|
|
Supercookies - Violation de la vie privée des internautes - Intervention des autorités et de la Commission de la protection de la vie privée
protection de la vie privée
virus informatique
protection des données
publicité électronique non sollicitée
| 16/4/2013 | Envoi question |
| 22/5/2013 | Réponse |
Je soumets cette question au secrétaire d'État puisque la vice-première ministre et ministre de l'Intérieur m'a elle-même renvoyé vers lui pour obtenir une réponse à ma question 5-7757. Ces derniers jours, on a pas mal parlé des « supercookies ». Il s'agit de cookies qui se réinstallent eux-mêmes. Ils sont à peine visibles et sont très difficiles à supprimer. Dans l'histoire de l'utilisation de cookies visant à observer les internautes, ces cookies nous placent face à de nouveaux défis.
Tout ce bruit au sujet de ces cookies découle d'une étude de chercheurs des universités renommées de Berkeley et de Stanford qui ont examiné les nouvelles applications des cookies (cf. http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1898390).
Les « supercookies » peuvent se réinstaller eux-mêmes sur un ordinateur.
Ce processus peut encore être renforcé lorsqu'une partie dispose de plusieurs domaines sur le net et utilise une synchronisation des cookies. Cela suppose que les mêmes cookies sont utilisés sur différents domaines, par exemple msn.com et microsoft.com. Le grand problème avec les supercookies est qu'ils restreignent le peu de contrôle que les internautes ont encore.
Les utilisateurs peuvent supprimer les cookies de leur ordinateur. Ils montrent ainsi clairement qu'ils ne les souhaitent pas. Par analogie, cette action pourrait être expliquée comme le refus d'octroi d'une autorisation d'utiliser les cookies à des fins de tracking. En d'autres termes, ces cookies sont donc développés pour se réinstaller, contre la volonté de l'utilisateur qui supprime les cookies de son ordinateur. On peut ainsi suivre sans limite et consigner le comportement de tout un chacun sur la toile. C'est particulièrement angoissant, et le fait que ces cookies sont utilisés contre la volonté explicite de l'utilisateur et sont même conçus spécifiquement à cette fin constitue une violation grave de la législation sur la protection de la vie privée.
J'aurais dès lors souhaité poser les questions suivantes au secrétaire d'État.
1) Comment réagit-il à l'étude relative aux « supercookies » ?
2) Ses services ou la Commission de la protection de la vie privée ont-ils déjà reçu à ce sujet des questions et/ou des plaintes de citoyens ou d'entreprises ? Si oui, peut-il donner des explications ?
3) Pense-t-il comme moi que les gestionnaires de domaines qui utilisent de tels cookies et les placent donc sciemment sur les ordinateurs de leurs visiteurs qui ne peuvent pas ou qui peuvent très difficilement les supprimer de leur ordinateur contrairement aux cookies normaux violent gravement la législation sur la protection de la vie privée ? Si oui, peut-il commenter son point de vue et indiquer s'il est disposé à faire examiner cette question par les instances nationales ou autres ? Est-il prêt, le cas échéant, à entamer une procédure pour infraction contre les gestionnaires de domaines qui utilisent de tels cookies ? Peut-il donner des explications très détaillées?
4) Estime-t-il également que ces supercookies vont beaucoup plus loin que les cookies normaux et se comportent comme une sorte de virus ou de logiciel malveillant ? Dans la négative, pourquoi ?
5) N'est-il pas question, avec ces supercookies, d'une « violation de l'ordinateur », par analogie à la violation de domicile ? Leur utilisation ne devrait-elle pas être interdite en tant que telle ? Dans la négative, pourquoi ?
6) Est-il disposé à soulever ce problème au niveau européen ? Dans l'affirmative, peut-il donner des explications ? Dans la négative, pourquoi ?
1. L'étude effectuée par Berkeley et Stanford indique clairement qu'il existe un danger potentiel en matière de fuite de données privées à caractère confidentiel et que certains types de cookies, tels que les « flash cookies », sont difficiles à supprimer et/ou bloquer (même en activant le filtre de protection de la vie privée du navigateur). Les « evercookies » sont d'autres formes de cookies persistants, analogues aux « supercookies ». Ces types de cookies n'ont toutefois pas été abordés dans le cadre de l'étude susmentionnée.
2. Jusqu'à présent, Fedict n'a reçu aucune question ni aucune plainte en la matière de la part de citoyens ou d'entreprises. Nous n'avons pas non plus connaissance de la réception de questions ou de plaintes en la matière par la Commission de la protection de la vie privée.
3. Le partage de cookies est une technique qui est fréquemment utilisée à des fins statistiques (pensez par exemple à Google Analytics) et pour l'intégration de contenu aux médias sociaux (Twitter, Facebook, Google+, Linkedin, etc.). Il s'agit d'une technique très utilisée depuis des années et d’une pratique qui s'est aujourd'hui banalisée.
Des « online trackers » sont également fréquemment utilisés par les entreprises qui tirent une partie de leurs bénéfices de la publicité. Il s'agit d'une pratique classique sur les sites d'information, les médias sociaux, etc. Il existe dans ce cadre un risque manifeste de fuite de données privées à caractère confidentiel et de violation de la vie privée.
Selon la loi, un utilisateur doit donner son autorisation avant qu'un cookie puisse être placé sur son ordinateur. Ce même utilisateur doit également pouvoir facilement retirer son autorisation à un stade ultérieur s'il le souhaite. À ce titre, ces « supercookies » entrent donc effectivement en violation avec la loi. Si les cookies sont placés sur des ordinateurs en Belgique, le droit belge s'applique. Fedict peut interpeler la Commission de la protection de la vie privée au sujet de cette problématique.
4. En effet, dans certains cas, ces « supercookies » peuvent être utilisés de façon abusive et dans le cadre de pratiques malveillantes (malware/spyware/xss/cache sniffing/session hijacking/etc.).
5.Le placement de cookies sur un ordinateur à l'insu de son utilisateur et donc sans solliciter l'autorisation de ce dernier, de même que l'impossibilité de retirer cette autorisation à un stade ultérieur, est interdit par la loi.
6.L'Enisa (l'Agence Européenne chargée de la sécurité des réseaux et de l'information) a publié une étude sur le sujet :
www.enisa.europa.eu/activities/identity-and-trust/library/pp/cookies
Cette étude ne fait toutefois référence qu'aux directives existantes :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32009L0136:FR:NOT
http://europa.eu/legislation_summaries/information_society/l24120_fr.htm
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:FR:NOT