Doit-on limiter l’utilisation des cookies?

Comme plusieurs d’entre vous, je n’ai aucun problème à ce qu’une organisation ramasse mes informations avec des cookies. Il est vrai que ça améliore ma relation avec les entreprises électroniques sur le Web.

Du point de vue de l’utilisation, j’aime bien pouvoir conserver les articles de mon panier d’une session à l’autre, quand je magasine sur Amazon, Futureshop ou bien Bestbuy. De la même façon, j’utilise beaucoup de services Web en ligne comme Gmail, google calendar, google analytics, basecamp ou twitter et j’apprécie ne pas être obligé de m’identifier à chaque fois pour accéder à mes données.

Du point de vue de la personnalisation, j’apprécie le pouvoir de conserver la disposition du flux de mes nouvelles, chaque fois que je reviens sur la page d’accueil de bbc.com. J’adore les recommandations de musique que me propose last.fm, car il monitore et garde en mémoire le profil de mes goûts musicaux. Même lorsque je surfe le Web et qu’on m’offre des publicités ciblées par un troisième parti comme DoubleClick ou bien Adsense, je suis bien content que les pubs soient en lien avec mes intérêts, même si je clique rarement — pour ne pas dire jamais. C’est que je me considère comme un utilisateur qui ne se laisse pas vraiment influencer par la pub et qui comprend plus ou moins les mécanismes derrière toutes ces générations automatiques de liens. Mais le suis-je vraiment?

Cacher ce cookie que je ne saurais voir

À mon sens, la question n’est pas de savoir si nous devons ou non limiter l’utilisation des cookies, mais bien de déterminer jusqu’à quel point un utilisateur est apte à comprendre ce qu’implique d’entrer en relation avec un site Web particulier. Comme le dit Firefox, sur son site :

Cookies can store a wide range of information, including personally identifiable information (such as your name, home address, e-mail address, or telephone number). However, this information can only be stored if you provide it – websites cannot gain access to information you didn’t provide to them, and they can’t access other files on your computer.

By default, the activities of storing and sending cookies are invisible to you. However, you can change your Firefox settings to allow you to approve or deny cookie storage requests, delete stored cookies automatically when you close Firefox, and more.

La fonction principale d’un cookie est de profiler les utilisateurs d’un site. Que ce soit avec à l’aide de first-party cookies ou de third-party cookies, le problème est le même : par défaut, la portée du profilage des cookies est invisible à l’oeil des utilisateurs. Comment contrôler l’utilisation des cookies quand une vaste majorité d’utilisateurs ne savent même pas dans quel répertoire se trouve leur fureteur favori, sur leur ordinateur? Le problème qu’ont les analystes Web avec le fait qu’un cookie peut être effacé par une infime portion des internautes de leurs sites est bien relatif quant au problème avec lequel est pris la majorité des internautes qui ne savent même pas comment effacer un cookie ou qui pensent qu’un cookie est un biscuit chinois, un monstre dans une émission pour enfant ou bien une chanson de Jean Leloup.

Cookie Monster – Source : Youtube

First, third et méga party cookie

Avant d’aller plus loin, rappelons ce que veux dire « party » dans l’expression first-party ou third-party cookie. Un party est un propriétaire — le parti — auquel le cookie appartient. Dans le cas des first-party cookie, le propriétaire du cookie est directement le site sur lequel vous êtes : vous visitez kinaze.org et un cookie de www.kinaze.org se retrouve sur votre machine à votre insu. Dans le cas des third-party cookies, le propriétaire du cookie n’est pas celui du site sur lequel vous êtes : vous visitez le blogue de kinaze.org et un cookie de www.analyses-web.com ou bien de www.ciblez-vos-clients-sur-le-web.com se retrouve sur votre machine sans que vous le sachiez.

De façon générale, les first-party cookies améliorent la relation qu’ont les utilisateurs avec un site. D’une part, ils permettent aux utilisateurs de conserver leurs paramètres personnels ce qui rend leurs sessions plus conviviales. D’autre part, ils facilitent le travail des analystes Web et permettent aux responsables des sites de mieux comprendre quelles sont les habitudes de leurs internautes (Google Analytics, Omniture, Webtrends, …), ce qui leur permet de prendre des décisions plus éclairées en ce qui à trait aux améliorations qui répondront mieux aux besoins de leurs clients. Les first-party cookies améliorent l’expérience des utilisateurs d’un site et ils aident les responsables d’un site à améliorer l’expérience de leurs utilisateurs. Le consommateur en sort donc grand vainqueur.

À titre d’exemple, voici comment Last.fm décrit son utilisation des first-party cookie:

We use cookies to help you use Last.fm to collect data that we can use to improve the efficiency and quality of our service. We use these cookies to identify you as a valid user and to help personalise your Last.fm experience in conjunction with your profile. We currently employ persistent cookies which stay on your computer after you have gone offline. Persistent cookies remain in the “cookies” folder after you have closed your web browser.

