En surfant sur un site web ou en se servant d’un objet connecté, les personnes ne se rendent pas toujours compte de l’utilisation qui peut être faite de leurs données personnelles. Gros plan sur les enjeux liés à l’exploitation de ces données et sur la nécessaire sensibilisation des internautes.
Les internautes, mobinautes, acheteurs d’objets connectés ou de tout type de terminal relié à Internet sont aujourd’hui confrontés à un indispensable choix : accepter ou refuser l’utilisation de leurs données personnelles par les fournisseurs de services numériques. La sollicitation du consentement des consommateurs est omniprésente, depuis les sites internet jusqu’aux applications mobiles, en passant par les smart TV, les assistants vocaux, ainsi que les montres, robots, voitures, enceintes et autres jouets connectés.
À titre d’exemple, les téléviseurs connectés (smart TV) peuvent récolter, s’ils sont reliés au réseau informatique domestique, plusieurs types de données, notamment les programmes regardés (qu’il s’agisse de chaînes classiques ou de services de vidéo à la demande), la présence d’autres objets connectés au réseau (enceintes, ordinateurs, consoles de jeux, etc.), et le fait que telle ou telle personne utilise la télévision (notamment si le téléviseur ou le service concernés proposent un système de profils). Certaines données personnelles peuvent également être collectées comme les identifiants, e-mails, mots de passe, noms, prénoms et dates de naissance saisis lors de l’inscription en ligne à des services, ainsi que les historiques de navigation.
De même, un simple robot connecté peut emmagasiner, en fonction des fonctionnalités proposées, les habitudes d’utilisation du consommateur (cuisine pour famille nombreuse, pour un couple, pour une personne seule…), les habitudes alimentaires (via les recettes choisies) et enregistrer la voix d’une personne donnée ou les conversations environnantes.
Les cookies au cœur d’analyses très fines sur les consommateurs
Dans tous les cas, les données accumulées par les fabricants d’objets connectés ou les fournisseurs de services numériques peuvent leur servir (à eux ou à leurs partenaires commerciaux) à analyser les habitudes de consommation des utilisateurs et à leur proposer des publicités ciblées selon leurs centres d’intérêt.
Cette analyse se fait grâce à des cookies, petits fichiers stockés par un serveur dans le terminal (ordinateur, téléphone, etc.) d’une personne. Dans le meilleur des cas, ces fichiers servent à mémoriser les préférences d’affichage ou le contenu d’un panier d’achats. Ce sont des cookies dits « indispensables » au bon fonctionnement du site ou de l’objet connecté qui ne nécessitent pas le consentement de l’utilisateur.
Mais la plupart du temps, les cookies servent à collecter des informations sur l’internaute afin de lui adresser des campagnes personnalisées, adaptées à ses goûts. Et dans ce domaine, le champ des possibles est extrêmement vaste.
Grâce notamment à des « cookies tiers » (c’est-à-dire appartenant à des entreprises différentes de celle qui gère le site web ou fabrique l’objet connecté), il est possible de procéder à des recoupements de données avec d’autres traitements. S’il existe une possibilité pour n’importe quelle personne physique ou morale d’identifier une personne par recoupement de plusieurs informations ou par l’utilisation de moyens techniques divers, les données sont alors considérées comme des données personnelles. Et ces données peuvent se transformer en données sensibles dès lors que le recueil d’informations sur une personne permet de révéler ses habitudes de vie, son état de santé, ses opinions politiques, son orientation sexuelle, etc.
Qui plus est, les cookies tiers peuvent permettre le suivi global de la navigation d’une personne se servant de plusieurs applications ou naviguant sur différents sites web. Ce suivi est rendu possible grâce à l’utilisation d’un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites).
Une impression d’opacité subsiste chez les internautes français
Selon une enquête réalisée par la CNIL en juin 2022, 95 % des personnes interrogées déclarent savoir ce que sont les cookies et 52 % d’entre elles connaître précisément les évolutions réglementaires récentes sur le sujet (contre 44 % seulement en novembre 2020). Les personnes sont également bien au fait des différents usages des cookies : publicité personnalisée (81 %), mesure d’audience (78 %), publicité géolocalisée (78 %) et affichage de vidéos externes (64 %).
Pour autant, malgré ces chiffres, les internautes français ont encore une impression d’opacité : ils considèrent très majoritairement que l’information sur les entreprises de l’écosystème publicitaire est insuffisante ou inexistante (68 %) et ils sont seulement 32 % à considérer qu’elle est suffisante (+ 8 points vs 2019).
Pour aider internautes et utilisateurs d’objets connectés, la CNIL a développé Cookieviz, un outil de visualisation qui mesure l’impact des cookies et autres traqueurs lors d’une navigation Web. Ce logiciel a été conçu par le laboratoire d’innovation numérique de la CNIL (LINC). Il permet de visualiser les cookies déposés depuis des domaines tiers. Son code source est librement accessible et peut être enrichi par les développeurs. Cette initiative a été récompensée en 2021 lors de la 43e Assemblée mondiale sur la protection de la vie privée accueillie par l’Institut national pour la transparence, l’accès à l’information et la protection des données personnelles (INAI), autorité mexicaine de la protection des données.
Elle témoigne de l’intérêt de plus en plus fort porté par les consommateurs, les entreprises et les autorités de contrôle à la protection des données personnelles, sous toutes ses formes.