Noyb (none of your business) et Sustainable Computig Lab (CSL) ont proposé cette semaine un nouveau signal automatique de navigateur pour éliminer les bannières de cookies. Appelé "Advanced Data Protection Control" (ADPC), il vise à démontrer qu'une solution européenne conviviale pour les paramètres de confidentialité peut facilement être mise en œuvre. Cette nouvelle norme permettrait à l'utilisateur de définir ses préférences en matière de confidentialité une seule fois, dans le navigateur lui-même, et de faire en sorte que le navigateur communique ces préférences de manière invisible à tous les sites Web qu'il visite.Le Noyb et le CSL proposent un moyen de remplacer les cookies
Depuis son entrée en vigueur en 2018, le RGPD (règlement général sur la protection des données) exige que les sites Web demandent le consentement des visiteurs avant de placer des cookies. Comme tout internaute le sait maintenant, cela signifie une étape supplémentaire requise lors de la visite de presque tous les sites Web pour la première fois, ou potentiellement chaque fois, si vous choisissez de ne pas accepter les cookies. Actuellement, cette communication tend à se faire par le biais d'interfaces très perturbatrices et répétitives contenues dans la page Web elle-même (par exemple, les "bannières de cookies"
.Cela peut être agaçant pour les internautes et ces interfaces peuvent également tromper leur vigilance. Afin de résoudre ces problèmes et de rendre le mécanisme de demande de consentement plus facile et plus éclairé, le Noyb et le CSL ont présenté lundi leur idée connue sous le nom d'Advanced Data Protection Control (ADPC). L'ADPC est un mécanisme automatisé de communication des décisions de confidentialité des utilisateurs et des réponses des responsables du traitement des données. Il vise à donner aux utilisateurs les moyens de protéger leur vie privée en ligne d'une manière centrée sur l'homme et applicable.
Il aide également les éditeurs en ligne et les fournisseurs de services à se conformer aux réglementations en matière de protection des données et de protection des consommateurs. La spécification ADPC définit une méthode pour exprimer les décisions des utilisateurs concernant le traitement des données personnelles dans le cadre de la réglementation de l'Union européenne en matière de protection des données et de réglementations similaires en dehors de l'UE. Actuellement, ADPC fonctionne par l'échange d'en-têtes HTTP entre l'agent utilisateur et le serveur Web, ou par une interface JavaScript équivalente.
Ce mécanisme est un moyen automatisé pour les utilisateurs de donner ou de refuser leur consentement, de retirer tout consentement déjà donné et de s'opposer au traitement fondé sur l'intérêt légitime. Selon ses auteurs, ADPC est une alternative aux approches existantes de gestion non automatisée du consentement qui vise à réduire les frais généraux des différentes parties impliquées dans la protection de la vie privée des utilisateurs.
Caractéristiques et fonctionnement de la norme ADPC
ADPC permet deux méthodes de transmission automatisée des préférences, l'une qui communique directement avec le serveur Web hébergeant le site visité, l'autre qui communique avec le site Web lui-même. Lorsque ADPC communique directement avec le serveur Web, il le fait par le biais d'en-têtes HTTP - un en-tête Link pointant vers un fichier JSON sur le serveur, et l'en-tête ADPC émis par le navigateur de l'utilisateur. Lorsqu'il communique avec le site Web lui-même, le mécanisme passe par JavaScript - la configuration est transmise comme un objet à l'interface DOM, par exemple, navigator.dataProtectionControl.request(...).
Dans les deux cas, les préférences de l'utilisateur en matière de confidentialité sont communiquées au site Web ou au serveur sous la forme d'une liste d'identifiants de requête auxquels il consent. Cette liste est envoyée dans les en-têtes ADPC pour l'approche basée sur HTTP et comme valeur de retour finale de l'interface DOM dans l'approche JavaScript. Bien que les deux mécanismes permettent d'atteindre le même objectif de manière similaire, 'il existe de nombreuses raisons de soutenir les deux. L'approche basée sur le protocole HTTP serait probablement plus efficace.
Cependant, elle nécessiterait évidemment de nouvelles versions des applications de serveur Web qui la prennent explicitement en charge (ou du moins, de nouveaux modules enfichables dans le cas de serveurs comme Apache qui les prennent en charge). En attendant, le mécanisme basé sur JavaScript fonctionne sans qu'aucune configuration spéciale du serveur Web soit nécessaire. Cependant, il ne fonctionnera pas pour les utilisateurs qui refusent d'activer JavaScript.
Ressource pour les demandes de consentement
Un fichier JSON est au cœur d'ADPC, qu'il utilise les mécanismes HTTP ou JavaScript. Ce fichier de consentement ressemblera à quelque chose comme ceci :
| Code : | Sélectionner tout |
1 2 3 4 5 6 7 |
{
"consentRequests": {
"cookies": "Store and/or access cookies on your device.",
"ads_profiling": "Create a personalised ads profile."
