Blog

Réflexions et coups de gueule

L'exemple du moment

Cookies : victoire en trompe-l’œil pour la CNIL

2014 aura sonné l’an 1 de l’application de la loi en matière de cookies sur les sites web. Pourtant, le droit européen en posait le principe dès 2009 et l’ordonnance du 24 août 2011 le transcrivait en droit français. En clair, pendant deux ans et demi, la plupart des sites web soumis au droit français, y compris les sites publics, ont royalement ignoré l’obligation qui s’imposait à eux. Que s’est-il subitement passé ?

Le 5 décembre 2013, la CNIL émettait une recommandation rappelant aux éditeurs de sites web leur obligation d’appliquer l’article 32-II de la loi Informatique et Libertés faute de quoi ils s’exposaient à des amendes pouvant atteindre 300.000 euros, pour les récidivistes. L’année 2014 a été mise à profit pour diffuser ce message, ponctué par plusieurs actions médiatisées dont le Cookies Sweep Day, avec le succès que l’on connaît aujourd’hui. Le fleurissement des écrans d’avertissement, des bannières et pop-up en tous genres pourrait laisser penser que la CNIL a remporté la partie. Ce serait en rester que la surface des choses.

Une démarche ambitieuse… Trop ?

Sans être un prétexte, l’application de la loi n’était pour la CNIL qu’un point d’appui pour ramener le monde du web dominant [2], privé comme public, à des principes de respect des libertés sur lesquels beaucoup s’étaient nonchalamment assis.

La démarche de la CNIL a pris la forme d’une fusée à deux étages. Le premier n’est autre que sa « recommandation » de décembre 2013. La commission s’y emploie à imprimer une lecture respectueuse des libertés à partir d’un texte de loi taillé pour satisfaire les industriels du numérique. Le second étage est un ensemble de mesures concrètes ayant vocation à se diffuser en tant que bonnes pratiques d’application de la recommandation. Le rappel à la loi, la multiplication des contrôles et la menace de représailles devaient fournir le carburant à cet attelage ambitieux.

À l’heure du bilan, force est de constater que le deuxième étage de la fusée a explosé en vol et que le premier s’est disloqué. Il ne reste que la loi (et encore…), c’est-à-dire un texte qui évoque la liberté mais se garde d’en garantir l’exercice. Pour s’en convaincre, nul besoin d’engager une argumentation technique ou juridique alambiquée. Il suffit de se rendre sur un site de la République, en ayant la décence de ne pas fondre sur quelque obscur site d’une sous-direction désargentée et démunie en ressources techniques et juridiques. Prenons le site conjoint du ministère des Finances et des Comptes publics et du ministère de l’Économie, de l’Industrie et du Numérique (« MinEcoFin » pour faire court).

« Pile » je gagne, « face » tu perds :-)

Comme sur la plupart des sites aujourd’hui, on y trouvera une annonce nous prévenant que si nous restons sur ce site, nous allons être pisté⋅e⋅s. Le bandeau affiché en bas de la fenêtre reprend une formulation qui pour banale qu’elle puisse sembler n’en vaut pas moins d’être analysée :

« Ce site utilise des cookies. En naviguant sur notre site vous acceptez l’installation et l’utilisation des cookies sur votre ordinateur ». Un bouton « J’accepte » et un bouton « En savoir plus » accompagnent le texte.

La seule option que l’éditeur a soigneusement mise hors de portée des internautes est une éventuelle possibilité de refuser d’être pisté⋅e… Un avertissement qui ressemble fort à une « offre qu’on ne peut pas refuser ». Il est dit que le simple fait de naviguer sur le site vaudra acceptation ; pour s’assurer que l’internaute fera le « bon » choix, on lui impose un bouton « J’accepte » là où l’on s’attendrait à trouver un bouton « Je refuse ». En termes de métaphore expérientielle (intermède de poésie jargonnante), on ne sait plus si on joue l’immersion parodique dans une scène mythique du film Le Parrain ou la sur-intellectualisation ironique infantilisante d’une blague de cour de récré : « pile » je gagne, « face » tu perds… Toujours est-t-il que lorsque le même bandeau propose deux possibilités d’accepter et aucune de refuser ce n’est pas ce qu’en démocratie on appelle le libre exercice d’un choix. Tout au plus laisse-t-on l’internaute caresser l’espoir d’échapper au pistage, en activant le second bouton mis à sa portée… Tentons l’aventure !

