De nombreux spécialistes alertent depuis un certain temps sur le traitement de nos données, allant d’un « simple » détournement à de la surveillance massive. Avec l’avènement des GAFAM s'est développé un modèle de quasi-interdépendance entre les services web, avec en fer de lance les données personnelles de leurs utilisateurs. Le but est simple : développer leur offre et permettre une meilleure expérience de navigation qui génèrera le plus souvent, par la publicité, des revenus substantiels. Et quand bien même cette volonté est louable sur la forme, il n’a pas fallu longtemps pour voir émerger des inquiétudes.
Au niveau des entreprises numériques engagées sur ces marchés publicitaires à fort potentiel de rentabilité, la valeur des données n’a cessé de croître pour finalement occuper aujourd’hui une place centrale dans le fonctionnement de leur activité. Et avec des enjeux aussi grands pour autant d’acteurs, les passerelles se multiplient, à en oublier presque celui qui cède ses données.
UN BIEN INDIVIDUEL DEVENU RESSOURCE EXPLOITABLE
L’introduction des cookies sur les sites web aura permis de voir évoluer de nombreux services en ligne. Ils sont partout, un peu trop parfois. Ce qui amène certains utilisateurs à prendre le réflexe de les accepter, par manque de considération, ou de les refuser, et d’autant plus à la suite des scandales liés aux données personnelles qui ont pu émerger ces dernières années. Mais cette dernière éventualité, bien évidemment, ne profite pas à tout le monde, bien au contraire.
Pour détourner la contrainte de proposer le refus des cookies en naviguant sur Internet, de nombreux sites, dont le modèle économique repose sur le partage des informations personnelles à des entreprises tierces, ont adopté une position plus offensive. Là où les utilisateurs pourraient tout à fait refuser légitimement le suivi de leur activité ou le partage de data qui, rappelons-le, leurs sont propres, des acteurs du numérique leur forcent aujourd’hui la main en imposant les cookies comme ticket d’entrée pour leur site. On désigne plus communément cette pratique de « cookies wall » (ou mur de cookies). Et c’est un concept qui pose beaucoup de soucis aux institutions judiciaires dans la gestion de cette problématique.
Dans un contexte où la prise de conscience de la valeur des données numériques n’est pas totalement aboutie et où la place de l’utilisateur n’est pas pleinement déterminée au regard des entreprises qui utilisent ses données, cela revient très clairement à imposer un embargo. C’est considérer les données personnelles comme prix à payer pour exercer une navigation libre et sereine. C’est un abonnement à vie, certes financièrement gratuit, mais qui vous engage auprès de partenaires commerciaux que vous ne connaissez pas toujours, qui feront un usage de vos données échappant le plus souvent à votre contrôle.
Prenons l’exemple de Marmiton, celui dont la pratique aura piqué ma curiosité le premier. Il était auparavant possible d’accéder au site et à l’ensemble des recettes sans restriction particulière. Depuis récemment, il se trouve qu’il est impossible de visiter le site sans accepter « des cookies et/ou traceurs nécessaires au fonctionnement de ce site ». De prime abord, aucun réel souci. Les mesures d’audiences pouvant être biaisées par l’absence de certains cookies, il est justifiable à un niveau stratégique de les imposer (ils font d’ailleurs généralement partie de ces cookies obligatoires, ou dits « techniques »). Il est notamment possible sur ce site dédié à la cuisine d’« autoriser ou refuser tout ou partie de ces traitements de données qui sont basés sur [notre] consentement ou sur l’intérêt de [leurs] partenaires ». Or, en choisissant de paramétrer les préférences, le refus des cookies pour tous les partenaires, hormis les cookies destinés aux fonctionnalités essentielles pour le site concerné, entraîne un blocage systématique. Mieux encore. Sur le site Allociné, branche cinéma du géant digital Webedia, l’accès est très explicitement refusé à moins d’accepter l’intégralité des cookies, avec possibilité de les paramétrer une fois entré sur le site (ce qui vous fera nécessairement retomber sur ce dilemme abonnement payant ou cookies, comme indiqué). Des exemples de cookies walls partiels ou intégraux comme il en existe ailleurs, bien qu’ils ne représentent en réalité pas une majorité. C’est malgré tout le risque d’une généralisation auquel nous sommes aujourd’hui confrontés.