Most browsers have cookies turned on as a default, but you can always disable cookies or only allow non-persistent cookies via your browser preferences. If you choose to disable cookies, however, you won’t be able enjoy a significant proportion of Last.fm’s functionality. Please remember that cookies cannot read your hard drive or give any information collected to any third party. A cookie can only be read by the organisation that sets it.

Les third-party cookies sont habituellement utilisés par les compagnies de publicités qui essaient de suivre les internautes sur le plus de sites possible, afin de mieux comprendre leurs habitudes sur le Web et de leur proposer des liens payants qui sauront les satisfaire. Bien que les profils des internautes demeurent anonymes, ils permettent quand même aux agences publicitaires de mieux cibler les liens payants. Par exemple, supposons que vous voulez vous acheter une voiture et que vous visitez souvent un site de voiture qui dépose le third-party cookie d’une agence publicitaire X sur votre machine. Si vous visitez le site d’une compagnie d’assurance qui accepte aussi les third party cookies de la même agence publicitaire, il est fort probable qu’on vous offre une publicité ciblée d’automobile sur ce dernier site. En gros, tout se passera comme suit : votre identifiant impersonnel sera reconnu (visiteur #06FOO00RT4), son profil sera associé à « automobile » et une publicité de voiture vous sera proposée.

Toujours à titre d’exemple, voici comment Last.fm décrit son utilisation des first-party cookie:

We may use third-party advertising companies to target and serve ads when you visit our Website. These companies may use information (generally not including your name, address, e-mail address or telephone number) about your visits to this and other Web sites in order to provide advertisements about goods and services of interest to you. These companies may employ cookies and other tracking technologies to measure advertising effectiveness. Any information that these third parties collect via cookies is generally not personally identifiable (unless, for example, you provide personal information to them through an ad or e-mail message). We encourage you to read these businesses’ privacy policies if you should have any concerns about how they will care for your information. If you would like more information about this practice and to know your choices about not having this information used by these companies, see the Network Advertising Initiative’s consumer Web site at http://www.networkadvertising.org/consumer.

La plupart des discours sur Internet s’entendent pour dire que la menace potentielle à le vie privée des third-party cookie est beaucoup plus importante que celle des first-party cookie. Je ne suis pas d’accord avec cette affirmation. Selon moi, les first-party cookie ne font que donner l’illusion qu’ils sont moins intrusifs que les third-party cookies.

Il est important de rappeler que les sites transactionnels qui reconnaissent les utilisateurs d’une session à l’autre grâce à des cookies possèdent des informations personnelles sur ces utilisateurs. Le degré de personnalisation de ces informations dépend de la complexité des services rendus, mais dans tous les cas quelqu’un, quelque part fait quelque chose avec ces informations. C’est d’autant plus inquiétant que dans le cas des first-party cookies, les utilisateurs ont la possibilité d’entrer ou non en relation avec une entreprise en acceptant ou en refusant une politique de confidentialité – que personne ne lit. Mais bon, tout comme nous sommes censés lire les petits caractères illisibles aux bas de tous les contrats que nous signons, ce n’est que quand l’improbable advient que ces petits caractères prennent tout leur sens.

L’affiliation des politiques de confidentialité

Selon moi, il y a deux gros nuages gris qui planent dans le ciel bleuté d’enthousiasme des first-party cookies : celui de la confidentialité des informations des utilisateurs du site et celui du droit d’accès à ces informations. Ces faiblesses ressemblent à celles que j’ai mentionnées en parlant des inconvénients du cloud computing. Bien que la plupart des sites ont des politiques d’accès à l’information (privacy policy), bien peu d’utilisateurs de ces sites prennent le temps de lire ce qui y est écrit. Quand avez-vous avez pris la peine de lire la politique de confidentialité des sites Web que vous consultez? Et que dire des sites qui n’ont carrément aucune politique de confidentialité? Ou bien des politiques de certaines organisations qui sont si relâchées (ou bien si bien rédigées) qu’elles permettent potentiellement de réutiliser les informations de leurs internautes à toutes les sauces, même de les revendre ou de les « prêter» à d’autres entreprises.

Par exemple : est-ce que Bestbuy à accès à vos données lorsque vous allez sur futureshop.ca? Sans avoir faits d’études approfondies sur le sujet, je remarque qu’à la question: « Qui est Futureshop? » sur la page « Politique sur la protection des renseignements personnels » de futureshop.ca, la réponse est:

Future Shop, futureshop.ca, et ConnectPro sont des divisions des Best Buy Canada Ltée de Burnaby, filiale en propriété exclusive de Best Buy Co., inc..

Je ne suis pas un avocat ou un spécialiste des droits juridiques du Web, mais il me semble que

1. cette réponse veut dire que Bestbuy.ca a aussi accès aux informations collectées sur futureshop.ca; et
2. puisque Futureshop est en fait une filiale en propriété exclusive de Best Buy Co., inc., qu’en est-il de la politique de confidentialité de cette dernière entité? Jusqu’à quel point la politique d’accès aux informations de Futureshop.ca dit autre chose que celle de Best Buy Co., inc. ? Et quelle politique prime s’il y a un recourt judiciaire?