Le clic sur le bouton « En savoir plus » mérite le détour. Sous le titre alléchant « Information des Internautes sur le service de mesure d’audience » on reste confondu⋅e devant l’hermétisme et la non-effectivité de la prétendue explication apportée aux internautes :

Afin de mieux vous servir, nous mesurons le nombre de pages vues, le nombre de visites, ainsi que l’activité des visiteurs sur le portail et leur fréquence de retour grâce aux solutions d’AT Internet. Si vous ne souhaitez pas être audité, vous pouvez vous reporter aux modalités de respect de la vie privée.

Une mesure est également réalisée grâce aux solutions Google Analytics. Si vous ne souhaitez pas être audité, vous pouvez vous reporter aux règles de confidentialité.

Une mesure est également réalisée grâce à la barre Addthis. Si vous ne souhaitez pas être audité, vous pouvez vous reporter aux règles de confidentialité (en anglais).

« Être audité… » Quel talent ! Dans ce contexte, ça ne veut évidemment rien dire et c’est là tout l’intérêt de la formule : mettre en faute l’internaute déviante, en la renvoyant à sa propre incapacité à répondre à une question qui n’a aucun sens. Au terme d’une lecture attentive, la seule information dont la confidentialié est préservée c’est le moyen concret et immédiat par lequel l’internaute peut exprimer son refus d’être pisté⋅e. Tous les ingrédients ayant été réunis pour que l’internaute renonce à faire valoir ses droits, c’est généralement ce qui se passera. Les plus persévérant⋅e⋅s ne seront pourtant pas déçu⋅e⋅s du voyage.

Avant de poursuivre dans ce qui s’apparente à une d’expédition, relevons deux choses. La première est qu’il est navrant que l’auto-proclamé « Portail de l’Économie et des Finances » (rien que ça !), ait besoin de trois outils (privés !) pour avoir une idée de sa fréquentation. La seconde est le déséquilibre entre une unique action (voir absence d’action) pour accepter d’être pisté⋅e et les trois liens que l’on serait censé⋅e parcourir pour n’être, peut-être, pisté⋅e par aucun des trois outils.

L’art de botter en touche

Mais reprenons notre lecture en suivant le premier lien. Plutôt que de fournir eux-mêmes une explication claire et concise, les ministères nous renvoient sur la page du fournisseur d’un des outils. Après la lecture de 1480 mots qui n’ont rien à voir avec le refus des cookies (soit plus de 2,5 fois l’article à la « une » des echos.fr au moment de la rédaction de ce billet), l’internaute obstiné⋅e arrive dans le « vif » sujet. Une première partie concernant la suppression des cookies ne mentionne que le système Windows (sans se risquer à indiquer une version). Une deuxième partie aborde le blocage de tout cookie sur un navigateur. Concernant Internet Explorer, aucune indication n’est fournie pour les versions au delà d’IE8 ; les utilisatrices d’IE9, IE10 et IE11 respectivement sortis en 2011, 2012 et 2013 peuvent aller jouer ailleurs, avec leur petit⋅e⋅s camarades utilisant Safari (pas même évoqué). Enfin, une troisième partie munie d’un lien d’ouverture d’une boîte de dialogue permet de signifier que l’on refuse d’être pisté⋅e par cet outil, sur tous les sites où il est utilisé. À l’arrivée, l’internaute qui, au départ de son périple, voulait simplement refuser d’être pisté⋅e sur le site MinEcoFin ne se voit proposer aucun moyen d’arriver à cette seule fin !

Le deuxième lien conduit, à l’image du premier, sur une page du fournisseur du deuxième outil de pistage. L’explication y est encore moins claire que la précédente et ne fournit aucun moyen direct pour ne pas être pisté⋅e par cet outil. Tenez vous bien ! On y trouve un texte comprenant un lien vers une page, qui contient un texte avec un lien vers une autre page, qui contient un bouton qui permet de télécharger un module complémentaire qu’il faudra installer sur tous ses navigateurs, sous réserve que ceux-ci soient compatibles avec ce module. Ouf ! Et toujours pas de moyen permettant de refuser d’être traqué⋅e sur le seul site MinEcoFin

Le troisième lien est hors champ car conduisant vers une page rédigée en anglais. Sur une question aussi cruciale que le respect des libertés, ne proposer un mode d’emploi que dans une langue étrangère est faire peu de cas de la loi française dans sa lettre comme dans son esprit.

