est beaucoup plus sain.

[Aeris] que de juste revendre en masse des données personnelles à vos utilisateurs. Vous avez été trop loin entre guillemets. Et… C'est à l'exécution du contrat, on rappelle, il n'y a pas besoin de refaire le moindre consentiment. C'est ça. Et en fait c'est pour ça qu'à la base, en fait, au tout début du monde, ils n'avaient pas mis du tout de bagnards de cookies du tout parce qu'ils disaient c'est du nécessaire à l'exécution du contrat. Donc ils informaient juste, on avait la fameuse bandeau en bas, si vous continuez de naviguer, vous vous reconsentez à l'utilisation de vos cookies.

[Aeris] Et le législateur a dit non ce n'est pas possible, ça ne peut pas rentrer dans le nécessaire l'exécution du contrat. Donc vous devez informer et demander soit l'opposition soit le consentement en fonction des deux bases légales restantes. Et c'est là qu'on a vu tous les bandes au coulis arriver.

[Aeris] malveillant, on va appeler ça comme ça, les Dark Patterns pour en fait…

[Benjamin] C'est comme Dark Vador mais pour les cookies.

[Aeris] Parce que le consentement en fait les intéressent vraiment pas les éditeurs puisqu'on a une perte de quasiment 80% d'acceptation. Et donc du coup ils ont été obligés de déstorquer le consentement aux gens avec des design pattern qui incitent à cliquer sur accepter plutôt que refuser, on planque le bouton refuser, parce qu'ils ont absolument tout à perdre en fait à avoir un consentement valide.

[Benjamin] Bon, après c'est très subjectif, je sais pas si on peut parler d'extorsion, mais c'est vrai que globalement…

[Benjamin] c'est pas super simple de cliquer, de comprendre, les boutons acceptés.

[Benjamin] Refuser, accepter sans continuer, continuer sans accepter, refuser sans… Enfin bref, ça va un peu dans tous les sens. Globalement, on comprend bien que…

[Benjamin] On n'a pas intérêt à ce que ce soit trop simple de refuser les cookies parce que sinon…

[Benjamin] ça marche plus mais si je suis face à un bandeau de cookies qui est propre, qui est clair, qui respecte le RGPD et que je refuse les cookies, on va dire des cookies publicitaires…

[Benjamin] Qu'est-ce qui se passe ? Est-ce que le site peut me refuser l'accès ?

[Aeris] Non, parce que justement, et ça pour le coup, le CEPD, donc la CNILDECNIL, le niveau européen, est très clair sur le sujet. Le refus du consentement ne doit emporter aucune conséquence négative, mais strictement aucune. Donc ça veut dire que se faire refuser l'accès, en fait, est en théorie illégale. Et donc il y a eu des batailles judiciaires, en particulier à la CGE, avec ce genre de bandeau. Mais en théorie, c'est complètement illégal.

[Benjamin] Et si on me dit bon bah vous refusez les cookies mais du coup va falloir mettre une pièce dans la machine, payer un euro par mois…

[Aeris] C'est pareil, alors là, la décision de justice qui vient de la CGE a été un peu plus mitigée. Globalement, pour les gros sites internet qui sont un peu incontournables, c'est pas légal, parce que justement, du coup, on considère qu'il n'y a pas de liberté à accepter ou refuser, puisque si on refuse, on n'a pas vraiment accès au contenu et il n'y a pas d'équivalent. Dans le cas où des sites auraient des équivalents, là, c'est un peu plus…

[Aeris] ouvert, on va dire, c'est pas forcément illégal, c'est quand même plutôt illégal, mais bon, potentiellement, réfléchissons un peu, peut-être qu'il y a l'équivalent ailleurs et donc du coup ça serait légitime.

[Benjamin] Mais alors deux choses déjà, aujourd'hui on n'a plus énormément de presse-papiers gratuites, mais…

[Benjamin] moralement dire bah moi je veux bien prendre un journal papier gratuit mais mais vous me retirez toute la pub

[Benjamin] il y a un problème, c'est-à-dire que, ben, comment est-ce que je la finance ?

