Comme le rappelle avec humour Luc Fayard, le cookie est « anciennement (un) petit gâteau sucré, qu’on acceptait avec plaisir. Aujourd’hui : (c’est un) petit fichier informatique drôlement salé, qu’il faut refuser avec véhémence ». En effet, c’est grâce à ces cookies que les exploitants de sites internet peuvent collecter les données personnelles de leurs utilisateurs. Si l’on comprend aisément l’intérêt qu’en tirent les exploitants, qu’en est-il des internautes ? Que se produit-il lorsque, entrant sur un site internet, ils cliquent quasi automatiquement sur la touche qui leur est proposée de « Tout accepter » ? C’est la question à laquelle l’UNESCO a cherché à répondre en créant la « Cookie Factory ».
Les cookies, clef de voûte du pistage publicitaire
Un cookie est défini par la CNIL comme « un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à l’ensemble des pages d’un site web ». Ilest la clef de voûte du tracking, ce pistage publicitaire des internautes par la captation de leurs données personnelles. Mais il a d’autres finalités : l’authentification d’un service, la mémorisation du panier d’achats, l’utilisation des données collectées dans un but statistique, la mesure de l’audience, la facilitation de la communication électronique ou encore le ciblage d’offres personnalisées. De façon plus large, les cookies permettent de connaître et de mémoriser les habitudes de consommation des utilisateurs.
Pour éviter les dérives liées au détournement de données personnelles des internautes notamment par ces cookies – on penseau scandale Cambridge Analytica par lequel les données personnelles de 83 millions d’utilisateurs de Facebook ont été utilisées sans leur approbation – un renforcement du cadre juridique européen a été opéré. Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrait en vigueur ; il vise à protéger la vie privée des citoyens européens face aux traitements de leurs données à caractère personnel. La gestion des cookies y fait l’objet d’une attention toute particulière : en application des articles 4 et 7 du RGPD, les sites web doivent nécessairement récolter le consentement préalable des utilisateurs. Toutefois, cela ne suffit pas à entraîner une prise de conscience collective suffisante des utilisateurs, malgré les recommandations sur l’éthique de l’Intelligence économique de l’UNESCO. C’est pourquoi l’organisme a lancé un générateur de faux cookies.
La Cookie Factory, générateur de faux cookies
Disponible depuis le 24 novembre dernier, la Cookie Factory a été développée pour l’UNESCO par l’agence de communication DDB Paris et le studio Make Me Pulse. Son objectif est de tromper les sites web en élaborant des identités fictives afin de « hacker » les algorithmes de traçage et en simulant l’utilisation des nouveaux cookies lors de la navigation. Il est possible de choisir entre 36 profils ou de créer le sien.
L’UNESCO s’en explique dans un trailer : « Sans éthique, l’Intelligence Artificielle menace votre droit à la vie privée. C’est pourquoi l’UNESCO est déterminé à le défendre. Et c’est pour ça que nous avons créé la Cookie Factory. Une extension de navigateur qui nourrit l’IA avec de fausses données ». Ainsi, par ce projet, l’organisme international souhaite attirer l’attention sur la régulation de l’intelligence artificielle et le pouvoir des nouvelles technologies. Le ciblage publicitaire en ligne est une source de revenus considérable, ce qui engendre une hyperpersonnalisation des offres marketing.
L’Union européenne contre les cookies ?
La Commission européenne, consciente des enjeux de cette collecte massive de données personnelles, a proposé une mise à jour et un renforcement de la directive e-privacy de 2002, en complément du RGPD, par le biais d’une proposition de règlement encore en discussion et considérablement ralentie par les GAFAM. Après 3 ans de tergiversations, les États membres ont finalement donné leur feu vert au texte le 10 février 2021 et se sont accordés sur un mandat de négociation, en vue de la révision des règles en matière de protection de la vie privée et de confidentialité dans l’utilisation des services de communications électroniques.
Des débats vont démarrer devant le Parlement européen et le Conseil européen qui détermineront le contenu précis du texte. En matière de cookies, le nouveau règlement e-Privacy devraitrenforcer le devoir d’information et l’exigence du consentement des utilisateurs en renvoyant aux dispositions du RGPD. Ainsi la simple poursuite sur un site sans action sur le bandeau cookie ne sera plus considérée comme une acceptation. Alors que la CNIL adoptait en septembre dernier ses lignes directrices en matière d’utilisation par les sites des cookies et autres traceurs, et proposait aux internautes l’utilisation de Cookieviz, un outil de visualisation pour mesurer l’impact des cookies et autres traqueurs, la pression est telle que certaines Big tech comme Apple ont choisi délibérément de renforcer la protection de la privée de leurs utilisateurs, s’attirant les foudres de leurs concurrents dont Facebook et Google.
Les données personnelles qualifiées parfois d’or noir du XXIe siècle seront au cœur d’un combat de valeurs entre le mercantilisme américain et la préservation européenne de la personne humaine. En effet, il prévaut bien de part et d’autre de l’Atlantique deux conceptions opposées du rapport des individus au marché. Tandis qu’en Amérique du Nord, une donnée émise par une personne est a priori considérée comme ayant une valeur marchande, elle est perçue en Europe comme une propriété de son émetteur, une propriété qu’il convient de défendre. Les autorités de contrôle seront sans doute les arbitres incontournables de cette lutte entre deux visions opposées du monde. L’Union européenne va devoir en tout cas affirmer sa puissance normative.
Article rédigé par Inès Chenouf, étudiante en Master Droit des Affaires, sous la supervision des professeurs Isabelle Bufflier et de Frédéric Munier.