La bannière nous invitant à accepter ou refuser l’installation d’un cookie lors de notre navigation web est beaucoup moins efficace que prévu.
Introduction
Un simple clic suffirait-il à refuser que les géants du Web, qui font l’essentiel de leur chiffre d’affaires sur le ciblage publicitaire, nous pistent à la trace ? C’est le doux rêve entretenu par le Règlement général pour la protection des données (RGPD) en Europe depuis presque dix ans, et en Californie par le California Consumer Privacy Act (CCPA). Pourtant, un rapport de l’organisation webXray, analysé par 404 Media, affirme que la plupart des acteurs de la pub en ligne ne respectent pas le consentement des internautes.
Le refus des cookies ne fonctionne tout simplement pas
Lorsque l’on clique sur le bouton « refuser » d’une bannière demandant votre consentement à l’installation d’un cookie, on envoie un signal via l’en-tête HTTP du site web indiquant, pour résumer : je ne veux pas que mes données soient collectées. Mais, d’après webXray, Google, Meta, Microsoft et bien d’autres déposent malgré tout un cookie, bafouant la décision de l’internaute qui se croit en sécurité.
404 Media a pu vérifier les allégations de l’organisation en analysant le trafic réseau sur plusieurs pages. Il s’avère que Google prend acte du choix de l’utilisateur… et procède comme si de rien n’était. Meta fait encore pire, et n’analyse tout simplement pas le choix de l’internaute. Quel que soit son choix, un cookie est installé pour pister l’utilisateur et récupérer de juteuses données qui seront ensuite vendues à des annonceurs.
Selon 404 Media, 55 % des bandeaux demandant le consentement de l’internaute à être pisté sont inutiles. Dans le détail, Google ne respecte pas le choix de l’utilisateur dans 87 % des cas analysés, suivi de Meta (69 %) et Microsoft (50 %).
Timothy Libert, PDG de webXray, sait de quoi il parle : il était l’ancien responsable de la conformité des cookies chez Google jusqu’en 2023. Pourtant, Google se défend, arguant que ce rapport est basé sur « une méconnaissance fondamentale du fonctionnement de [ses] produits ». « Nous respectons les demandes de retrait fournies par les annonceurs et les éditeurs, conformément à la loi », assure encore le géant du Web, déjà condamné à maintes reprises pour son laxisme en matière de récolte de données.
Vers une avalanche de nouveaux procès ?
L’étude de webXray se concentre essentiellement sur le marché américain, où le CCPA californien (moins robuste que le RGPD) base la quasi-totalité de son arsenal sur la reconnaissance du « GPC », la fameuse en-tête HTTP censée refuser le suivi intersite. Un GPC également reconnu en Europe dans le cadre du RGPD. Par conséquent, même si les chiffres manquent à l’analyse de webXray, il y a de fortes chances que les bandeaux de cookies sur lesquels vous cliquez machinalement en entrant sur un site web ne servent à rien ici non plus.
Une révélation qui change tout, et qui pourrait entraîner une nouvelle avalanche de procès à l’encontre des géants du Web – tous déjà condamnés à différents niveaux à d’importantes amendes en raison de leur gestion des données personnelles de leurs utilisateurs et utilisatrices.
Pourtant, Timothy Libert assure qu’une seule ligne de code permettrait de rendre le GPC réellement efficace, renvoyant une erreur de chargement « pour raisons légales ». Mais Google, Meta, Microsoft et tous les autres ne trouveraient-ils pas, eux aussi, une porte dérobée pour continuer le siphonnage de nos données ?
Journaliste