[Aeris] Bah en fait, le problème il a été là à la base, c'est que le…

[Aeris] Tout le business de la pub en fait à la base, pour le dire clairement, je suis pas opposé à la pub. Clairement pas. Pour moi la pub peut avoir un intérêt etc. Le problème c'est qu'elle a été complètement dévoyée de toute la manière dont elle a été utilisée et pour des raisons économiques ils ont essayé de chercher de plus en plus à…

[Aeris] violer la vie privée des utilisateurs en agrégeant de plus en plus de données, en ayant des coups par clic de plus en plus intéressants, et donc du coup il fallait donner de plus en plus de données et violer de plus en plus de données. Et du coup l'équilibre, en fait, et ça apparaît même de façon explicitement dans l'intérêt légitime, on doit avoir une balance des droits entre l'intérêt de l'éditeur, donc à l'intérêt financier, commercial, marketing, etc. Et le respect des droits des utilisateurs. Et aujourd'hui on a toute la chaîne qui a un peu débloqué sur le sujet en

[Aeris] traitant beaucoup trop de données en l'envoyant à des centres de données qui concentrent beaucoup trop d'informations sur la plupart des gens. On parle de data brokers, c'est 60 millions de personnes ciblées avec 200 points de comparaison.

[Aeris] des énormes boîtes comme Facebook, Google, Microsoft qui concentrent ces données là. Et en fait il n'y a plus aucun garde-fou et tout le monde a fait n'importe quoi en fait parce que la législation existait en France mais le législateur n'a pas appliqué les sanctions et donc du coup tous les systèmes ont déconné. Le garde-fou aujourd'hui en Europe il s'appelle RGPD quand même ? Oui oui en Europe en tout cas le RGPD est arrivé et c'est là que ça a commencé à faire mal alors en France…

[Aeris] C'est là où c'est un peu bizarre parce que nous on avait la loi de 78 qui s'appliquait déjà, la loi de 95 aussi en Europe et donc du coup la plupart des business model en fait qui ont qui sont apparues en Europe à partir de cette date en fait était déjà en soi avait déjà du plomb dans l'aile, aurait jamais dû voir le jour ou en tout cas pas aussi loin que ça.

[Benjamin] Mais c'était trop tard en fait. L'impression que ça donne, c'est qu'on s'est gavé aux données personnelles et qu'à un moment, l'économie qui en a résulté est devenue tellement énorme que revenir en arrière…

[Aeris] Bah c'est ça, on revient en arrière aujourd'hui et très compliqué, c'est…

[Benjamin] C'est difficile, il y a énormément d'emplois et de sociétés qui en dépendent aujourd'hui.

[Aeris] Bah c'est ça, toute la presse aujourd'hui est à peu près à brevée à la publicité en ligne, la plupart des journaux, des sites…

[Benjamin] et la publicité profilée.

[Aeris] Et la publicité profilée surtout.

[Benjamin] Oui parce que si je reviens à mon analogie de tout à l'heure, à Galvo-Scalvo, mais moi quand je disais Paris Boum Boum, parce que j'ai connu Paris Boum Boum, je suis aussi vieux que ça,

[Benjamin] Je pouvais pas refuser la publicité qui était dedans, mais la publicité qui était dans le journal papier…

[Benjamin] elle savait rien de ma vie.

[Aeris] Oui, et là il n'y aurait pas de problème en fait. Si on revient à une publicité beaucoup plus… Par exemple la publicité contextuelle, comme on l'a connue au tout début d'Internet. C'est-à-dire que quand vous alliez voir un article… Bah, contextuelle, en gros, quand vous alliez voir un article sur du foot, on vous mettait de la publicité pour du foot. Quand vous alliez voir un article sur le magazine automobile, vous avez de la publicité pour l'automobile. Ou il y avait des analogies. Effectivement, les magazines masculins avaient surtout du parfum, des bagnoles et du foot. Les magazines féminins avaient… Après, on tombe sur les clichés, les stéréotypes. Mais globalement, ça fonctionnait comme ça.

[Benjamin] mais c'est-à-dire que la publicité…

[Aeris] était lié au contenu vu, et pas à la personne qui regardait le contenu.

