Le recueil du consentement sur internet : un mensonge généralisé

Ces bandeaux sont insupportables, et ils ne sont pas en conformité avec la RGPD

Publié par Pixel de Tracking le 5 févr. 2020

Avec la RGPD, les internautes sont censés être mieux informés et protégés contre le pistage généralisé. Sauf que faute de sanctions, les internautes se retrouvent à lutter contre des bandeaux de consentement intrusifs et trompeurs. Voici un tour d'horizon des différentes mauvaises pratiques.

Considérer que la navigation sur un site vaut consentement

C'est une faille introduite en 2013 par la CNIL, qui note à l'époque dans sa délibération : "la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal".

Avec la RGPD, cette faille devient difficilement justifiable et la CNIL se voit obligée d'avancer. Après avoir publié de nouvelles lignes directrices en juillet 2019 et ouvert une période de concertation avec les professionnels, elle vient de présenter un projet de recommandation sur les modalités pratiques de recueil du consentement, ouvert à consultation publique jusqu'au 25 février. Elle indique notamment : "la simple poursuite de la navigation sur un site web ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies, qui doit désormais résulter d’un acte positif univoque de l’internaute".

Une fois la recommandation finale établie, elle laissera encore 6 mois aux acteurs pour s'y conformer avant de lancer des vérifications.

Aussi, vous pourriez croire que la navigation sur un site suppose de changer de page mais ce n'est pas le cas : le simple fait de scroller sur la page fait disparaître le bandeau de consentement et déclenche votre "acceptation du tracking".

Ci-dessous, les bandeaux des sites Lemonde.fr et Lefigaro.fr, qui adoptent tous les 2 cette technique. Notez que pour refuser, il vous faut d'abord aller sur "Paramétrer les cookies" ou "Configurer", ce qui est coûteux pour l'utilisateur.

bandeau_consentement_Lemonde

bandeau_consentement_Lefigaro

Déposer des cookies avant même consentement

Si vous avez bien lu le paragraphe précédent, vous pourriez croire que depuis 2013), il vous faut "naviguer" sur un site web pour que celui-ci puisse déposer des cookies (NB : tous les cookies ne sont pas concernés, ainsi les cookies de certains outils analytics sont exemptés). Aussi, la CNIL rappelle qu'elle continue de contrôler cette obligation : "Cette période d’adaptation n’empêchera pas la CNIL de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes. En particulier, les opérateurs doivent respecter le caractère préalable du consentement au dépôt de traceurs."

Qu'en est-il dans la réalité? Surfons sur le site Lefigaro.fr pour comprendre le décalage.

  • Désactivez votre adblocker
  • Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google
  • Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC) ou lancez Charles
  • Puis allez sur lefigaro.fr
  • Ne surfez pas sur lefigaro.fr, mais regardez les différentes requêtes envoyées vers des tiers, c'est la jungle

lefigaro_sans_consentement

Sur la capture d'écran (logiciel Charles), on peut voir que AppNexus, utilisé en tant qu'adserveur et SSP par Le Figaro (désormais appelé Xandr depuis son rachat par AT&T), dépose un cookie d'identifiant unique uuid2 (domaine : adnxs.com). Si l'on creuse un peu, on peut voir d'autres cookies tiers déposés tels que :

Si la CNIL contrôlait effectivement les sites web, elle aurait déjà sanctionné Lefigaro.fr (ainsi que les nombreux autres sites web qui ne respectent pas la législation existante).

Ne pas mettre au même niveau l'acceptation et le refus des cookies

C'est une mauvaise pratique généralisée sur le web, comme le montre l'étude "Do Cookie Banners Respect my Choice? Measuring Legal Compliance of Banners from IAB Europe's Transparency and Consent Framework" de Célestin Matte, Nataliia Bielova et Christina Santos, chercheurs à l'INRIA et illustré sur cet excellent site et sur ce thread Twitter :

Tweet_Nataliia_Bielova

Ce comportement illégal est ainsi observé par les chercheurs sur 236 sites web (sur les 1426 qui contiennent un bandeau de consentement avec le tampon de l'IAB, l'association des acteurs publicitaires).

