Filtrer et bloquer automatiquement les cookies
Dès que nous visitons un site web, une partie de son contenu est masquée par une grande bannière nous demandant de consentir à l'utilisation de cookies. Les cookies sont de petits blocs de données qu'un navigateur stocke pour permettre à un site web d'identifier un utilisateur particulier ou une utilisatrice particulière sans avoir à se baser sur des données personnelles comme une adresse électronique. Les navigateurs peuvent ainsi, par exemple, stocker des paramètres personnels ou des informations de connexion, ou fournir des données sur la date et la durée de la visite d'un site.
Mais les cookies peuvent également collecter des données sur le comportement des utilisatrices et utilisateurs, ouvrant ainsi la voie à des publicités personnalisées. C'est pourquoi la législation réglemente l'utilisation des cookies. Le règlement général sur la protection des données (RGPD) de l'Union européenne stipule que les opérateurs de sites web doivent obtenir le consentement de l'utilisateurou l'utilisatrice avant de mettre en place des cookies qui collectent des données sur leur comportement.
L'illusion du contrôle par les bannières de consentement aux cookies
Les sites se conforment à cette exigence par le biais de bannières de consentement aux cookies, qui devraient garantir que les utilisatrices et utilisateurs peuvent choisir librement s'ils et elles veulent autoriser les cookies et lesquels.
Mais la réalité des bannières de consentement aux cookies est assez différente: plusieurs études ont montré qu'elles ne donnent aux utilisateurs et utilisatrices qu'une apparence de contrôle sur leurs données. Les bannières peuvent être dotées d'une conception visuelle qui conduit à accepter tous les cookies, ou bien elles peuvent expliquer de manière inadéquate les fonctions des cookies ou omettre complètement de déclarer leur utilisation.
Donner le contrôle aux utilisatrices et utilisateurs
Face à cette situation, une équipe de recherche de l'ETH Zurich proposent une solution qui permettrait aux utilisatrices et utilisateurs de ne plus avoir à se fier aux informations fournies par les opérateurs de sites web. Dino Bollinger, Karel Kubíček et Carlos Cotrini, du groupe dirigé par le professeur de l'ETH Zurich David Basin, ont développé une extension de navigateur capable de classer et de supprimer automatiquement les cookies. Ils présentent leur étude lors d'une conférence de sécurité renommée au mois d'août.
Baptisé Cookieblock, cet outil utilise l'apprentissage machine (ML) pour classer les cookies dans les catégories de protection des données «essentiel», «fonctionnel», «analytique» et «publicitaire». Avec cette extension de navigateur, les utilisatrices et utilisateurs devront indiquer une seule fois les cookies qu'ils et elles souhaitent autoriser, et Cookieblock fera le reste. Il procédera ensuite à la suppression de tous les autres cookies, sans tenir compte des bannières de consentement aux cookies. Celles-ci continueront à apparaître, mais elles seront rendues obsolètes par l'extension de navigateur. Les extensions de navigateur d'autres fournisseurs peuvent les masquer complètement.
Cookieblock est disponible pour les navigateurs Chrome, Firefox, Edge et Opera. Les tests montrent qu'elle peut supprimer plus de 90% des cookies qui collectent des données sur les utilisatrices et utilisateurs. Dans le cas de 85% des sites web, elle l'a fait sans altérer les fonctionnalités du site. Dans le cas de 8% des sites, les auteurs ont détecté des altérations mineures liées à des «fonctions non essentielles du site», tandis que dans le cas de 7% des sites, le navigateur a entravé l'utilisation du site, par exemple en perdant les informations de connexion. Les utilisatrices et utilisateurs peuvent toujours utiliser ces sites web en leur accordant des exceptions dans l'extension.
Manque généralisé de protection des données
Dans le cadre de leur étude, les chercheurs ont visité plus de 30'000 sites web pour vérifier si les bannières de consentement aux cookies qu'ils y rencontraient répondaient ou non aux critères du RGPD. Plus précisément, ils ont analysé si les bannières déclaraient de manière complète et correcte les cookies installés, et si seuls les cookies consentis avaient effectivement été activés.
Sur près de 95% des sites web, ils ont constaté au moins un problème qu'ils considéraient comme une violation potentielle du RGPD. Plus de 20% des sites web ont défini des cookies que l'utilisateur ou l'utilisatrice avait explicitement rejetés, et 70% avaient déjà activé des cookies avant qu'il ou elle ait eu la possibilité d'interagir avec la bannière de consentement. «Cela montre à quel point il est important que les utilisateurs et utilisatrices aient le contrôle», déclare Karel Kubíček.