Advanced Data Protection Control, un nouveau signal de navigateur, pourrait rendre les bannières de cookies obsolètes,

Il serait conforme au RGPD

Noyb (none of your business) et Sustainable Computig Lab (CSL) ont proposé cette semaine un nouveau signal automatique de navigateur pour éliminer les bannières de cookies. Appelé "Advanced Data Protection Control" (ADPC), il vise à démontrer qu'une solution européenne conviviale pour les paramètres de confidentialité peut facilement être mise en œuvre. Cette nouvelle norme permettrait à l'utilisateur de définir ses préférences en matière de confidentialité une seule fois, dans le navigateur lui-même, et de faire en sorte que le navigateur communique ces préférences de manière invisible à tous les sites Web qu'il visite.

Le Noyb et le CSL proposent un moyen de remplacer les cookies

Depuis son entrée en vigueur en 2018, le RGPD (règlement général sur la protection des données) exige que les sites Web demandent le consentement des visiteurs avant de placer des cookies. Comme tout internaute le sait maintenant, cela signifie une étape supplémentaire requise lors de la visite de presque tous les sites Web pour la première fois, ou potentiellement chaque fois, si vous choisissez de ne pas accepter les cookies. Actuellement, cette communication tend à se faire par le biais d'interfaces très perturbatrices et répétitives contenues dans la page Web elle-même (par exemple, les "bannières de cookies".


Cela peut être agaçant pour les internautes et ces interfaces peuvent également tromper leur vigilance. Afin de résoudre ces problèmes et de rendre le mécanisme de demande de consentement plus facile et plus éclairé, le Noyb et le CSL ont présenté lundi leur idée connue sous le nom d'Advanced Data Protection Control (ADPC). L'ADPC est un mécanisme automatisé de communication des décisions de confidentialité des utilisateurs et des réponses des responsables du traitement des données. Il vise à donner aux utilisateurs les moyens de protéger leur vie privée en ligne d'une manière centrée sur l'homme et applicable.

Il aide également les éditeurs en ligne et les fournisseurs de services à se conformer aux réglementations en matière de protection des données et de protection des consommateurs. La spécification ADPC définit une méthode pour exprimer les décisions des utilisateurs concernant le traitement des données personnelles dans le cadre de la réglementation de l'Union européenne en matière de protection des données et de réglementations similaires en dehors de l'UE. Actuellement, ADPC fonctionne par l'échange d'en-têtes HTTP entre l'agent utilisateur et le serveur Web, ou par une interface JavaScript équivalente.

Ce mécanisme est un moyen automatisé pour les utilisateurs de donner ou de refuser leur consentement, de retirer tout consentement déjà donné et de s'opposer au traitement fondé sur l'intérêt légitime. Selon ses auteurs, ADPC est une alternative aux approches existantes de gestion non automatisée du consentement qui vise à réduire les frais généraux des différentes parties impliquées dans la protection de la vie privée des utilisateurs.

Caractéristiques et fonctionnement de la norme ADPC

ADPC permet deux méthodes de transmission automatisée des préférences, l'une qui communique directement avec le serveur Web hébergeant le site visité, l'autre qui communique avec le site Web lui-même. Lorsque ADPC communique directement avec le serveur Web, il le fait par le biais d'en-têtes HTTP - un en-tête Link pointant vers un fichier JSON sur le serveur, et l'en-tête ADPC émis par le navigateur de l'utilisateur. Lorsqu'il communique avec le site Web lui-même, le mécanisme passe par JavaScript - la configuration est transmise comme un objet à l'interface DOM, par exemple, navigator.dataProtectionControl.request(...).

Dans les deux cas, les préférences de l'utilisateur en matière de confidentialité sont communiquées au site Web ou au serveur sous la forme d'une liste d'identifiants de requête auxquels il consent. Cette liste est envoyée dans les en-têtes ADPC pour l'approche basée sur HTTP et comme valeur de retour finale de l'interface DOM dans l'approche JavaScript. Bien que les deux mécanismes permettent d'atteindre le même objectif de manière similaire, 'il existe de nombreuses raisons de soutenir les deux. L'approche basée sur le protocole HTTP serait probablement plus efficace.

Cependant, elle nécessiterait évidemment de nouvelles versions des applications de serveur Web qui la prennent explicitement en charge (ou du moins, de nouveaux modules enfichables dans le cas de serveurs comme Apache qui les prennent en charge). En attendant, le mécanisme basé sur JavaScript fonctionne sans qu'aucune configuration spéciale du serveur Web soit nécessaire. Cependant, il ne fonctionnera pas pour les utilisateurs qui refusent d'activer JavaScript.

Ressource pour les demandes de consentement

Un fichier JSON est au cœur d'ADPC, qu'il utilise les mécanismes HTTP ou JavaScript. Ce fichier de consentement ressemblera à quelque chose comme ceci :...