L’utilité du cookie lors du processus d’identification

By 27 December 2012

Les logiciels indiscrets : une atteinte aux personnes – Partie II :

Chapitre 1 : Une identité de plus en plus dévoilée

Avec l’avènement d’Internet, la notion d’identifiants est désormais une composante de notre société. Conscient des problèmes liés à ces identifiants et afin de préserver au mieux l’intimité et la vie privée des internautes, la loi du n° 78-17 du 6 janvier 1978 est intervenue. Le réel succès de cette loi vient de la création de la C.N.I.L. qui est l’organe chargé de veiller à la bonne exécution de la loi.

Il convient d’étudier les méthodes permettant d’identifier les interlocuteurs, d’une part, et les règles applicables concernant la collecte des données personnelles, d’autre part.

Section 1 : Une identification qui suscite de plus en plus de convoitises

Il convient de distinguer l’utilité du cookie lors du processus d’identification, d’une part, et les nouveaux moyens mis en œuvre pour l’établissement de l’identité, d’autre part.

§1 : L’utilité du cookie lors du processus d’identification

A) Les avantages du cookie

Le cookie présente tout d’abord un intérêt pour les professionnels du réseau et plus particulièrement pour le secteur de la vente par correspondance. En effet, le cookie va permettre de cibler les clients qu’ils soient actuels ou potentiels.

Le cookie ne se résume pas à cela, et une fois implanté sur un poste client, il pourra identifier les utilisateurs, contrôler les mots de passe, analyser leur parcours au cours d’une session, mesurer l’audience d’un site, etc…

Cette technique permet ainsi de développer une nouvelle forme de marketing appelé le « one to one ». La globalisation des marchés entraîne une standardisation des produits et des services. Les entreprises sont donc de plus en plus confrontées à une érosion de leurs marges et à une volatilité de leurs clientèles.

Pour contrer ce phénomène, l’entreprise doit, plus que jamais, mettre le client au centre de sa stratégie pour être en mesure de :
– lui offrir des services personnalisés qui le fidéliseront
– rester à son écoute pour anticiper ses besoins
– profiter de chaque interaction pour mieux le connaître afin de mieux le servir

Le marketing « one to one » est une démarche qui répond aux besoins énoncés précédemment en se basant sur deux axes : la collecte systématique et continue d’informations sur chaque client et l’utilisation des ces informations lors de chaque interaction avec le client pour personnaliser la relation et offrir un meilleur service

Contrairement au marketing de masse, le one to one offre au client que vous ciblez des services, des informations et des produits personnalisés, qui l’intéressent vraiment. Le cookie est donc un outil indispensable pour le marketing « one to one ».

En matière de publicité, le cookie joue également un rôle majeur. Il permettra, dans un premier temps, au site Web utilisant des bandeaux publicitaires sur son site de se faire rémunérer. En effet, les cookies sont indispensables aux sites pour disposer d’une mesure fiable de leur audience. Sans mesure d’audience, il ne peut pas y avoir de marché publicitaire. Or, la publicité est une partie non négligeable des revenus des éditeurs.

Dans un second temps, le cookie joue un rôle de personnalisation de la publicité, qui, en fonction des critères de l’internaute contenus dans le cookie (sexe, goûts, navigation, …) va deviner vos centres d’intérêt et vous proposer des annonces adaptées (ciblage de la clientèle).

Le cookie joue donc le rôle d’un indicateur en matière de publicité et ce dernier pourra amener les responsables du site Web à modifier l’emplacement de leurs bannières publicitaires afin d’en augmenter leurs tarifs. En effet, les tarifs pratiqués pour l’insertion d’un message publicitaire dans un site Web sont dépendants de la popularité du site.

Le cookie peut également servir d’indication au créateur d’un site Web qui peut retracer l’itinéraire emprunté par un internaute sur son site. S’il estime que l’internaute n’a pas accédé à ce qu’il souhaitait de manière directe, il peut, le cas échéant, optimiser son site afin de rendre sa visite plus homogène.

