Le futur des cookies, ou l'art de (ne pas) contourner le RGPD
La célèbre formule de Lapradelle nous affirme que ce ne seraient non pas les juristes, mais les ingénieurs avec leurs inventions qui feraient le droit[1]. Si cette maxime est parfois contestable, ce qui ne l’est en revanche pas, c’est que les ingénieurs peuvent rivaliser d’inventivité pour tenter de contourner le droit, comme l’illustre la relation complexe entre Google et le droit européen de la protection des données. Ainsi, la lutte contre le droit ne se fait pas nécessairement par le droit, mais peut prendre des chemins détournés. Revenons donc sur quelques années d’innovations techniques, qui partagent pour caractéristique surprenante de n’avoir absolument aucun avantage sur la technologie vieillissante des cookies, si ce n’est qu’elles ont pu sembler, à tort, échapper à la législation actuelle.
Vous reprendrez bien un cookie ? – L’ère du pistage serait-t-elle terminée depuis belle lurette ? C’est ce que l’annonce par Google de la fin des cookies tiers, claironnée en 2019 lors du lancement d’un projet intitulé Privacy Sandbox, pouvait initialement laisser penser[2]. La technologie des cookies, définie comme le fait de laisser un traceur sur le terminal d’un utilisateur par un tiers[3], permet aux annonceurs publicitaires d’identifier une personne physique et de suivre ses activités sur le web afin de lui proposer des contenus publicitaires ciblés. Elle est régie par des dispositions protectrices de la vie privée des utilisateurs et qui encadrent l’activité économique des annonceurs sur internet. La loi Informatique et Libertés[4] et le Règlement Général sur la Protection des Données[5] (ci-après RGPD) imposent depuis 2018 aux responsables de traitement de collecter au préalable un consentement libre, spécifique, éclairé et univoque, avant de déposer un traceur sur les ordinateurs, téléphones ou tablettes des utilisateurs. Or la majorité des sites internet utilise des méthodes trompeuses, dites « dark patterns », qui visent à manipuler le consentement de l’utilisateur en rendant difficile le fait pour lui de refuser le pistage publicitaire, notamment en masquant cette option ou en multipliant le nombre de clics pour y parvenir. A titre d’exemple, en 2020, 90% des 10 000 sites les plus populaires en Grande-Bretagne utilisaient ce type de méthodes[6]. Dans ses lignes directrices sur les cookies et autres traceurs[7], la CNIL est donc venue admonester la même année les régies publicitaires pour leur manque de respect des règles et a précisé les modalités de recueil du consentement des utilisateurs, pour qui il doit être « aussi facile de refuser ou de retirer son consentement que de le donner », ce qui diminue depuis la proportion d’internautes acceptant sciemment un tel suivi. Les représentants du secteur, craignant de voir fondre le taux d’acceptation des cookies et leurs revenus publicitaires[8], ont donc développé de nouvelles stratégies pour sauver leur modèle économique au détriment de la protection des utilisateurs.
