IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Advanced Data Protection Control, un nouveau signal de navigateur, pourrait rendre les bannières de cookies obsolètes,
Il serait conforme au RGPD

Le , par Bill Fassinou

44PARTAGES

5  0 
Noyb (none of your business) et Sustainable Computig Lab (CSL) ont proposé cette semaine un nouveau signal automatique de navigateur pour éliminer les bannières de cookies. Appelé "Advanced Data Protection Control" (ADPC), il vise à démontrer qu'une solution européenne conviviale pour les paramètres de confidentialité peut facilement être mise en œuvre. Cette nouvelle norme permettrait à l'utilisateur de définir ses préférences en matière de confidentialité une seule fois, dans le navigateur lui-même, et de faire en sorte que le navigateur communique ces préférences de manière invisible à tous les sites Web qu'il visite.

Le Noyb et le CSL proposent un moyen de remplacer les cookies

Depuis son entrée en vigueur en 2018, le RGPD (règlement général sur la protection des données) exige que les sites Web demandent le consentement des visiteurs avant de placer des cookies. Comme tout internaute le sait maintenant, cela signifie une étape supplémentaire requise lors de la visite de presque tous les sites Web pour la première fois, ou potentiellement chaque fois, si vous choisissez de ne pas accepter les cookies. Actuellement, cette communication tend à se faire par le biais d'interfaces très perturbatrices et répétitives contenues dans la page Web elle-même (par exemple, les "bannières de cookies".



Cela peut être agaçant pour les internautes et ces interfaces peuvent également tromper leur vigilance. Afin de résoudre ces problèmes et de rendre le mécanisme de demande de consentement plus facile et plus éclairé, le Noyb et le CSL ont présenté lundi leur idée connue sous le nom d'Advanced Data Protection Control (ADPC). L'ADPC est un mécanisme automatisé de communication des décisions de confidentialité des utilisateurs et des réponses des responsables du traitement des données. Il vise à donner aux utilisateurs les moyens de protéger leur vie privée en ligne d'une manière centrée sur l'homme et applicable.

Il aide également les éditeurs en ligne et les fournisseurs de services à se conformer aux réglementations en matière de protection des données et de protection des consommateurs. La spécification ADPC définit une méthode pour exprimer les décisions des utilisateurs concernant le traitement des données personnelles dans le cadre de la réglementation de l'Union européenne en matière de protection des données et de réglementations similaires en dehors de l'UE. Actuellement, ADPC fonctionne par l'échange d'en-têtes HTTP entre l'agent utilisateur et le serveur Web, ou par une interface JavaScript équivalente.

Ce mécanisme est un moyen automatisé pour les utilisateurs de donner ou de refuser leur consentement, de retirer tout consentement déjà donné et de s'opposer au traitement fondé sur l'intérêt légitime. Selon ses auteurs, ADPC est une alternative aux approches existantes de gestion non automatisée du consentement qui vise à réduire les frais généraux des différentes parties impliquées dans la protection de la vie privée des utilisateurs.

Caractéristiques et fonctionnement de la norme ADPC

ADPC permet deux méthodes de transmission automatisée des préférences, l'une qui communique directement avec le serveur Web hébergeant le site visité, l'autre qui communique avec le site Web lui-même. Lorsque ADPC communique directement avec le serveur Web, il le fait par le biais d'en-têtes HTTP - un en-tête Link pointant vers un fichier JSON sur le serveur, et l'en-tête ADPC émis par le navigateur de l'utilisateur. Lorsqu'il communique avec le site Web lui-même, le mécanisme passe par JavaScript - la configuration est transmise comme un objet à l'interface DOM, par exemple, navigator.dataProtectionControl.request(...).

Dans les deux cas, les préférences de l'utilisateur en matière de confidentialité sont communiquées au site Web ou au serveur sous la forme d'une liste d'identifiants de requête auxquels il consent. Cette liste est envoyée dans les en-têtes ADPC pour l'approche basée sur HTTP et comme valeur de retour finale de l'interface DOM dans l'approche JavaScript. Bien que les deux mécanismes permettent d'atteindre le même objectif de manière similaire, 'il existe de nombreuses raisons de soutenir les deux. L'approche basée sur le protocole HTTP serait probablement plus efficace.

Cependant, elle nécessiterait évidemment de nouvelles versions des applications de serveur Web qui la prennent explicitement en charge (ou du moins, de nouveaux modules enfichables dans le cas de serveurs comme Apache qui les prennent en charge). En attendant, le mécanisme basé sur JavaScript fonctionne sans qu'aucune configuration spéciale du serveur Web soit nécessaire. Cependant, il ne fonctionnera pas pour les utilisateurs qui refusent d'activer JavaScript.

