Vous refusez les cookies sur les sites web ? "Dans certains cas ce n'est pas respecté", selon une étude

Publié le mercredi 13 avril 2022 à 19h30

5 min

Certains sites ne tiennent pas compte de vos choix relatifs aux cookies sur Internet
© AFP - Mohssen Assanimoghaddam / DPA / dpa Picture-Alliance

Malgré les règlementations sur la protection des données personnelles, certains sites trouvent des techniques de contournement permettant de continuer à tracer les internautes. C’est ce qu’il ressort de deux études menées par des équipes de chercheurs.

"Le respect de votre vie privée est notre priorité", "En poursuivant votre navigation, vous acceptez l'utilisation de cookies", "Salut, c'est nous les cookies" : depuis 2018 et l'entrée en vigueur du Règlement général de protection des données (RGPD), les sites Internet que vous visitez vous demandent un accord explicite pour laisser, sur votre ordinateur ou votre smartphone, des cookies, de petits fichiers informatiques qui permettent de vous reconnaître sur Internet et de suivre votre navigation.

En théorie, il est donc possible d'avoir la main sur les informations que les sites web que vous visitez collectent sur vous. En théorie… seulement. Deux études, repérées par le journal Le Monde, montrent que même lorsque les internautes font attention à supprimer régulièrement leurs cookies, ou qu'ils refusent catégoriquement, via ces bannières RGPD, l'installation de cookies, il existe des techniques pour continuer à tracer leur navigation. Certaines consistent même à reconstituer des cookies qui avaient pourtant été supprimés.

Pour mieux comprendre ce dont il est question, Franceinter.fr a interrogé Arnaud Legout, chercheur à l'Inria (Institut national de recherche en sciences et technologies du numérique) de l'université Côte d'Azur, qui a fait partie des équipes ayant contribué à ces deux études.

FRANCE INTER : L'une des études sur lesquelles vous avez travaillé porte sur les cookies tiers, de quoi s'agit-il ?

ARNAUD LEGOUT : "C'est un peu technique, mais pour simplifier, lorsque vous allez sur le site de France Inter, le site peut vous déposer un cookie. C'est ce qu'on appelle un cookie propriétaire, ou un cookie de première partie. Celui-ci n'est pas destiné à vous tracer, parce que seul France Inter peut le récupérer.

Par contre, si France Inter utilise un service de publicité, ou de mesure d'audience, ces services-là peuvent aussi déposer leur propre cookie sur le site de France Inter. Ce sont ceux-là qu'on appelle les cookies tiers, et ces cookies-là peuvent être identifiés par la même société sur tous les autres sites. C'est ainsi qu'ils permettent de suivre la navigation."

Vous avez découvert que ces cookies pouvaient être "reconstruits" lorsqu'on les supprime ?

"Ce que font les internautes les plus prudents, généralement, c'est qu'ils suppriment leurs cookies régulièrement. Et tous les navigateurs modernes proposent aussi de naviguer "incognito". Mais ce que nous avons montré dans ces travaux, c'est que les sociétés de traçage utilisent des techniques d'empreinte (on appelle ça le "fingerprinting") après qu'on l'a effacé, et donc de continuer à faire du traçage bien qu'on ait nettoyé le navigateur ou bien qu'on soit en mode incognito."

Mais si on demande au site de ne pas déposer de cookies, en cliquant "refuser" quand une bannière concernant les cookies s'affiche à l'entrée d'un site, peut-on quand même recréer un cookie ?

"Si ce choix est respecté, alors le cookie tiers ne peut pas être recomposé, puisqu'il n'a jamais été déposé. Ceci dit, la technique que l'on a mis en évidence peut être utilisée même sans cookie pour suivre un utilisateur. Mais, combinée, avec les cookies, elle améliore la qualité du traçage.

L'autre point, c'est que lorsqu'on demande à la bannière de ne pas déposer de cookie tiers, on a montré que dans un certain nombre de cas, ce choix n'était pas respecté."

C'est ce que montre votre seconde étude, qui porte notamment sur des sites de santé…

"Ce qu'on voulait montrer, c'est que lorsque je vais acheter de nouvelles baskets, qu'une entreprise sache que j'ai acheté des baskets, c'est potentiellement embêtant, mais pas critique. En revanche, aller sur la page de prise de rendez-vous du site d'un cancérologue, ça donne des informations extrêmement sensibles. Or, le respect de la vie privée des internautes n'est pas meilleur sur les sites de santé que sur d'autres sites. On sait qu'il est mauvais, que les bannières RGPD ne respectent pas vraiment ce qu'elles promettent, et sur les sites de santé ce n'est pas mieux."

La technique utilisée est celle du pixel invisible, en quoi consiste-t-elle ?

"Le seul moyen de déposer un cookie sur un navigateur, c'est de demander un contenu à une société. Or, vous n'allez jamais spontanément sur le site d'une entreprise qui vend des publicités. Que font donc les sociétés de traçage publicitaire ? Elles déposent des images microscopiques, d'un pixel, en général blanc sur fond blanc, sur le site : ces images vont générer une requête vers la société de traçage. Et dès que la requête est faite, la société de traçage peut créer un cookie ou retrouver un cookie qu'elle a déposé précédemment, et donc retrouver votre historique de navigation.

En soi, ce n'est pas une pratique critiquable, c'est l'usage qui en est fait qui est problématique. Le fait qu'un cookie soit déposé bien qu'on ait refusé son dépôt via la bannière RGPD, ça ne respecte pas la loi."

Les sites sur lesquels vous avez constaté ces irrégularités ont-ils réagi ?

"Dans la plupart des cas, ce sont des médecins qui, pour faire leur site web, vont voir des prestataires de services spécialisés dans la création de sites web, qui utilisent des libraires de modules externes. Pour le médecin, c'est en dehors de son radar. Donc lorsqu'on a contacté les médecins en leur disant qu'il y avait des problèmes de bannière, ils n'avaient pas conscience du problème. Ce sont les sociétés prestataires de services qui auraient dû s'expliquer, mais ces sociétés, nous, on ne les connait pas."

Que pourrait-il arriver à ces données de santé ?

"Là, on ne peut faire que des suppositions. Les faits sont les suivants : lorsque je vais sur le site d'un médécin, sur sa page de contact, cela signifie que je suis potentiellement intéressé pour prendre rendez-vous, pour moi ou un proche. On ne peut pas savoir si j'ai pris rendez-vous ou pas, mais on peut savoir que j'ai consulté le site. Et cela, ça donne des informations sur mon état de santé, ou celui de mes proches.

Cette information, on pourrait imaginer qu'elle serait utilisée pour connaître notre état de santé : des assureurs, des banques pour nous donner des crédits. Ce qui est inquiétant c'est que des sociétés soient capables de collecter ces données. Et si un jour la loi évoluaient pour autoriser l'échange de ces données, elles auraient d'ores et déjà des données extrêmement sensibles sur nous."