Dans cette perspective, certains sites Web proposent un accès personnalisé aux internautes qui accèderont d’office aux pages qu’ils consultent le plus souvent.

Toutes les données ainsi collectées par les cookies restent anonymes et, dans le meilleur des cas, elles n’identifieront qu’un ordinateur (adresse IP). Il est toutefois possible de connaître l’identité d’une personne à partir d’une adresse IP. Le Fournisseur d’Accès à Internet (FAI) est en effet capable d’identifier l’internaute se trouvant « derrière » une adresse IP puisque c’est ce dernier qui les attribue mais il n’a en revanche aucune raison de divulguer le nom de cette personne. De plus, l’adresse IP ne permet pas de connaître le nom de la personne qui se trouvait en train de surfer au moment où elle a été relevée. Elle ne permet d’identifier que le titulaire du contrat d’abonnement. Cette limite est assez restrictive puisque, dans la majorité des cas, il n’y a qu’un seul utilisateur par ordinateur qui se trouve être le titulaire dudit contrat d’abonnement.

Dans la plupart des cas, le cookie ne constitue donc qu’un outil de profilage et les données ainsi collectées restent anonymes. L’anonymat sera levé dès lors que l’internaute aura laissé ses coordonnées sur le site.

Les cookies présentent moins d’avantages pour les internautes qu’ils n’en présentent pour les professionnels.

Les cookies permettant aux créateurs de sites Web de suivre les déplacements des internautes à l’intérieur de leur site, il est donc possible, une fois le trajet habituel de l’internaute analysé, de lui permettre d’accéder directement aux pages qu’il consulte le plus souvent. L’internaute accèdera ainsi à la page souhaitée avec une rapidité incontestable.

B) Un identifiant toléré mais encadré

Le cookie apparaît comme une collecte limitée de données puisqu’il ne peut enregistrer que des informations que l’internaute a consenti à faire paraître. Ainsi, s’il a configuré son navigateur en indiquant son adresse courriel, le cookie sera capable de récupérer son adresse courriel. L’internaute ne souhaitant pas divulguer son adresse n’est donc pas obligé de l’inscrire dans son navigateur. Encore faut-il que tous les internautes connaissent cette pratique, ce qui est loin d’être certain !

Le cookie est un fichier texte et, à l’inverse d’un programme informatique, il ne permet pas la recherche active d’une information contenue dans ce cookie mais uniquement d’y stocker des informations. Le cookie permet de stocker différents éléments tels que la date et l’heure permettant à l’administrateur du site Web de calculer la fréquence des visites.

Le cookie ne contient donc aucune information nominative et il n’en contiendra qu’à partir du moment où l’internaute aura volontairement enregistré ses coordonnées. Toutefois, il y a un certain temps, une faille de sécurité existait dans Java Script. Cette faille permettait aux administrateurs de sites les moins scrupuleux de récupérer l’adresse courriel de l’internaute sans que ce dernier ne l’ait fourni à un quelconque moment. Cette faille a heureusement été découverte et corrigée avec la version ultérieure.

D’autres failles existent, plus subtiles et relevant souvent du bogue. Il s’agit du problème de certaines URL utilisant des caractères spéciaux permettant ainsi de tromper le navigateur sur la provenance des réponses HTTP et de déposer ou de récupérer des cookies destinés à un autre site. Pour se prémunir de ce genre de problème, il est conseillé de mettre à jour régulièrement la version de son navigateur.

Le cookie peut donc présenter certains risques même si, dans l’ensemble, les données ainsi collectées sont plutôt limitées. La C.N.I.L. a eu l’occasion de se prononcer sur les cookies.

En effet, la C.N.I.L., dans son 18ème rapport annuel (1997), avait considéré les cookies comme des fichiers de données nominatives, dont le traitement automatisé nécessite une déclaration. Les règles applicables en matière de données personnelles seront traitées dans le chapitre 2 de la présente partie.