Ressource pour les demandes de consentement

Un fichier JSON est au cœur d'ADPC, qu'il utilise les mécanismes HTTP ou JavaScript. Ce fichier de consentement ressemblera à quelque chose comme ceci :

Code : Sélectionner tout
1
2
3
4
5
6
7
{
  "consentRequests": {
    "cookies": "Store and/or access cookies on your device.",
    "ads_profiling": "Create a personalised ads profile."
  }
}
Dans le cas de l'ADPC basé sur le protocole HTTP, le serveur Web établit un lien vers le fichier de consentement directement dans sa réponse à un GET HTTP :

Code : Sélectionner tout
1
2
3
HTTP/1.1 200 OK
Link: </consent-request-resource.json>; rel="consent-requests"
Lorsque le navigateur Web détecte ce lien, il peut soit répondre avec les paramètres précédemment configurés par l'utilisateur, soit demander une nouvelle réponse à l'utilisateur par le biais d'une fenêtre contextuelle (le plus souvent, une fenêtre générée par le bouton de verrouillage du navigateur). Une fois que l'utilisateur a défini ses préférences en conséquence, le navigateur inclut un en-tête ADPC dans les futures demandes HTTP GET :

Code : Sélectionner tout
1
2
3
4
GET /page.htm HTTP/1.1
Host: website.tld
ADPC: withdraw=*, consent=cookies
Ainsi, pour le site Web qui voulait à la fois définir des cookies et créer un profil publicitaire, la demande de cookies est acceptée (ce qui permet de stocker, par exemple, l'authentification de l'utilisateur et ses paramètres personnels), mais le profil publicitaire est refusé. Un avantage du système ADPC est que l'utilisateur interagit avec son propre navigateur, avec une interface utilisateur cohérente, quel que soit le site Web. Un autre avantage est que l'utilisateur est à même de définir des préférences persistantes pour un site sans avoir à autoriser les cookies.

Cela n'est pas possible pour un site Web qui doit demander le consentement par le biais d'une bannière intégrée à la page Web elle-même. Enfin, les essais montrent qu'il arrive parfois que les bannières de cookies ne s'affichent pas à tous les endroits. Cela peut être dû à des dommages collatéraux causés par des règles de blocage trop agressives ou à des tentatives délibérées de minimiser la "fatigue liée au clic".

Quelques commentaires sur la norme ADPC

Certains l'ont déjà essayé et ont partagé leur observation avec la communauté. Ainsi, il est important de comprendre qu'ADPC n'est pas un mécanisme permettant d'imposer le profil de confidentialité d'un utilisateur. Il s'agit simplement d'une manière normalisée de le demander, conformément au RGPD de l'Union européenne et aux lois similaires sur la confidentialité en vigueur ailleurs. Rien n'empêche techniquement un hypothétique site Web conforme à ADPC de demander l'autorisation de créer un profil publicitaire pour un utilisateur, d'essuyer un refus et de créer quand même ce profil.

Mais les sites légitimes pourraient demander le consentement d'une manière plus lisible par les machines, plus cohérente et moins fatigante pour l'utilisateur. L'ADPC aiderait toujours les utilisateurs à faire face aux sites louches qui ignorent les préférences de leurs utilisateurs. Si un utilisateur refuse d'accepter tout cookie via une bannière de cookies, sa préférence exprimée ne peut pas être sauvegardée et enregistrée, mais les préférences ADPC le seront. Cependant, selon d'autres personnes, l'ADPC ne fera pas long feu. Ils rappellent que l'on a déjà vu des choses pareilles par le passé.

Un exemple célèbre est le protocole P3P (Privacy Preferences Project) qui aurait été implémenté dans le navigateur Internet Eplorer de Microsoft. « Elle n'a absolument rien fait pour la vie privée », ont-ils déclaré. Google aurait envoyé de faux en-têtes P3P qui ont cassé l'implémentation d'IE et autorisé tous les cookies. « Les publicitaires ne veulent pas que les utilisateurs aient la possibilité de se désengager facilement. Elles ne voulaient pas de P3P. Elles ne voulaient pas de DNT [l'entête do not track]. Elles ne voudront pas de cette nouvelle spécification, à moins qu'elle ne soit si mauvaise que la plupart des utilisateurs l'accepteront par accident », ont-ils ajouté.

