Un sénateur US propose des règles strictes de Do Not Track dans un nouveau projet de loi
DuckDuckGo voudrait que le Congrès US adopte sa proposition de loi Do Not Track Act,
qui vise à obliger les sites à ne pas pister les internautes qui se servent de Do Not Track
S’il fallait reconnaître l’une des caractéristiques des grandes régies publicitaires, c’est qu’elles se servent de plus en plus d’outils invasifs pour diffuser de la publicité ciblée. Un site ou une application unique peut contenir des dizaines de trackers, créant ainsi un profil détaillé de qui vous êtes et de ce que vous faites en ligne. Après Cambridge Analytica et d'innombrables autres scandales liés à la protection des données, le danger de l’utilisation à mauvais escient de ces profils a trouvé son illustration.
Face à tout cela, Gabriel Weinberg, PDG de DuckDuckGo, a préparé une nouvelle campagne visant à faire revivre la norme Do Not Track, un système de confidentialité mis en place pour la première fois il y a 10 ans et largement abandonné par le secteur depuis lors. Weinberg a élaboré un projet de loi intitulé The Do-Not-Track Act of 2019, qui vise à donner à cette norme la force juridique qu’elle n’a jamais eue auparavant. Selon lui, c’est le moyen le plus simple de résoudre le problème de la publicité en ligne.
« Do Not Track est une chose que vous pouvez faire et qui va vous permettre de ne pas être pisté », a avancé Weinberg. « Tout ce qui reste à faire est de lui donner des dents réglementaires ».
Weinberg voudrait donner à Do Not Track une portée juridique
Il s’agit là d’un combat de longue haleine. En effet, Weinberg n’a pas encore obtenu la signature des législateurs et des projets de loi comme celui-ci ont été bloqués au Congrès à plusieurs reprises auparavant. En tant que PDG d'un moteur de recherche respectueux de la vie privée, Weinberg a un intérêt évident à perturber l'écosystème de suivi en ligne. Mais son objectif principal dans le déploiement du projet de loi est de faire renaître l’intérêt pour une norme de confidentialité qui a été abandonnée par la plupart. Bien entendu, vous pouvez toujours configurer la plupart des navigateurs modernes sur Do Not Track, mais nombreux sont les sites Web qui ignorent ce paramètre, sans aucune idée précise de la façon de le suivre. Cependant, même si le signal a peu de valeur pratique, les recherches de Weinberg suggèrent qu’un internaute sur quatre l’envoie encore en configurant leurs navigateurs sur Do Not Track.
Pour Weinberg, c’est là que le gouvernement interviendrait. Son projet de loi instaurerait des règles strictes sur la manière de traiter les utilisateurs qui se servent de ce paramètre de désinscription au pistage, ainsi que des sanctions claires pour les sites et les réseaux de publicité qui ne respectent pas les règles. « Il faut que le gouvernement établisse ce que signifie réellement l'abandon du pistage », a martelé Weinberg.
En vertu de cette proposition de loi, tout pistage par une tierce partie serait désactivé par défaut pour tout utilisateur envoyant le signal DNT. Le suivi par une partie prenante serait également limité à « ce à quoi l'utilisateur s’attend », afin de limiter les abus provenant de services tels que Facebook, suffisamment grands pour constituer un réseau à part entière. Il y aurait également des exceptions intégrées pour les fonctions de gestion de réseau et de recherche, visant à minimiser les perturbations des nouvelles mesures.
Comment internet en est-il arrivé là ?
Si la proposition de Weinberg aboutissait, il s’agirait probablement d’une renaissance inattendue pour le standard Do Not Track. Introduit pour la première fois en 2009, l’idée de Do Not Track est simple : si vous ne souhaitez pas être suivi par des annonces en ligne, vous devriez pouvoir le dire et les sites Web doivent respecter cette préférence. Inspirée de la liste de numéros de téléphone exclus pour les télévendeurs, cette idée a rapidement été réduite à un contrat entre navigateurs et sites Web. Lorsqu'ils contactent un serveur Web pour charger un site, les navigateurs incluent désormais un extrait de code si l'utilisateur a choisi de ne pas être pisté. Si un site Web voyait ce code dans votre demande, il n’obtiendrait pas d’informations de suivi. C'était aussi simple que ça.
Le système tout entier était censé être volontaire, les utilisateurs, les navigateurs, les sites et les annonceurs optant tous pour la norme à leurs propres conditions. C'était un moyen de dissiper les effets néfastes du suivi sur le Web sans perdre autant d'argent en publicité. Comme pour la plupart des paramètres de confidentialité, il était supposé que peu de personnes activeraient la fonction Do Not Track et avoir cette option disponible rendait le système tout entier moins envahissant.