Cerise sur le gâteau, en n’offrant pas ses propres pages d’explication, le site MinEcoFin expose les internautes aux cookies potentiellement déposés par les sites vers lesquels il renvoie. Ce qui ne manque pas d’enclencher de nouveaux jeux de piste pour savoir si l’on accepte ou non les cookies des sites censés nous permettre de savoir comment refuser les cookies !

Bref, il a suffit de prendre aux mots la promesse du bouton « En savoir plus » pour s’apercevoir que l’information proposée à travers ce bouton est inadaptée, indigeste et inopérante, pour autant que l’objectif poursuivit soit la protection des libertés. Il faut admettre que la conjonction de tant « maladresses » est trop improbable pour ne pas éveiller quelques soupçons. Si le but réel de ce bouton était de brouiller, désorienter, déstabiliser les internautes qui auraient l’arrogance de refuser de se laisser pister par le site MinEcoFin, force est de constater que l’objectif serait atteint.

Le choix, tout est là

Le désaccord de fond entre le web dominant et la CNIL porte sur la réalité du choix proposé. Comme nous l’avons constaté dans l’exemple représentatif du site MinEcoFin, pour accepter d’être pisté⋅e, il suffit de naviguer sur le site. Pour refuser d’être pisté⋅e il faut se rendre sur trois sites, lire plusieurs pages, installer un extension (si on peut), comprendre l’anglais, avoir des connaissances techniques supérieures à la moyenne des internautes et s’obliger à bloquer son pistage sur tous les sites de la planète, pour deux des trois outils utilisés.

Imaginons un tel système appliqué aux élections. D’un côté, pour voter en faveur de la majorité sortante, il suffirait de se rendre au bureau de vote et d’y présenter sa carte d’électrice. Bien sûr, les personnes qui tiendraient absolument à voter pour une autre liste aurait le « choix ». Arrivées au bureau de vote, on leur proposerait de se rendre à la Mairie, d’y récupérer le matériel et la procédure de vote, différentes pour chaque liste, pas nécessairement rédigés en langue française (sachant que voter pour certaines listes impliquerait de voter pour cette couleur politique lors des prochains scrutins) et enfin de retourner au bureau de vote pour y exprimer leur choix en croisant les doigts pour ne pas commettre d’erreur technique qui invaliderait leur vote. Qui, à part la dictature en place, oserait prétendre qu’il s’agit là d’un choix librement exprimé ?

C’est pourtant cette lecture accommodante avec le principe du libre choix que permet à dessein - dans un champ heureusement limité, la directive européenne de 2009, fidèlement retranscrite par l’ordonnance française de 2011. À travers sa recommandation et ses bonnes pratiques de mise en œuvre, la CNIL a tenté de faire valoir une autre lecture, respectueuse des libertés. Les CNIL européennes ayant perdu la partie face aux industriels du numérique devant les instances européennes et le parlement français ayant été écarté par le jeu des ordonnances, la CNIL a tenté de jouer un rôle de dernier rempart démocratique, enfilant un costume trop grand pour elle, tant ses pouvoirs ont été rognés au fil des ans. Las !

Un camouflet pour la CNIL

La CNIL sort affaiblie de cette offensive. L’internet dominant la défie désormais ouvertement en s’essuyant les pieds sur ses « bonnes pratiques » et en se payant le luxe de la rappeler à la loi. Le discours réactionnaire visant à faire passer cette commission pour un ramassis d’incompétents et de terroristes des libertés, prêts à égorger l’innovation sur l’autel des droits humains, n’est pas nouveau. Mais cette nouvelle sorte de « désobéissance » libertophobe décomplexée s’en trouve renforcée et revendique une légitimité qui va peser à court et moyen termes. Chez les professionnel.le.s du web, la question ingénue "Doit-on vraiment appliquer toutes les recommandations de la CNIL ?" mettait, jusqu’ici, plutôt mal à l’aise. Aujourd’hui, elle fait sourire.

Notes

[1] Le web poussé par les industriels du numérique, le commerce électronique, les agences de renseignements et plus généralement les promoteurs de la contre-réforme néolibérale.

[2] Le web poussé par les industriels du numérique, le commerce électronique, les agences de renseignements et plus généralement les promoteurs de la contre-réforme néolibérale.