De plus, la circulaire du 7 octobre 1999 relative aux sites Internet des services de l’Etat impose certaines choses :

« Les sites publics doivent s’attacher à garantir la confidentialité des données à caractère personnel qu’ils sont amenés à traiter, qu’il s’agisse de données relatives aux agents ou aux usagers. L’emploi de témoins de connexion (« cookies ») permanents doit, de manière générale, être évité ».

« S’il est néanmoins décidé d’y recourir, parce qu’il apparaît de nature à améliorer significativement le service rendu à l’usager, ce ne peut être que sous deux conditions cumulatives :
• l’usager en est préalablement averti ;
• il lui est proposé un mode alternatif d’accès au service. Il est rappelé que, en vertu de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, toute personne peut s’opposer à la diffusion d’informations la concernant. Ce droit, qui est ouvert aux usagers comme aux agents de l’administration, peut s’exercer avant l’ouverture du site, mais aussi à tout moment une fois que le site est ouvert. Il va de pair avec un droit d’accès et de rectification des données ».

Le site de la C.N.I.L. permet, avec sa rubrique « vos traces », de mettre en lumière de façon explicite le problème du suivi des internautes.

Dans son 22ème rapport d’activité44, la C.N.I.L. nous fait part des nouvelles dispositions concernant les cookies figurant dans le projet de loi résultant de la directive du 24 octobre 1995 : « La transposition de la directive du 24 octobre 1995 a connu une première étape législative importante : le projet de loi, adopté en Conseil des ministres après consultation de la CNIL et avis du Conseil d’État, a fait l’objet d’un premier vote à l’Assemblée nationale le 30 janvier 2002 et a été adopté sans modifications substantielles par rapport aux grandes orientations gouvernementales qui avaient été exposées dans le précédent rapport d’activité.45 Toutefois, certaines dispositions nouvelles qui ont été introduites au cours de ces premiers débats parlementaires, méritent d’être présentées. »

« Le projet comporte désormais des dispositions spécifiques sur Internet, et tout particulièrement sur les cookies. Ces dispositions ont fait l’objet de nombreux commentaires et, semble-t-il, d’importantes discussions avec les professionnels concernés.

Elles précisent que l’utilisation des réseaux en vue de stocker des informations dans le terminal d’un internaute (le disque dur), ou d’accéder à des informations ainsi préalablement stockées dans le terminal (la lecture d’un « cookie » précédemment stocké), n’est autorisée que si l’internaute a été préalablement informé de manière « claire et complète » des finalités du cookie et des moyens de s’y opposer. Elles interdisent par ailleurs de subordonner l’accès à un service Web à l’acceptation des cookies, et ménagent des dérogations lorsque le cookie a pour seule finalité d’assurer la sécurité d’une connexion, ainsi par exemple, l’accès à une messagerie distante. »

« Ces dispositions consacrent la doctrine développée par la CNIL qui n’avait pas estimé utile de suggérer qu’elles soient consacrées au niveau législatif. L’amendement initialement présenté s’inspirait de très près d’un amendement que le Parlement européen avait adopté à l’occasion de la révision de la directive relative à la protection des données personnelles en matière de télécommunications. L’amendement discuté devant le Parlement européen avait pour objet d’interdire que des informations puissent être stockées dans l’équipement terminal, d’un abonné, ainsi que tout accès à des informations stockées dans ce terminal sans le consentement préalable de la personne concernée. Cette disposition visait à interdire les logiciels espions et ne pouvait, à ce titre, qu’être approuvée. Cependant elle conduisait également à soumettre au consentement préalable de l’internaute l’usage des cookies. »

