Do not track: essayons de comprendre

« Do not track » peut se traduire littéralement par « ne me suis pas » ou « ne me trace pas ». C’est un concept que presque tout le monde défend (c’est bien de permettre aux internautes qui ne souhaitent pas être suivis à la trace de pas l’être), pour lequel il n’y a aucune unanimité sur la méthode à proposer (comment y arriver ?), des définitions variables (qu’est-ce que cela veut dire ne pas vouloir être suivi ?) et très peu d’idées sur les conséquences (les modèles économiques basés sur les données recueillies devront évoluer vers un autre modèle… ou vers la récolte d’autre données). Nous allons donc essayer de présenter de manière simple une situation plutôt compliquée.

Un sujet relancé par la FTC
Si le sujet est d’actualité, c’est surtout parce que la FTC américaine (Federal Trade Commission, soit l’organisme américain qui se rapproche le plus du Préposé suisse à la protection des données et à la transparence ou de la CNIL française) a publié en décembre dernier son rapport sur la sphère privée dans laquelle elle envisage la mise en place de la fonction « Do Not Track » (DNT). La FTC avait suggéré aux développeurs de navigateurs internet une politique visant à permettre aux utilisateurs de ne pas être suivis il y a deux ans environ, mais cela était resté sans grand succès. La méthode utilisée cet hiver et le fait que plusieurs navigateurs sont actuellement en phase de test semble apporter de meilleurs résultats. Des propositions législatives ont également été déposées récemment devant le Congrès américain.

Le projet « Do not Track » est important car il doit permettre de renforcer la protection de la sphère privée dans un domaine où les utilisateurs n’ont souvent pas l’impression d’être surveillés. La majorité des internautes n’imagine probablement même pas que lorsqu’ils visitent un site, des informations sont recueillies par un troisième site sur leurs préférences et leurs comportements. Il est de plus extrêmement difficile de savoir qui est ce site tiers et ce qu’il fait exactement.

Des approches différentes
Le rapport de la FTC a conduit à des réponses rapides mais différentes de la part des trois grands fabricants de navigateurs Internet que l’on va tenter de résumer ici :

Microsoft proposera dans sa version Internet Explorer 9 (qui ne sera pas disponible sous Windows XP…) une fonction appelée « protection contre le tracking ». C’est une liste de sites auxquelles l’utilisateur ne veut pas transmettre d’informations. Microsoft permet ainsi à des organisations de défense de la sphère privée et des consommateurs de créer leurs propres listes qui viendraient compléter celles de l’utilisateur.

Mozilla envisage d’intégrer dans la future version de Firefox 4 une option permettant d’inclure dans les paquets HTTP émis par le navigateur un indicateur indiquant aux sites internet visités (et les sites liés qui y récoltent des informations) que l’utilisateur ne souhaite pas être tracé.

Google propose pour son navigateur Chrome une extension appelée Keep My Opt-Outs, qui centralise les préférences de l’utilisateur et les communique auprès de différents groupes d’auto-régulation comme le Network Advertising Initiative (NAI). Il s’agit de protéger (contre la suppression par exemple) les cookies qui indiquent que l’utilisateur ne veut pas que des données soient collectées. Cette extension est assez similaire à l’extension pour Firefox Beef Taco (Targeted Advertising Cookie Opt-Out).

Et des réactions
L’EFF (Electronic Frontier Foundation) analyse ces différentes approches et marque sa préférence pour le projet de Mozilla, notamment parce que le suivi des internautes n’a pas lieu uniquement par le biais de cookies classiques, mais également par d’autres types de traces (flash cookies, empreinte, etc.). Les solutions proposées par Microsoft et Google se basent toutes deux sur des listes (de site ou de cookies) à compléter et mettre à jour, alors que la solution Mozilla repose sur une simple information standard transmise automatiquement par le navigateur aux sites visitées.

Il sera intéressant de voir ces prochaines semaines à quoi ressembleront les versions finales de ces navigateurs, et ces prochains mois si le législateur américain adoptera une législation contraignante ou se contentera de recommandation. La solution Mozilla pourrait être complémentaire aux deux autres. Elles reposeront finalement sur la bonne volonté des sites qui collectent les informations à respecter le choix transmis par les internautes…

Pour terminer signalons qu’au niveau de l’Union européenne, l’Enisa (agence européenne de sécurité des réseaux et de l’information) a publié le 28 février 2011 une prise de position dans laquelle elle s’inquiète des risques pour la confidentialité du développement de nouveaux cookies et présente la situation juridique actuelle. Les Etats membres de l’UE ont jusqu’au 25 mai 2011 pour transposer en droit national la directive 2009/136/EC relative aux droits des utilisateurs de services et réseaux de communication électroniques.

Pour aller plus loin (en anglais) : un résumé et de nombreux lien avec l’article publié le 19 février 2011 par Peter Eckersley (EFF) intitulé « What Does the « Track » in « Do Not Track » Mean? » ; des définitions et une analyse avec l’article de Jonathan Mayer (CIS) « Do Not Track FTC Comment: What It Means, How to Enforce It, and More » et finalement des réactions dans la vidéo réalisée par le Berkeley Center for Law and Technology à l’issue de la Browser Privacy Mechanisms Roundtable du 9 février 2011.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s