[Aeris] Et aujourd'hui on a complètement inversé en fait en disant bah plutôt que d'aller… De risquer de mettre un mauvais contenu à une personne qui est intéressée par potentiellement autre chose, bah du coup on va viser la personne et plus le contenu. Et c'est là qu'on a commencé à essayer d'avoir des profils de plus en plus ciblés.

[Aeris] Et en fait on devrait revenir à des publicités, des placements de produits, des annonceurs qui payent un journal pour dire « je place ta publicité sur le journal, je sais pas qui va la regarder ».

[Benjamin] Comme sur du papier quoi.

[Aeris] Comme sur du papier, je sais pas combien de personnes vont le regarder, enfin on a des estimations puisque du coup on a par exemple un tirage papier, on sait que ça va être 120 000 exemplaires, bah il y a potentiellement 120 000 personnes qui va le voir, et on met la publicité dedans, on n'a pas de retour de qui va la voir, qui va la pas la voir, combien on va réellement acheter le produit à la fin, et là du coup on serait dans un intérêt légitime pur et dur et on n'aurait pas besoin d'avoir le consentement.

[Benjamin] D'accord mais intérêt légitime il faut quand même que je puisse le refuser.

[Aeris] Oui c'est ça, il faudrait quand même pouvoir le refuser. Après il y a des conditions de refus, c'est pas obligatoire, c'est pas automatique.

[Benjamin] On rappelle, donc nécessaire au contrat, on ne demande pas mon avis, intérêt légitime, c'est coché par défaut mais je peux refuser si je veux.

[Benjamin] et consentement, c'est décoché par défaut et il faut que je le valide.

[Aeris] Et sur l'intérêt légitime, si le responsable de traitement, donc l'éditeur du site, est capable de prouver qu'il a été suffisamment protecteur des données personnelles des gens, il peut très bien dire « je n'ai pas à respecter votre opposition ». Mais là, c'est à lui de prouver en fait que ce qu'il fait est suffisamment…

[Aeris] sains et ne remets pas en question les droits des personnes pour dire je suis capable de vous imposer cette pub sous la base de l'intérêt légitime et vous ne pouvez pas vous opposer aux sauvereisons impérioses liées à la personne.

[Benjamin] Et en toutes les autres causes on rappelle que ça ne concerne que les données personnelles.

[Aeris] Voilà. S'il n'y a pas de données personnelles, le RGPD d'une autre façon ne s'applique pas.

[Benjamin] il n'y a pas de problème.

[Aeris] Après les cookies malheureusement sont souvent très rapidement des données personnelles parce qu'ils stockent beaucoup trop d'informations dedans et souvent c'est…

[Benjamin] Est-ce qu'on peut avoir des cookies qui stockent des données qui ne sont pas personnelles ?

[Aeris] Oui, oui. En soi, par exemple, on parlait de configurer la langue du navigateur ou les unités de mesure dans le navigateur. En soi, ce n'est pas une donnée personnelle. En tout cas, pas seule.

[Benjamin] Qu'est-ce qu'il faut pour qu'une donnée soit personnelle ?

[Aeris] Il faut qu'on soit capable d'identifier que c'est une personne pas forcément nommée. On n'a pas besoin de dire que c'est untel, mais en tout cas que ce soit la même personne qu'on a vu déjà à la veille.

[Aeris] Et donc là, un cookie par exemple de langue, couplé à un cookie d'unité de mesure, peut potentiellement dire « bah tiens, c'est la seule personne de mon site internet qui a configuré ça comme ça ».

[Aeris] Et donc dans un cas comme ça, ça redevient de donner un caractère personnel.

[Benjamin] D'accord, donc ça dépend aussi de la fréquentation, ça dépend de pas mal de choses quoi. C'est pas… c'est… c'est… c'est matière à interprétation.

[Aeris] Oui, oui, de toute façon, la notion de donner à caractère personnel, c'est toujours à analyser au cas par cas. Il y a des cas qui sont déjà tranchés, par exemple les adresses IP, on sait que c'est une tute de données à caractère personnel, c'est tranché par la CGUE, il n'y a plus de débat à avoir dessus.

[Benjamin] Et si on est 3000 utilisateurs derrière un proxy server qui a une adresse IP ?