« Dans sa généralité, une telle disposition ne paraissait pas adaptée, ce qui a conduit la CNIL à diffuser un communiqué de presse le 7 décembre 2001 sur cette question. S’il est vrai, en effet, que certains usages de cette technologie, notamment aux États-Unis, ont pu susciter de légitimes inquiétudes il y a quelques années, la réaction des internautes et des autorités de protection des données ont largement permis de les apaiser. Ainsi, les navigateurs les plus répandus permettent, grâce à un paramétrage très simple à mettre en œuvre, d’être systématiquement informé de l’envoi d’un cookie et de s’y opposer. Ils permettent également de refuser systématiquement tout cookie. Enfin, à la différence des données personnelles enregistrées sur le serveur d’un tiers, les cookies qui ne peuvent être lus que par son émetteur peuvent être effacés par l’internaute de son disque dur. La rubrique « Vos traces sur Internet » sur www.cnil.fr46 donne les précisions utiles à cet égard. »

La CNIL a rappelé que la plupart des cookies jouent le rôle de simples « témoins de connexion » destinés à faciliter la navigation sur un site Web ou à sécuriser l’accès (à sa messagerie électronique par exemple) sans avoir à ressaisir des informations identifiantes, et qu’elle recommandait depuis juillet 1998 que le site émetteur informe les internautes de la finalité des cookies, de leur durée de validité s’ils ne sont pas effacés par l’internaute à l’issue de la session, et des conséquences de la désactivation de ces procédés. Elle indiquait qu’une information claire et complète sur ces points était seule de nature à apaiser les inquiétudes trop souvent encore entretenues par un regrettable défaut de transparence. En définitive, la Commission considère comme satisfaisante la rédaction d’équilibre finalement retenue, à ce stade de la procédure parlementaire, par l’Assemblée nationale. »

Un autre problème concernant les cookies est relatif aux règles dites d’opt in et d’opt out.

En adoptant le 30 mai 2002 la directive sur « le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques », le Parlement européen a, finalement, assouplit sa position sur les cookies utilisés par les sites internet.

Inquiets des pratiques abusives de certains sites de commerce électronique et des violations de la vie privée en ligne, nombre d’acteurs de la scène politique européenne militaient en faveur d’une action forte : l’installation d’un cookie sur un ordinateur devrait nécessiter l’obtention de l’accord préalable de son propriétaire.

La position commune annoncée mercredi 30 mai, entre le Parlement et le Conseil, part du principe que les cookies ont un intérêt pour la publicité et les transactions en ligne, ainsi que pour l’architecture d’un site.

À l’avenir, le Parlement souhaite que les sites Web fournissent « des informations claires et précises sur les finalités des cookies ». Les administrateurs de sites devront également laisser la possibilité aux internautes de refuser l’installation d’un cookie, et le texte final de la directive précise que « les méthodes mises en oeuvre pour délivrer l’information, proposer le droit de refuser ou demander le consentement devront être aussi conviviales que possible ».

Dans un autre registre, le 22ème rapport d’activité de la C.N.I.L., a annoncé une action d’envergure concernant la pratique du spamming. Une boîte aux lettres électronique spam@cnil.fr est ouverte. Les personnes sont invitées à transférer vers cette « boîte à spam » les courriels publicitaires non sollicités qu’elles reçoivent.

Pour permettre l’identification des expéditeurs via l’en-tête du message d’origine, il convient soit de « transférer le Spam en tant que pièce jointe », soit d’effectuer un copier/coller de la source du message.

Cette opération vise à dégager les grandes tendances du spamming (origine géographique, sources d’émission, nature des messages, fournisseurs d’accès concernés….) en France mais aussi à identifier les auteurs des messages les plus problématiques, afin le cas échéant d’engager des poursuites pénales (dénonciation au parquet). Début août 2002, la C.N.I.L. avait déjà enregistré 63 000 messages reçus.

Lire le mémoire complet ==> (Les problèmes juridiques des logiciels indiscrets
Mémoire de D.E.A Informatique et Droit – Formation Doctorale : Informatique et Droit
Université MONTPELLIER 1 – Faculté de Droit
___________________________
44 22ème rapport d’activité pour 2001, p. 33
45 21ème rapport d’activité pour 2000, p. 17