Selon eux, les bannières de cookies ennuyeuses et déroutantes sont une caractéristique. En dehors du fait que les gens acceptent par confusion ou par attrition, elles seraient une conformité malveillante. « Les entreprises de publicité qui les affichent veulent que vous soyez énervé par ces bannières. Elles veulent que vous les associiez à la vie privée et que vous en concluiez que les lois sur la vie privée sont inutiles et devraient être abrogées », ont-ils fait remarquer. En outre, d'autres rappellent la récente tentative de Google pour remplacer les cookies tiers, mais qui a suscité un tollé dans l'industrie.

En effet, Google – dans une tentative d'équilibrer son double rôle de développeur de navigateur Web et de propriétaire de la plus grande plateforme publicitaire du monde – a annoncé début 2020 son intention d'éliminer les cookies tiers dans Chrome au profit d'un nouveau cadre appelé "Privacy Sandbox", qui vise à protéger l'anonymat tout en diffusant des publicités ciblées sans avoir recours à des techniques plus opaques comme les empreintes informatiques. Cependant, plusieurs organismes à l'instar de l'EFF, trouvent qu'il s'agit d'une idée terrible, car elle créerait de nouveaux risques pour la vie privée.

En outre, bien que Google ait indiqué qu'il s'agit essentiellement d'une initiative visant à rendre le Web plus privé pour les utilisateurs tout en permettant aux annonceurs d'effectuer des mesures et un suivi, beaucoup s'inquiètent de la manière dont le géant de la recherche en ligne continue d'affirmer sa domination sur le Web. L'approche de Google dans le remplacement des cookies tiers a également suscité l'attention des régulateurs.

Sources : Noyb, ADPC (GitHub), Spécification de l'ADPC La norme P3P

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous que les bannières de cookies sont obsolètes ?
Que pensez-vous de l'idée de remplacer les bannières de cookies par l'ADPC ?
Selon vous, est-il réellement nécessaire de remplacer les cookies par une nouvelle norme ?
Quelles comparaisons faites-vous entre l'ADPC et Privacy Sandbox ? Quelle est votre préférence ? Pourquoi ?

Voir aussi

Pourquoi l'approche de Google dans le remplacement des cookies tiers à des fins publicitaires suscite l'attention des régulateurs ? Quelques éléments de réponses

Google progresse dans sa lutte contre les cookies tiers sur son navigateur et commence à tester des outils de substitution comme son API Trust Token

Le FLoC de Google est une idée terrible, affirme l'EFF, la nouvelle méthode de pistage visant à remplacer les cookies tiers créerait de nouveaux risques pour la vie privée

Le W3C rejette la proposition de Google de traiter plusieurs domaines comme appartenant à la même organisation, déclarant que cela est nuisible à l'architecture d'origine du Web

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de walfrat
Membre émérite https://www.developpez.com
Le 18/06/2021 à 12:27
Ca dépend de la marge de manoeuvre principalement accordé à Chrome.

Si on met cette norme, mais que par défaut on laisse Chrome tout ouvrir ou même tout proposer ouvert par défaut avec un interface qui donne pas envie de se pencher dessus, beaucoup d'utilisateur ne s'y pencheront pas, et en soi c'est normal.

Maintenant si on oblige une confirmation utilisateur avec par exemple des réglages simples type ouvert/normal/fermés faisant partie du standard et qui correspondent à un ensemble de valeur d'options plus détaillées et un réglages avancés pour ceux qui veulent tout gérer eux-même, ça fonctionnera mieux. Le mode "standard" pourrait être celui par défaut et sa définition pourrait faire partie de la norme comme étant relativement ouvert sauf sur les points plus fâcheux (tiers partie ?).
0  0 
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 18/06/2021 à 10:33
C'est un peu comme le header client "Do no track", qui vise à réduire au minimum le tracking (car qui va créer un profil ADPC pour dire "Je veux être tracké de partout !" ?) avec le résultat et l'adoption qu'on connait ...
0  1 
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 18/06/2021 à 13:23
Maintenant si on oblige une confirmation utilisateur avec par exemple des réglages simples type ouvert/normal/fermés faisant partie du standard et qui correspondent à un ensemble de valeur d'options plus détaillées et un réglages avancés pour ceux qui veulent tout gérer eux-même, ça fonctionnera mieux. Le mode "standard" pourrait être celui par défaut et sa définition pourrait faire partie de la norme comme étant relativement ouvert sauf sur les points plus fâcheux (tiers partie ?).
Je suis bien d'accord avec vous, mais ce que je retiens de votre intervention est "si on oblige". Je ne l'ai pas détaillé dans ma première réponse mais je pense que ces initiatives sont vaines sans législations (je vois mal Google dont le business modèle repose sur la pub le faire de lui même)
0  1