[Aeris] Oui alors, je vous renvoie à la jurisprudence de la CJUE sur le sujet, elle est un peu compliquée, mais en gros, la donnée à caractère personnel ne se calcule pas en fonction de seulement le responsable de traitement, mais à l'intégralité des responsables de traitement de la Terre. Et en particulier, votre fournisseur d'accès à Internet est capable de vous identifier à partir de votre adresse IP.

[Aeris] même si vous êtes en entreprise derrière un proxy, l'entreprise est supposée avoir des logs et identifier votre poste et de toute façon serait responsable si elle n'était pas capable de le faire. Donc voilà, la jurisprudence dit qu'il faut que quelqu'un sur terre, entre guillemets on va résumer ça comme ça, que quelqu'un sur terre soit capable d'identifier la donnée pour que ce soit une DCP pour plus ou moins tout le monde.

[Benjamin] D'accord. Donc si je résume, un cookie, globalement ça stocke presque toujours une donnée personnelle parce que c'est un peu pour ça qu'on les a créés.

[Aeris] Bah c'est ça, souvent c'est à cet usage-là mais c'est pas automatique.

[Benjamin] c'est pas automatique mais c'est quand même souvent le cas et est-ce qu'à contrario je peux avoir des données personnelles donc on va sortir un peu du thème de départ, est-ce que je peux avoir des données personnelles qui sont stockées ?

[Benjamin] ou qui se baladent ailleurs que dans des cookies.

[Aeris] Ah oui, il y en a un peu partout, quand vous utilisez votre navigateur internet. Il y a beaucoup de responsables de traitement qui jouent aussi sur cette confusion, au sens où il n'y a pas de cookies, donc il n'y a pas de traitement, ce qui est à peu près faux. Aujourd'hui, il y a des choses qui s'appellent le fingerprinting, en fait, sur internet.

[Aeris] c'est on va regarder un peu toutes les caractéristiques de votre navigateur, tout ce qu'on est capable de récupérer. La résolution de l'écran, les polices de caractère que vous utilisez, les extensions que vous avez installées, des bouts d'historique que vous êtes capable d'envoyer, la présence des cookies forcément. Avec ça, il rentre dans une espèce de moulinette et à la fin ça sort ce qu'on appelle un fingerprint, une empreinte, qui dit cette personne là a une empreinte donnée et donc si je revois le même navigateur arriver plus tard, c'est…

[Aeris] probablement la même personne. Vous avez un site internet qui fait ça un peu pour vous, vous allez sur amayunique.org, ça va analyser tout votre navigateur et ça va vous dire bah, sur les 60 millions de personnes qui sont déjà venues sur ce site internet, bah vous êtes globalement unique. J'ai assez peu trouvé de personnes qui n'étaient pas uniques dans ce truc là et même au cas où vous n'êtes pas unique, vous êtes de toute façon dans un groupe de 10 ou 20 personnes quoi.

[Benjamin] Donc le fingerprinting, c'est une technique qui…

[Benjamin] qui est en se basant sur les caractéristiques du navigateur au sens large d'un internaute qui viendrait sur mon site donc je prends son système d'exploitation, son navigateur, la version du navigateur, la langue. Moi par exemple j'ai mis français, anglais, allemand et l'ordre est pris en…

[Aeris] L'ordre va être pris en compte, les poids vont être pris en compte, enfin tout, ils prennent tout ce qu'ils peuvent même aujourd'hui, ils vont jusqu'à afficher une image sur l'écran, le relire pixel par pixel, et fonction de votre carte graphique ou de les écrans que vous utilisez, vous n'allez pas avoir exactement le même rendu, et donc ils sont capables d'identifier ce qu'on appelle des glitchs en fait, c'est bah le pixel là il aurait pas dû être rendu comme ça, et je sais que c'est tel modèle de carte qui est graphique qui fait que ça fait ce rendu là, et donc ils sont capables de vous identifier comme ça, ils font pareil sur des empreintes audio,

[Benjamin] Donc si on est deux personnes à avoir le même navigateur, les mêmes langues, si on n'a pas la même carte graphique…

[Aeris] Voilà, c'est la carte graphique qui va faire la différence. Si vous n'avez pas la même résolution d'écran, c'est aussi capable de détecter la taille de votre navigateur sur l'écran, si vous l'avez mis en plein écran ou pas, si vous avez une barre de menu, en fait, la taille de votre barre de menu, ou de votre menu démarré, va changer la taille réelle du navigateur, et donc ça va jouer à 2-3 pixels près, mais ça peut faire la différence.