Une autre étude "Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence" réalisée sur 10,000 sites anglais et publiée récemment par Midas Nouwens, Michael Veale et David Karger montre que le design de ces bandeaux de consentement a un poids considérable dans le choix de consentir ou non. Comme on peut s'y attendre, plus le refus est difficile, plus les internautes consentent comme l'explique Midas Nouwens via ce tweet :

Tweet_Midas_Nouwens

Un des points clé de l'étude : 93,1% des interactions sont limitées à la première page. Suivre plusieurs étapes pour refuser d'être pisté est ainsi trop long et trop complexe pour la grosse majorité des internautes.

Illustrons ce point avec lemonde.fr, une nouvelle fois mauvais élève. Supprimez vos cookies sur Chrome et rendez-vous sur lemonde.fr. Si tant est que vous ne scrolliez pas, ou que vous ne changiez pas de page (ce qui vaudrait pour acceptation des cookies), il vous faut d'abord cliquer sur "Paramétrer les cookies" (bouton moins valorisé que "Accepter").

bandeau_consentement_Lemonde.fr

Puis, pour éviter le dépôt des différentes catégories de cookies, vous devez décocher les 4 catégories pour lesquelles vous avez le choix et enfin cliquer sur "Valider les paramètres". En tout, 6 clics contre 1 seul pour accepter les cookies : il est peu étonnant que le taux d'acceptation des cookies soit haut !

Lemonde_refuser_cookies

Ces CMP (Consent Management Platforms, ou plateformes de recueil du consentement) sont peu nombreux observe Midas Nouwens : 5 sociétés couvrent 58% du marché anglais. Il pourrait ainsi être plus efficace pour le législateur d'interdire à ces sociétés de proposer des configurations illégales aux éditeurs. En tant qu'internaute, vous pouvez installer l'extension Firefox ou Chrome Consent-o-Matic qui remplit automatiquement ces formulaires.

Ne pas respecter les choix de l'internaute lorsqu'il ne consent pas

Afin de médiatiser l'étude "Do Cookie Banners Respect my Choice? Measuring Legal Compliance of Banners from IAB Europe's Transparency and Consent Framework", Célestin Matte, Nataliia Bielova et Christiana Santos prenaient l'exemple de Radio France qui n'offrait pas l'option de refuser le consentement sur ce tweet :

Tweet_Nataliia_Bielova_Radio_France

À noter que Radio France utilise la CMP (Consent Management Platform, l'outil en charge du recueil du consentement et de sa bonne transmission aux différents acteurs de la chaîne publicitaire) d'Axel Springer, énorme groupe de presse Allemand, qui considère que la publicité ciblée rentre dans la case "intérêt légitime" et donc qu'il n'a pas besoin de demander un consentement aux utilisateurs.

Depuis, la CMP de Radio France a été mis à jour, les utilisateurs peuvent donc faire l'effort de refuser différentes catégories de cookies, mais ces choix ne semblent pas correctement enregistrés... Observons les cookies déposés avant même de paramétrer le bandeau de consentement du site franceinter.fr.

France_Inter_avant_consentement

On a ici le même problème que sur le site lefigaro.fr, de nombreux tiers publicitaires sont appelés, avant même que l'utilisateur n'ait consenti. Si l'on regarde dans le détail, ce sont 2 iframes lancées par les solutions publicitaires de Google qui sont responsables de la fuite de données aux différents tiers publicitaires : tpc.googlesyndication.com & pagead2.googlesyndication.com. Il s'agit d'iframes déclenchées par l'adserveur éditeur et le SSP de Google dont France Inter est client : Google Ad Manager (anciennement faisant partie de Doubleclick).