}
} |
| Code : | Sélectionner tout |
1 2 3 | HTTP/1.1 200 OK Link: </consent-request-resource.json>; rel="consent-requests" |
| Code : | Sélectionner tout |
1 2 3 4 | GET /page.htm HTTP/1.1 Host: website.tld ADPC: withdraw=*, consent=cookies |
Cela n'est pas possible pour un site Web qui doit demander le consentement par le biais d'une bannière intégrée à la page Web elle-même. Enfin, les essais montrent qu'il arrive parfois que les bannières de cookies ne s'affichent pas à tous les endroits. Cela peut être dû à des dommages collatéraux causés par des règles de blocage trop agressives ou à des tentatives délibérées de minimiser la "fatigue liée au clic".
Quelques commentaires sur la norme ADPC
Certains l'ont déjà essayé et ont partagé leur observation avec la communauté. Ainsi, il est important de comprendre qu'ADPC n'est pas un mécanisme permettant d'imposer le profil de confidentialité d'un utilisateur. Il s'agit simplement d'une manière normalisée de le demander, conformément au RGPD de l'Union européenne et aux lois similaires sur la confidentialité en vigueur ailleurs. Rien n'empêche techniquement un hypothétique site Web conforme à ADPC de demander l'autorisation de créer un profil publicitaire pour un utilisateur, d'essuyer un refus et de créer quand même ce profil.
Mais les sites légitimes pourraient demander le consentement d'une manière plus lisible par les machines, plus cohérente et moins fatigante pour l'utilisateur. L'ADPC aiderait toujours les utilisateurs à faire face aux sites louches qui ignorent les préférences de leurs utilisateurs. Si un utilisateur refuse d'accepter tout cookie via une bannière de cookies, sa préférence exprimée ne peut pas être sauvegardée et enregistrée, mais les préférences ADPC le seront. Cependant, selon d'autres personnes, l'ADPC ne fera pas long feu. Ils rappellent que l'on a déjà vu des choses pareilles par le passé.
Un exemple célèbre est le protocole P3P (Privacy Preferences Project) qui aurait été implémenté dans le navigateur Internet Eplorer de Microsoft. « Elle n'a absolument rien fait pour la vie privée », ont-ils déclaré. Google aurait envoyé de faux en-têtes P3P qui ont cassé l'implémentation d'IE et autorisé tous les cookies. « Les publicitaires ne veulent pas que les utilisateurs aient la possibilité de se désengager facilement. Elles ne voulaient pas de P3P. Elles ne voulaient pas de DNT [l'entête do not track]. Elles ne voudront pas de cette nouvelle spécification, à moins qu'elle ne soit si mauvaise que la plupart des utilisateurs l'accepteront par accident », ont-ils ajouté.
Selon eux, les bannières de cookies ennuyeuses et déroutantes sont une caractéristique. En dehors du fait que les gens acceptent par confusion ou par attrition, elles seraient une conformité malveillante. « Les entreprises de publicité qui les affichent veulent que vous soyez énervé par ces bannières. Elles veulent que vous les associiez à la vie privée et que vous en concluiez que les lois sur la vie privée sont inutiles et devraient être abrogées », ont-ils fait remarquer. En outre, d'autres rappellent la récente tentative de Google pour remplacer les cookies tiers, mais qui a suscité un tollé dans l'industrie.
En effet, Google – dans une tentative d'équilibrer son double rôle de développeur de navigateur Web et de propriétaire de la plus grande plateforme publicitaire du monde – a annoncé début 2020 son intention d'éliminer les cookies tiers dans Chrome au profit d'un nouveau cadre appelé "Privacy Sandbox", qui vise à protéger l'anonymat tout en diffusant des publicités ciblées sans avoir recours à des techniques plus opaques comme les empreintes informatiques. Cependant, plusieurs organismes à l'instar de l'EFF, trouvent qu'il s'agit d'une idée terrible, car elle créerait de nouveaux risques pour la vie privée.
En outre, bien que Google ait indiqué qu'il s'agit essentiellement d'une initiative visant à rendre le Web plus privé pour les utilisateurs tout en permettant aux annonceurs d'effectuer des mesures et un suivi, beaucoup s'inquiètent de la manière dont le géant de la recherche en ligne continue d'affirmer sa domination sur le Web. L'approche de Google dans le remplacement des cookies tiers a également suscité l'attention des régulateurs.
Sources : Noyb, ADPC (GitHub), Spécification de l'ADPC La norme P3P
Et vous ?
Quel est votre avis sur le sujet ? Pensez-vous que les bannières de cookies sont obsolètes ? Que pensez-vous de l'idée de remplacer les bannières de cookies par l'ADPC ? Selon vous, est-il réellement nécessaire de remplacer les cookies par une nouvelle norme ? Quelles comparaisons faites-vous entre l'ADPC et Privacy Sandbox ? Quelle est votre préférence ? Pourquoi ?Voir aussi
Pourquoi l'approche de Google dans le remplacement des cookies tiers à des fins publicitaires suscite l'attention des régulateurs ? Quelques éléments de réponses Google progresse dans sa lutte contre les cookies tiers sur son navigateur et commence à tester des outils de substitution comme son API Trust Token Le FLoC de Google est une idée terrible, affirme l'EFF, la nouvelle méthode de pistage visant à remplacer les cookies tiers créerait de nouveaux risques pour la vie privée Le W3C rejette la proposition de Google de traiter plusieurs domaines comme appartenant à la même organisation, déclarant que cela est nuisible à l'architecture d'origine du Web 