Des empreintes numériques laissées à votre insu. – On parle de fingerprinting, ou de collecte d’empreinte numérique, pour désigner des procédés techniques qui visent à identifier et suivre le comportement d’un utilisateur même lorsqu’il désactive ou refuse explicitement les cookies. Grâce au matériel physique du terminal et à sa configuration par l’utilisateur, ces méthodes permettent d’identifier un individu avec jusqu’à 95% de précision sans stocker de cookie sur son terminal[9]. On trouve des procédés de fingerprinting sur un quart des 10 000 sites les plus fréquentés[10]. Contrairement aux cookies, cette technologie n’est pas explicitement visée par le RGPD, néanmoins la notion de données personnelles comprend les informations se rapportant à une personne identifiable directement mais aussi indirectement, notamment par croisement de données. Aussi, il n’est pas nécessaire que l’identité d’un utilisateur soit réellement établie, mais il suffit que les données collectées à propos d’un utilisateur puissent vraisemblablement permettre de l’identifier dans un objectif commercial, pour que son consentement soit requis. Comme le Groupe de travail « Article 29 » de l’Union Européenne l’a fait remarquer, « en réalité, prétendre que les individus ne sont pas identifiables alors même que le seul objectif du traitement de données est précisément de les identifier serait une véritable contradiction »[11]. La pratique du fingerprinting est donc bien soumise au droit européen des données[12]. Reste que de facto, il est très ardu techniquement de repérer et de sanctionner ces méthodes qui peuvent fonctionner passivement sur un site internet sans échange de données avec le terminal utilisateur. En l’état, seules certaines méthodes actives de fingerprintingpeuvent être détectées, et il semblerait qu’elles n’aient encore jamais fait l’objet d’une sanction par la CNIL, qui ne dispose déjà pas de suffisamment de moyens pour contrôler le respect des règles relatives aux cookies.
Tout sur vous, sauf votre nom. – C’est notamment pour lutter contre la collecte frauduleuse de cookies et le fingerprinting que Google a proposé de remplacer en 2023 les cookies publicitaires par la méthode du Federated Learning of Cohorts (ci-après FLoC). Il s’agit d’opérer directement le traitement des données personnelles sur l’ordinateur de l’utilisateur plutôt que de laisser des tiers s’en charger, afin de le classer dans un groupe d’utilisateurs, appelé cohorte, qui partage des caractéristiques communes. Aussi, les publicitaires devraient seulement avoir accès à la cohorte de l’utilisateur, c’est-à-dire aux domaines d’intérêt d’un individu anonymisé dans un groupe, sans pouvoir l’identifier individuellement. Le FLoC n’a donc pas pour vocation de mettre fin aux comportements prédateurs des annonceurs, et les partisans de cette méthode espèrent qu’elle permettra d’échapper à la qualification de données personnelles tout en conservant la même rentabilité[13]. Néanmoins, alors que cette méthode prétend protéger les données personnelles des utilisateurs, cette technologie pourrait en réalité révéler plus d’informations sur l’utilisateur que par le truchement de simples cookies. En effet, toute navigation sur internet avec FLoC commençant par une déclaration automatique des centres d’intérêts principaux de l’utilisateur, il sera loisible à un site internet connaissant par ailleurs l’identité de l’utilisateur (soit parce qu’il a un compte sur ce site, soit par des méthodes de fingerprinting), de le rattacher à ces informations, qui n’auraient auparavant pas été révélées en totalité par des cookies. La cohorte d’un utilisateur, indirectement rattachable à une personne identifiable, devrait donc en toute logique juridique tomber sous le coup de la qualification de données personnelles, et le législateur européen sera sans aucun doute amené à se prononcer sur les conditions d’un consentement libre et éclairé des utilisateurs à cette technologie lorsqu’elle se développera. La différence essentielle étant que le consentement à l’usage du FLoC est unique lors de la configuration du navigateur et non répété à chaque entrée sur un site internet comme avec les cookies, ce consentement devra a minima résulter d’une information suffisante de l’utilisateur, ne pourra pas être activé par défaut sur son navigateur, et devra demeurer révocable à tout instant.