VIDE JURIDIQUE ET CHANGEMENT DE PARADIGME
En juin 2020, le Conseil d’État, la plus haute juridiction administrative de France, a statué sur les lignes directrices de la CNIL (Commission nationale de l’informatique et des libertés) relatives aux cookies et autres traceurs de connexion. Enjeu principal : annuler ses décisions résultant de son pouvoir exécutif jugées « excessives » et trancher sur l’interprétation du règlement européen relatif au consentement des utilisateurs. Résultat : l’interdiction d’accès à un site web pour refus des cookies s’en retrouve légitimée de fait. Un désaveu du gendarme français de l’informatique en quelque sorte. Cette pratique n’en est cependant pas légalisée pour autant, on assiste ici simplement à la levée d’une interdiction provenant de la CNIL. Pour plus de détails sur ce sujet, un article CheckNews très complet de Libération sur le sujet est disponible pour mieux comprendre les tenant et aboutissants de cette décision.
Le problème qui se pose est qu’en attendant une prise de position au niveau européen, rien n’empêche ce genre de pratique dans la forme. Et une prise de position claire a longtemps été mise sous le tapis depuis 2018, jusqu’à récemment en 2021 avec la reprise des négociations sur la nouvelle réglementation découlant du RGPD, ePrivacy, principalement pour des raisons d’opposition massive dans le domaine du marketing et de la publicité en ligne, avec en première ligne les GAFAM dont la data est au cœur. C’est d’ailleurs ce qui pourrait engendrer une version édulcorée, ou plus permissive que le texte initial, sans garantir une interdiction de ces pratiques, les cookies restant un enjeu stratégique pour les entreprises digitales des États membres de l’Union Européenne. Le temps que les débats aient lieu pour arriver à faire voter, adopter puis appliquer cette réglementation en la transposant en loi nationale, on peut avancer sans trop de risques que les cookies walls ont encore de beaux jours devant eux si aucune jurisprudence n’intervient.
ET L'UTILISATEUR DANS TOUT ÇA ?
À une autre échelle et de manière plus particulière, les données personnelles sont cibles d’assauts qui, à l’image de ces pratiques, sont parfois proches de l’expropriation. Le 20 mai dernier, les équipes de l’émission Cash Investigation sur France 2 révélaient les rouages d’un système pouvant être qualifié d’« opaque », notamment par rapport à la transmission des informations santé d’utilisateurs de Doctissimo à des partenaires commerciaux. Un marché des données qui équivaudrait selon le Forum économique mondial dans cet article de 2014, toujours très actuel, à 500 milliards de dollars dans son ensemble d’ici à 2024. Le consentement de l’utilisateur sur l’usage de ses données personnelles par une tierce personne apparaît plus que nécessaire, et d’autant plus lorsqu’elles sont source de profits.
Les revenus publicitaires étant généralement au centre de ces métiers spécialisés, ils représentent aujourd’hui une grosse part dans les bénéfices des entreprises du domaine, jusqu’à créer des postes dédiés à la monétisation de leurs « abonnés ». Peut-on seulement qualifier d’abonné ou d’audience un individu dont les données ont été recueillies par groupement ? C’est le principe des systèmes de co-sponsoring, qui mutualisent la collecte de données pour différents partenaires dès lors qu’un utilisateur (ou « prospect ») va remplir un formulaire avec nom, civilité, email, adresse, date de naissance, voire téléphone portable. L’important ici est de savoir que le coût d’un prospect à l'acquisition (c'est-à-dire quand on va « l'acheter » afin de l'ajouter à sa base de données) ne dépasse pas quelques dizaines de centimes. À l’image des données de suivi captées par les cookies, qu’en est-il des droits de l’utilisateur ? Pourquoi le contrôle de la valeur monétaire de ses données lui passe-t-elle sous le nez ? Et surtout, pourquoi d’autres entreprises font des bénéfices sur ses propres informations sans l’y inclure ?
La monétisation individuelle des données, ou du moins le contrôle effectif de celles-ci, apparaissent très probablement comme des enjeux futurs majeurs dans l’évolution des pratiques. Ils sont du moins souhaitables pour éviter des abus (certes souvent isolés mais bien réels) et rétablir une certaine confiance avec les entreprises qui ont une mainmise sur leurs données, qui ont le pouvoir de les rentabiliser en les partageant à leurs partenaires commerciaux. Une autre question se pose de manière plus actuelle : faut-il attendre de recevoir un mail ou de simplement croiser une publicité bizarrement un peu trop précise pour expressément refuser de recevoir les offres de telle ou telle marque ? C’est encore une fois une histoire de contrôle, et pour les personnes peu sensibilisées ou très peu familières avec ces codes d’Internet, c’est aujourd’hui mission quasi impossible.
Plutôt que d’ériger des barrières, ne serait-il pas préférable d’inclure l’utilisateur final en transparence, d’en faire un membre à part entière de l’expérience ? On n’apprend pas à connaître quelqu’un en le suivant à la trace, tout comme on ne fidélise pas un client en lui forçant la main, mais plutôt en lui faisant une place dans un monde au goût familier. A place to feel like home, mélangeant confort et sécurité. Et ça, ça peut faire toute la différence, surtout côté business.
Comments