[Benjamin] Et donc au final on est capable de différencier deux personnes.

[Benjamin] Et alors là où, si je vais sur un site qui me dépose 1, 2 ou 1000 cookies…

[Benjamin] Je tape F12, je vais le voir.

[Benjamin] un site qui fait du fingerprinting.

[Aeris] et ben on va pas le voir.

[Benjamin] quel moyen j'ai de savoir qu'un site auquel je me connecte.

[Aeris] Eh ben il n'y en a pas. Enfin légalement le RGPD oblige à informer les utilisateurs.

[Aeris] Techniquement on ne peut pas le voir. Sauf si c'est fait côté navigateur, parce qu'il y a aussi des fois des extensions JavaScript qui le font. Donc ça on peut voir. Mais ça faut être vraiment technicien, parce que du coup il faut regarder les trafics réseau pour voir ce qui circule exactement et voir qu'il y a tel script de fingerprinting. On le connaît, donc du coup on sait qu'il fait du fingerprinting. Mais si c'est fait côté serveur, parce que ça peut être fait directement par les serveurs, ben on ne sait pas. On n'a aucun moyen de le savoir.

[Benjamin] Et si je reviens au cookie, quand je vois qu'un site a déposé un peu trop de cookies à mon goût, je peux les supprimer, voire je peux prendre mon navigateur en mode…

[Benjamin] et les cookies vont être vidé à chaque fois que je vais fermer la session.

[Benjamin] Et donc si je reviens trois jours après sur ce même site et que j'ai vidé les cookies, le site sait pas que c'était moi qui était déjà venu il y a trois jours. Dans le cadre du fingerprinting…

[Aeris] On va être identifié et on a à peu près rien à faire. Il faudra avoir la même empreinte. Il y aura la même empreinte et même envie dans les cookies. Il arrivera de toute façon à déterminer d'autres caractéristiques. Les cookies, l'adresse IP typiquement, ils sont très peu utilisés aujourd'hui. Ça va plutôt être la résolution, le user agent, des choses comme ça. En gros, c'est des choses que vous pouvez très difficilement contrôler.

[Benjamin] Donc on peut me suivre à la trace et si je vais sur trois sites différents…

[Aeris] Bah vous aurez la même empreinte en gros et du coup ils peuvent savoir…

[Benjamin] j'aurais la même empreinte et donc si les trois sites se parlent entre eux…

[Aeris] Si les 3 sites vont se parler entre eux, et généralement ce qu'ils font, donc ça s'appelle du server side tracking maintenant, c'est qu'en gros les sites font ce figure printing et plutôt que le cookie parte à Google Analytics, bah du coup, ils calculent l'empreinte, ils l'envoient eux-mêmes à Google Analytics, donc il n'y a plus de communication directe entre vous et Google Analytics, ça passe par le serveur intermédiaire, mais du coup Google continue à vous suivre entre chaque visite de site.

[Aeris] et c'est même encore plus précis et encore plus pointu que le cookie puisque du coup les cookies aujourd'hui les navigateurs avaient mis des mesures de protection pour isoler les cookies d'un site à l'autre et donc du coup c'était un peu plus compliqué

[Benjamin] Par exemple, sous Firefox, j'ai des environnements différents pour Facebook, pour…

[Aeris] Oui, et puis même maintenant c'était par défaut. Par exemple un cookie Google Analytics qui aura été déposé sur le monde ne partira pas si vous allez visiter le Figaro. Ce sera deux cookies différents et donc du coup ça… C'était la fameuse fin des cookie tiers. C'était la fin des cookie tiers et en tout cas ça posait des problèmes, en fait c'était des contre-mesures. Mais ça, le fingerprinting, c'est beaucoup plus compliqué à faire. Il y a des navigateurs qui le font, on essaye de le faire.