Des rétropédalages en série. – Quel sera donc le sort de ces innovations complexifiant la collecte de données personnelles, dans le seul but d’échapper à la législation européenne ? Il est difficile d’établir une réponse claire à cette question, tant les voltes faces ont été nombreuses. Depuis que l’abandon des cookies a été annoncé, pas une année ne s’est écoulée sans qu’il n’y ait un abandon de cet abandon, le dernier datant d’avril 2025[14]. Alors que le FLoC devait être une solution idéale face aux cookies et au fingerprinting, cette méthode est sévèrement critiquée par les régulateurs de données, et ne semble pas constituer encore une alternative crédible aux cookies, d’où le retour de ces derniers sur la scène. Cerise sur le gâteau, depuis février 2025, Google permet désormais aux annonceurs de pratiquer le fingerprinting, pratique que la société refusait jusqu’alors, puisqu’elle déclarait elle-même que « contrairement aux cookies, les utilisateurs ne peuvent pas effacer leur empreinte numérique et ne peuvent donc pas contrôler la manière dont leurs informations sont collectées. Nous pensons que cela porte atteinte au choix de l’utilisateur et que c’est une erreur »[15]. Ne dit-on pas qu’il n’y a que les imbéciles qui ne changent pas d’avis ? Gageons qu’à la minute où il sera établi que cette méthode, plus coûteuse et moins fiable que les cookies, n’enlève en rien la qualité de données personnelles aux informations captées, il y sera renoncé aussi aisément qu’au reste…
Conclusion. – Quelles que soient les méthodes techniques développées pour contourner la règlementation européenne, on peut penser que tant qu’elles viseront à produire une publicité ciblée, elles représenteront toujours un risque pour les données personnelles des personnes concernées. Si le RGPD profite aujourd’hui d’une définition large de son domaine d’application qui devrait couvrir tant le fingerprinting que le FLoC, cette règlementation demeure limitée par une approche du marché publicitaire centrée sur les données personnelles, qui invite les annonceurs à rivaliser de créativité pour tenter d’y échapper par cette course à l’armement numérique. Pour mettre fin à ce jeu de dupes, il sera donc nécessaire que le législateur européen régisse un jour la question de la publicité ciblée en raison de l’objectif qu’elle vise plutôt que du moyen employé pour y parvenir. Faute de quoi nous ne cesserons de découvrir des inventions qui, à défaut de faire le droit, ne parviendront au moins pas à le défaire.
Notes
[1] A. de Lapradelle, Revue des deux mondes, 1908.
[2] J. Schuh, « Building a more private web », The Keyword – Google Chrome, 22 août 2019.
[3] Article 53 de la directive 2002/58/CE modifiée en 2009, transposé dans l’article 82 de la loi « Informatique et Libertés » du 6 janvier 1978.
[4] Article 82 de la loi « Informatique et Libertés » du 6 janvier 1978 tel que modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018.
[5] Articles 4(11) et 7 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[6] Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, Nouwens et al. dans Proceedings of CHI ’20 CHI Conference on Human Factors in Computing Systems, 25 Avril 2020, Honolulu.
[7] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019.
[8] F. Dèbes, « Cookies, les acteurs de la publicité en ligne vent debout contre la CNIL », Les échos, 14 janvier 2020.
[9] How Unique is Your Web Browser? Dans Proceedings of the 10th International Conference on Privacy Enhancing Technologies (PETS’10). Springer-Verlag, Berlin, Heidelberg, 1–18, Peter Eckersley, 2010.
[10] Fingerprinting the Fingerprinters: Learning to Detect Browser Fingerprinting Behaviors, dans le 2021 IEEE Symposium on Security and Privacy, San Francisco, US, 2021 pp. 283-301, U. Iqbal, S. Englehardt and Z. Shafiq.
[11] Groupe de travail Article 29 sur la protection des données, Opinion 4/2007 sur le concept de données personnelles et opinion 9/2014 du 25 novembre 2014 sur l’application de la directive 2002/58/CE à la capture d’empreintes numériques.
[12] En particulier à l’article 5(3) de la Directive ePrivacy 2002/58/EC, tel qu’amendé par la Directive 2009/136/EC.
[13] Building a privacy-first future for web advertising, Communication de Google Ads, 25 janvier 2001, Chetna Bindra.
A. Chavez, « Prochaines étapes pour Privacy Sandbox et les protections contre le suivi dans Chrome », Blog Google, 22 avr. 2025
[15] J. Schuh, « Building a more private web », The Keyword – Google Chrome, 22 août 2019.