Vers 2012, tout s'est effondré. Il est difficile de trouver une raison précise, mais le point de rupture était le moment où Internet Explorer a décidé d'activer par défaut la fonction Do Not Track, ce que les réseaux publicitaires considéraient comme une violation de l'accord. Très vite, les sites modifiaient les règles DNT pour ignorer explicitement toutes les demandes effectuées par Internet Explorer, le système entier était fragmenté et les sites obtenaient un laissez-passer gratuit pour l'ignorer. Une série de requêtes Do Not Track ont été bloquées en 2011 et 2012 et la plupart des groupes de protection de la vie privée sont passés à autre chose.
Le moteur de recherche avait déjà tiré la sonnette d’alarme
Dans un billet de blog publié en février, DuckDuckGo a expliqué que « le paramètre “Do Not Track” ne vous empêche pas d’être pisté » :
« La plupart des navigateurs ont un paramètre "Do not Track" (DNT) qui envoie "un signal spécial aux sites Web, sociétés d'analyse, réseaux publicitaires, fournisseurs de plug-ins et autres services Web rencontrés lors de la navigation, pour arrêter le suivi de votre activité". Ça sonne bien, non ? Malheureusement, ce n’est pas efficace. En effet, ce paramètre Do Not Track n’est qu’un signal volontaire envoyé aux sites Web, qu’ils ne sont pas tenus de respecter.
« Néanmoins, une grande partie des utilisateurs de nombreux navigateurs utilisent le paramètre Do Not Track. Bien que DNT soit désactivé par défaut dans la plupart des principaux navigateurs Web, lors d'une enquête menée auprès de 503 adultes américains en novembre 2018, 23,1% (± 3,7) des répondants ont consciemment activé les paramètres DNT sur leurs navigateurs de bureau. (Remarque: Apple est en train de supprimer le paramètre DNT de Safari.)
« Nous avons également examiné l'utilisation de DNT sur DuckDuckGo (sur les navigateurs de bureau et mobiles), en constatant que 24,4% des demandes DuckDuckGo au cours d'une journée provenaient de navigateurs avec le paramètre Do Not Track activé. Cela correspond à la marge d'erreur de l'enquête, ce qui confère plus de crédibilité à ses résultats.
« Malheureusement, des dizaines de millions d’Américains (et beaucoup d’autres dans le monde) qui activent DNT ne savent pas qu’il n’envoie qu’un signal volontaire. Parmi les répondants qui ont entendu parler du paramètre Do Not Track et qui le connaissent “au moins un peu", 44,4% (± 7,3) d'entre eux n'étaient pas au courant de sa véritable nature volontaire. Même parmi ceux qui ont consciemment activé DNT dans leur navigateur, 41,4% (± 8,9) ne savaient pas qu'il n'envoyait qu'un signal volontaire ».
Cambridge Analytica, la série de scandales qui a ouvert les yeux sur le profilage des internautes ?
Mais après Cambridge Analytica et d’innombrables scandales liés aux données, Weinberg pense que la voie est plus claire qu’elle ne l’a été depuis des années. Le sénateur Ron Wyden (D-OR) a inclus un libellé similaire dans un projet de loi sur la protection de la vie privée en novembre, montrant que certains législateurs sont toujours intéressés par la norme. Alors que les règles plus ambitieuses en matière de protection de la vie privée s'essoufflent au Congrès, Weinberg pense que Do Not Track pourrait être un apéritif pour une législation plus ambitieuse de type RGPD aux États-Unis plus tard.
« C’est une option plus simple que nous pourrions adopter aujourd’hui, explique-t-il, et qui n’empêchera pas un projet de loi plus strict sur la protection de la vie privée ».
Tout le monde n'en est pas convaincu. La plupart des groupes impliqués dans la campagne initiale de Do Not Track ont opté pour d'autres projets, ne laissant aucune coalition claire pour reprendre le flambeau. Pam Dixon, directrice du World Privacy Forum, qui a été l'un des cerveaux de la norme initiale, estime désormais que l'accent mis sur les protections basées sur un navigateur est trop étroit. « Je pense qu'au lieu de faire pression sur Do Not Track, il est préférable de se concentrer maintenant sur la manière de mettre en place un processus pour une méthodologie de fixation de normes de protection de la vie privée juste, équitable et viable », déclare Dixon. « DNT pourrait être l'un de ceux-là, ainsi que des centaines d'autres, espérons-le ».
Cependant, Weinberg veut être sûr que ce nouvel élan derrière la vie privée ne sera pas perdu. « Il y a, pour la première fois cette année, une idée réelle que quelque chose pourrait être fait parce que la volonté du peuple est là », a avancé Weinberg. « Tout découle de la volonté du peuple, donc plus il y a de gens qui en parlent à leurs sénateurs et membres du Congrès, mieux c'est ».
Sources : blog DuckDuckGo, projet de loi DuckDuckGo (au format PDF), Philly
Et vous ?
Que pensez-vous de cette initiative ?
Voir aussi :
Répondre avec citation
Partager