[Aeris] mais surtout ça casse, ça peut casser beaucoup la navigation en fait et vous avez des sites internet qui peuvent ne plus fonctionner du tout parce que c'est des fonctionnalités normales du navigateur qu'on est obligé de bloquer.

[Benjamin] D'accord. Donc en fait, les cookie tiers, il y a des navigateurs qui s'y sont opposés pour limiter les fuites de données d'un site à l'autre.

[Benjamin] sur le fingerprinting, il n'y a pas de manière d'étanchéifier en fait.

[Aeris] En tout cas c'est très très compliqué, on a quelques contre mesures mais globalement aujourd'hui c'est très difficile à bloquer.

[Benjamin] D'accord, donc on voit bien les dangers du fingerprinting, mais si moi j'édite un site…

[Benjamin] et que je demande le consentement à mes utilisateurs pour faire du fingerprinting et que s'ils refusent le consentement je le fais pas.

[Aeris] Ah oui mais ça, à partir du moment où vous avez le consentement et à partir du moment où vous respectez le RGPD, il n'y a aucun problème. Si vous voulez faire du fingerprinting, vous affichez clairement à l'utilisateur. Alors avoir les modalités, ce n'est pas forcément dans une manière de cookie, pour le coup. Ça peut être juste dans le flux d'inscription ou je ne sais pas quoi. C'est par exemple fait par les banques, vous voulez ouvrir un compte, ils ont besoin d'avoir un peu la garantie que vous êtes tout seul.

[Aeris] que c'est bien la même personne etc. Ils peuvent très bien dire au moment de s'inscrire on va faire un fingerprinting, on va collecter telle ou telle ou telle information, c'est pour telle finalité, c'est transparent, clair, éclairé, c'est les critères du RGPD, il n'y a pas de problème.

[Benjamin] De manière assez classique, c'est pas la technologie qui est illégale, c'est l'utilisation qui pourrait en être faite.

[Aeris] C'est ça. Et aujourd'hui le vrai problème c'est surtout la transparence en fait, c'est que les éditeurs etc ne veulent pas être transparents avec les utilisateurs parce que sinon ils perdraient leur marché. Et donc du coup, bah, ils sont obligés de truander un peu et d'être un peu borderline avec la loi, voire clairement borderline, pour continuer à avoir leur part de marché et leurs revenus.

[Benjamin] Ok, merci. Ça débordait un peu du thème initial qui est le cookie, mais c'était super intéressant.

[Aeris] Oui, en tout cas je pense qu'on a bien fait le tour de ça et aujourd'hui, en tout cas, il y a beaucoup de batailles juridiques sur le sujet qui risquent encore de prendre plusieurs années avant d'être résolues parce que clairement aujourd'hui au niveau du RGPD, toutes les associations de défense des consommateurs, etc. sont contre les bandos cookies tels qu'ils existent aujourd'hui, essaient de faire revenir les entreprises dans le rang. Forcément c'est des batailles, je fais appel, je fais pas appel, je joue un peu avec la loi.

[Benjamin] Ouais chacun prêche un peu pour sa paroisse

[Aeris] C'est ça. Et aujourd'hui, on aura certainement encore beaucoup d'eau à couler sous les ponts avant d'avoir un statut clair.

[Aeris] Mais il y a énormément de boulot et globalement les bans de cookies aujourd'hui sont plutôt assez souvent illégales. Et donc du coup va falloir attendre que le législateur se bouge un peu pour essayer d'avoir du mieux à terme.

[Benjamin] Ok, et bien merci beaucoup Aeris, c'était très très clair.

[Benjamin] On va rester là pour aujourd'hui. La semaine prochaine, on reçoit Bookynette, libraire, présidente de l'April, administratrice de Framasoft et Parinux.

[Benjamin] D'ici là, n'hésitez pas à partager cet épisode sur les réseaux sociaux et en particulier sur Mastodon, puisque cet épisode est publié sur Castopod.

[Benjamin] plateforme open source libre et gratuite de publication et d'hébergement de podcasts. Sur Mastodon, vous pouvez liker, partager et commenter cet épisode et hésitez surtout pas à nous envoyer vos questions. On essaiera d'y répondre dans un prochain épisode. Et d'ici là, merci et à bientôt !

[Aeris] Bonne soirée à tous.