Les pixels de tracking doivent-ils vraiment faire l’objet d’un consentement préalable ?


Dans sa délibération du 5 décembre 2013 n° 2013-378, la CNIL est claire : la recommandation qu’elle effectue “a vocation également à s’appliquer à d’autres technologies (notamment, en l’état des connaissances actuelles, les local shared objects appelés parfois les cookies “flash”, les pixels invisibles ou web bugs , les identifications par calcul d’empreinte du terminal ou encore des identificateurs cachés)“. Il s’agit donc d’obtenir le consentement de la personne concernée préalablement à toute mise en œuvre de ces technologies, conformément à l’article 32.II de la LIL, sauf exceptions des cas purement techniques.

Pourtant, à y regarder de plus près, ce texte a-t-il vraiment vocation à s’appliquer à autre chose que des cookies ? En effet, l’article 32.II. vise spécifiquement “toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement“.

Le texte vise expressément le fait d’interagir avec le système de stockage du support numérique utilisé par la personne concernée, ce qui est bien le cas des cookies, petits fichiers textes déposés sur le terminal de l’utilisateur. En revanche, les pixels de tracking, eux, ne sont jamais déposés sur le terminal de l’utilisateur et n’accèdent à aucune information stockées dessus : ce sont de simples pixels !

Nous avons l’habitude de mettre des gifs, mais l’illustration du danger posé par un pixel nous semblait ici plus pertinente

Techniquement, comment cela fonctionne-t-il ? Le pixel est une image qui doit être téléchargée depuis le serveur hôte. Ce faisant, une requête HTTP est effectuée par l’utilisateur, comprenant les informations usuelles d’une telle requête, avec entre autres l’adresse IP de l’utilisateur et son navigateur. En affublant le pixel demandé d’un identifiant unique, et en associant cet identifiant à un email envoyé, il est possible de savoir avec certitude l’heure à laquelle un email a été lu, sans pour autant jamais stocker d’informations sur le terminal de l’utilisateur ou accéder à de telles informations.

Il en est parfaitement de même pour beaucoup d’autres techniques modernes de suivi comportemental, qui s’exécutent dans le navigateur sans jamais avoir besoin de stocker d’informations sur le terminal utilisateur. Il est par exemple possible, en quelques lignes de code, d’obtenir les coordonnées de mouvement de la souris de l’utilisateur, et ce sans cookies.

L’avis du G29 sur la publicité ciblée semble indiquer que le simple fait d’utiliser des technologies exécutées côté client (donc par le navigateur de l’utilisateur, même si aucune information n’est stockée sur son terminal ou extraite directement de son terminal) devrait être considéré comme un “accès à des informations déjà stockées” (lettre de l’article 32.II de la LIL mais également de l’article 5 de la Directive ePrivacy révisée) : “Most tracking and advertising technologies used to deliver behavioural advertising use some form of client-side processing. It uses information from the user’s browser and terminal equipment“.

Plusieurs arguments, une fois de plus d’ordre technique, peuvent être opposés à cette logique. En effet, si l’accès à des informations côté client revient à mettre en œuvre une technologie de tracking, alors c’est la base même du web qui est en cause puisque la requête HTTP, émise par l’utilisateur pour accéder à un site sans que le site n’en sache rien jusqu’à réception de ladite requête, contient des données à caractère personnel ! De la même façon, énormément de sites modernes se servent d’informations côté client non pas pour suivre le comportement de l’utilisateur, mais pour améliorer son expérience : ces informations ne sont pas stockées ou utilisés pour d’autres raisons que de modifier l’apparence du site au fur et à mesure de la navigation – on pense notamment au défilement infini ou aux technologies dites de parallax, pour des effets de style jouant sur la profondeur de champ.

In fine, la stricte lettre actuelle des textes ne semble pas couvrir d’autres technologies que le cookie. L’esprit, en revanche, est clair : les technologies de suivi comportemental posent, pour la CNIL, le G29 et le législateur, un problème de vie privée et de protection des données qui ne peut être résolu que par le consentement. C’est ainsi que le considérant 24 de la directive ePrivacy affirme que “les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier“. Si l’appréciation purement technique peut être contestée, l’intention du législateur, elle, est limpide.

Il est donc temps d’adapter la lettre de la loi pour être conforme à son esprit : c’est en partie ce qu’accomplit l’article 8 du projet de Règlement ePrivacy, qui interdit “l’utilisation des capacités de traitement et de stockage des équipements terminaux et la collecte d’informations provenant des équipements terminaux des utilisateurs finaux, y compris sur les logiciels et le matériel“, sauf notamment dans les cas techniques (requête HTTP !).

On ne peut en revanche que déplorer que le législateur soit à nouveau tombé dans le travers de réglementer une technologie (l’accès à des informations client) plutôt qu’une fin (le suivi comportemental) : pour un texte agnostique à la technique et qui s’applique quel que soit l’état de l’art, on repassera.

La sentence est irrévocable

Laisser un commentaire

Votre adresse mail ne sera pas publiée. Tous les champs sont obligatoires.