Maintenant, si l'on décide de tout désactiver (refuser le pistage), on peut voir grâce à l'extension Chrome Cookie Glasses de l'équipe de chercheurs que le consentement est quand même accordé à tous les tiers, même s'il n'est accordé spécifiquement pour aucune catégorie de cookies.

France Inter Consentement negatif

Et si l'on surf ensuite sur différentes pages du site franceinter.fr, il semble que le refus n'ait rien changé : on continue de se faire pister par de nombreux tiers (lors de mon test : Doubleclick, Quantcast, BidSwitch, OpenX, MediaMath).

France Inter Consentement negatif

L'écosystème publicitaire a plusieurs problèmes avec le consentement :

  1. Les acteurs publicitaires ne devraient pas être en mesure de déposer des cookies avec un identifiant publicitaire s'ils n'ont pas reçu de consentement de l'internaute. Hors, ceux-ci s'alignent encore beaucoup sur la stratégie de Google qui est de ne pas servir de publicité personnalisée si absence de consentement mais de continuer à pister l'internaute à travers le web, de servir des publicitées contextuelles et de mesurer la performance de ces publicités. Plus précisément : à ma connaissance, aucun outil publicitaire ne fonctionne "sans dépose de cookies d'identifiants utilisateur".
  2. À la différence des autres outils utilisés par les éditeurs (analytics, réseaux sociaux, e-Commerce...), les outils publicitaire s'appellent mutuellement. Ainsi l'éditeur (France Inter) utilisant l'adserveur & SSP Google Ad Manager (relation directe), va se retrouver à afficher sur son site des publicités diffusées par de multiples acteurs tiers avec qui il n'a pas de relation directe (que ce soit en RTB ou en vente directe d'ailleurs). Pour diffuser leur publicité, ces acteurs tiers vont utiliser un DSP (plateforme d'achat), un adserveur (outil de diffusion et de mesure), un outil pour mesurer la visibilité (est-ce que la pub est affichée à l'écran ou est-elle cachée ?), un outil pour mesurer la fraude (qui est derrière l'écran, un vrai utilisateur ou un bot ?), etc. Ce qui explique les listes à rallonge d'acteurs qui demandent un consentement, et le manque de contrôle des éditeurs qui diffusent de la publicité.
  3. Contrariété supplémentaire, France Inter utilise l'adserveur & SSP de Google, outils qui ne communiquent toujours pas la chaîne de consentement aux acteurs publicitaires tiers, car Google ne fait pas encore parti de "l'IAB Transparency and Consent Framework". Ce protocole a été développé par le TechLab de l'IAB, association des acteurs publicitaires en charge de l'édiction de standards techniques, afin de se mettre en conformité avec la RGPD (après de multiples reports, Google prévoit d'adopter la v2 du Framework à la fin du premier trimestre).

Les éditeurs peuvent-ils respecter la RGPD?

Oui mais s'ils sont dépendants de la publicité pour vivre, le respect de la loi est contraignant :

  • Mettre au même niveau l'acceptation et le refus des cookies entraînera un fort taux de refus.
  • Aussi, la "solution" mise en place par l'IAB pour se mettre en conformité avec la RGPD, le Transparency and Consent Framework (TCF), par son architecture, ne bloque pas les cookies ni les appels à des tags tiers, elle ne permet pas aux éditeurs de contrôler ce qu'il se passe sur leurs sites. Lisez à ce propos "Mécanismes et (r)écueil du consentement" de Benjamin Poilvé, Ingénieur au service de l’expertise technologique à la CNIL.
  • Si refus des cookies par l'internaute, l'écosystème publicitaire n'étant pas du tout prêt à un monde sans cookies, la solution propre serait de ne pas diffuser de publicité (le "tag manager" du client, outil décidant de l'activation des tags, devrait alors désactiver les tags publicitaires).

L'écosystème publicitaire risque néanmoins de devoir s'adapter de force car après Safari, Firefox et Brave, Chrome devrait bientôt ne plus permettre de déposer des cookies tiers (d'ici 2 ans d'après leur annonce).