Tout est bien beau si on s’illusionne que les first-party cookie ne concerne que la consolidation entre l’utilisateur d’un site et le site qu’il utilise. Mais tout ça se complique lorsque les informations de ces cookies peuvent aussi être transférées à une filiale d’un site, ou à toute autre tierce partie. Car si un site n’utilise pas directement de third-party cookie, rien ne l’empêche de les utiliser indirectement. En d’autres mots : je n’utilise pas de third party cookies sur mon site, mais je me donne la possibilité de « passer » vos informations impersonnelles à une troisième partie qui pourra faire ce qu’elle veut avec vos informations.

Les changements de politiques

Le pire dans tout ça est la politique de changement des politiques de confidentialité. En gros, il y a souvent une phrase du genre :

« Notre organisation se réserve le droit de modifier cette politique de confidentialité à tout moment. Si c’est le cas, nous mettrons à jour la politique de confidentialité sur notre site et vous êtes tenu de le savoir ».

Par exemple, sur le site d’Apple :

« Apple may update its privacy policy from time to time. When we change the policy in a material way a notice will be posted on our website along with the updated privacy policy. »

C’est donc dire que ce qui est valide aujourd’hui ne le sera pas nécessairement demain. Qu’arrive-t-il avec vos informations personnelles (qui sont stockées de façon impersonnelle, c.-à-d. visiteur #06FOO00RT4) , lorsqu’une compagnie se fait acheter par une nouvelle compagnie? Et qu’en est-il lorsqu’une compagnie réussit à personnaliser les profils impersonnels et à les lier à des noms et des adresses réelles?

À propos de son utilisation de cookies, Google dit :

We use cookies to improve the quality of our service, including for storing user preferences, improving search results and ad selection, and tracking user trends, such as how people search. Google also uses cookies in its advertising services to help advertisers and publishers serve and manage ads across the web. We may set one or more cookies in your browser when you visit a website, including Google sites that use our advertising cookies, and view or click on an ad supported by Google’s advertising services.

Google utilise des third-party cookies pour mieux promouvoir les résultats des recherches de ses affiliés. Bien que pour l’instant, Google n’utilise pas les données de third-party cookies afin de mieux cibler les résultats des recherches organiques, rien ne nous indique que ce ne sera pas le cas dans le futur. Ainsi, qu’arrivera-t-il si Google devient le partenaire d’un gros distributeur comme Amazon.com? Ou bien qu’il décide de vendre des livres électroniques sur Google Books ou Google Scholars? Toutes les belles données des first-party cookies qui auront été utilisé pour améliorer la relation avec les internautes, mieux personnaliser le résultat de leurs recherches organiques, et consolider tous les services Web de Google auxquels ils sont abonnés, ne serviront-ils pas ultimement les intérêts de Google en tant qu’agence publicitaire et non pas en tant que moteur de recherche? Non pas que les internautes qui cherchent ne seront pas bien servis, seulement : la ligne est bien mince entre un résultat organique et un résultat par référencement. Quand les intérêts financiers de tierce partie influencent la personnalisation des recherches, les algorithmes de Google en Amérique ne sont pas bien loin de ceux qui filtrent les résultats des recherches en Chine…

L’âge de la décision

Un dernier mot, finalement, sur l’âge des internautes qui décident ou non d’accepter les cookies d’un site Internet. Si je me considère assez mature pour permettre et d’encourager tous les services que j’utilise sur le Web de passer au travers mon fureteur, et de laisser les traces de mes activités virtuelles sur mon ordinateur, je ne suis pas certain que c’est le même cas pour un enfant de douze ans. Pourtant, ce sont ces enfants qui utilisent souvent le plus des sites de services Web collaborant étroitement avec des agences de marketing interactives qui profilent monstrueusement leurs internautes à l’aide de cookies. Quel est l’âge légal pour « expérimenter » des cookies sur un utilisateur? Et comment réglementer cette utilisation quand on sait que plusieurs utilisateurs peuvent utiliser le même ordinateur? Quelle est la ligne de partage entre le contrôle de la vie privée et l’intrusion dans la vie privée par des méthodes de surveillance?

Il me semble que c’est important de se questionner sur ces questions. Surtout que nous sommes lentement en train d’entrer dans une ère de surveillance ou la possibilité de suivre à la trace des utilisateurs posent plusieurs questions éthiques. Car s’il est peut-être vrai qu’il faut protéger la confidentialité de certaines informations sur le Web, il ne faut pas oublier que les outils de surveillance qui permettent ce contrôle sont de redoutables armes de guerre, dans une économie digitale. À cet égard, l’expertise des Chinois n’est pas à négliger.

RFID, L’outil de contrôle absolu – Source : Youtube

L’illustration de « Cookie Monster » provient de tioandria sur deviantart.