Alors que de nouveaux scandales à la Cambridge Analytica éclatent à peu près toutes les semaines, la CNIL durcit les règles sur l’utilisation des Cookies.
Dès Juin 2020, fini le soft opt-in et les cookie walls
En ce début d’été la CNIL durcit le ton et publie son nouveau plan d’action sur le ciblage publicitaire. Les nouvelles directives applicables à partir de Juin 2020 entendent changer considérablement les règles du jeu liées en particulier à l’utilisation de cookies par les sites web. Qu’est ce que cela change pour les particuliers et pour les entreprises ?
Interviewée dans La Tribune, l’avocate Sonia Cissé explique : « Les cookies permettent de reconnaître les utilisateurs, de tracer leur navigation pour personnaliser les offres produits. Presque toutes les entreprises qui ont un site Internet en font usage. Donc la nouvelle réglementation concerne tous les secteurs, toutes les entreprises qui utilisent des cookies, qu’il s’agisse des entreprises du digital mais aussi les banques, les assurances ou les commerces en ligne, entre autres. Cette nouvelle obligation imposée aux entreprises donne un peu plus de pouvoir [aux utilisateurs]. »
Fini le soft opt-in et les cookie walls, avec lesquels l’utilisateur devait donner son consentement global avant de pouvoir continuer à utiliser un site web. Comme le rapporte le journal Les Numériques, « techniquement les sites n’auront plus le droit de simplement vous servir un bouton « Tout accepter » ou des cases précochées comme seul et unique portail de validation. » Pour s’aligner avec le RGPD, la CNIL exigera en effet à partir de Juin 2020 qu’avant le stockage de tout cookie le concernant chaque internaute dépose un consentement « libre, spécifique, éclairé et univoque par une déclaration ou par un acte positif clair », présenté « en des termes simples et compréhensibles pour tous [via] des solutions conviviales et ergonomiques. »
Faites en l’expérience vous-même en visitant le site Les Numériques qui offre un très bon exemple de ce que la CNIL demande. Dès aujourd’hui lors de votre première visite, le site vous propose de configurer les finalités pour lesquelles vous autorisez la collecte de cookies, et même de blacklister certains de leurs partenaires. Aucune case n’est cochée par défaut. En Juin 2020 il ne leur restera plus qu’à faire disparaître les boutons « J’accepte » et « Tout Accepter » !
Mais attention cela requiert plus d’attention de la part de l’utilisateur, et il est probable que certains seront rebutés au moins au début par cette nouvelle complexité. Ce paradoxe n’est pas sans rappeler les commentaires de Qwant à propos de son nouveau service de personnalisation qui nécessite plus d’attention de la part des consommateurs et leur redonne la responsabilité de sauvegarder régulièrement leurs données (voir notre article du mois dernier)
Nacho Analytics « God Mode for Internet » : un scandale de plus qui donne envie de se protéger
Crédits: Ars technica
Néanmoins on peut déjà parier que la majorité des particuliers y trouvera son compte, face à la menace constante des aspirateurs de données. Chaque semaine dévoile son lot de nouveaux scandales. Les pratiques de Facebook et Cambridge Analytica [1] ne sont malheureusement pas des cas isolés. Ainsi à la mi-Juillet le reporter Sam Jaladi, spécialiste de cybersécurité et le journal Ars technica dévoilaient les activités de la société « Nacho Analytics » à travers un rapport assez technique, repris sur Siècle Digital.
Jaladi a en effet découvert 8 extensions Chrome et Firefox, installées par plus de 4 millions d’internautes, qui collectent à leur insu toutes les pages et tous les liens qu’ils visitent. Ces informations sont ensuite commercialisées aux hackers du monde entier… Or de plus en plus de plateformes utilisent des liens publics (avec des adresses longues comme le bras) pour partager des informations personnelles ou confidentielles. La liste des exemples détaillés dans l’article de Jaladi est effrayante.
Comme le raconte cet article de Naked Security, Nacho Analytics se présente même comme “God mode for the Internet” et utilise la tagline “See Anyone’s Analytics Account.” Si vous utilisez l’une des 8 extensions suivantes, les explications pour stopper l’hémorragie sont dans l’article. Mais ne rêvez pas ! Tout ce qui a déjà fuité est perdu à jamais… Pour certains chercheurs effacer ces données serait comme vouloir refaire rentrer le dentifrice dans son tube.
The extensions
-
- Hover Zoom
- SpeakIt!
- SuperZoom
- SaveFrom.net Helper
- FairShare Unlock
- PanelMeasurement
- Branded Surveys
- Panel Community Surveys
Les recommandation de Sam Jaladi sont claires et il y en a pour tout le monde ! Tout d’abord il encourage les chercheurs en cybersécurité à continuer de développer les méthodes et les outils qui permettront d’identifier plus de nouvelles menaces. Les sociétés informatiques éditrices de navigateurs internet devraient ensuite être plus exigeantes et attentives envers les développeurs d’extensions. Toutes les entreprises devraient enfin revoir leurs politiques de sécurité, et les développeurs web arrêter de partager des informations personnelles ou confidentielles dans des URLs publics.
Alors cookies ou nachos ???
Cookies ou Nachos, à vous de vous protéger efficacement. Le (futur) scandale Nacho Analytics n’est qu’un exemple. Pour preuve la même semaine un autre chercheur alertait sur la manière originale dont Facebook traque vos photos en dehors de Facebook, en y ajoutant de curieuses données cryptées. Si cela vous passionne comme moi, jetez un oeil à l’article.
La suite au prochain numéro.
[1] si vous y êtes abonnés on vous conseille vivement le reportage « The Great Hack » disponible sur Netflix, qui vous donnera envie de passer 2 minutes avant d’accepter de partager vos données avec un nouveau site web…