Discussion :

[Mathis Lucas]

Un audit révèle que Google, Microsoft et Meta continuent de suivre leurs utilisateurs même après leur désinscription
Google ignore les demandes de confidentialité dans 87 % des cas, contre 69 % pour Meta

Une enquête menée par la société webXray révèle que Google, Microsoft et Meta ignorent fréquemment les demandes de confidentialité des internautes californiens. Malgré l'utilisation de signaux de refus comme le Global Privacy Control, ces géants du numérique continuent d'installer des cookies publicitaires sans le consentement requis par la loi. L'étude souligne que les plateformes de gestion du consentement, censées protéger les utilisateurs, échouent massivement à bloquer ce suivi intrusif. Cette étude suggère que les amendes actuelles sont perçues par ces firmes comme de simples coûts opérationnels plutôt que comme de véritables mesures dissuasives.

Un moteur de recherche axé sur la confidentialité, appelé webXray, a mené un audit du trafic Web de Microsoft, Meta et Google. Selon le rapport de l'étude, webXray a vérifié spécifiquement la présence de cookies publicitaires déposés sur des appareils ayant déjà désactivé le suivi par cookies. Le rapport révèle une nouvelle choquante, mais sans surprise pour les professionnels de la cybersécurité et ceux qui ont suivi l’actualité ces dernières années.

Cet audit de confidentialité a analysé le trafic Web sur plus de 7 000 sites populaires en Californie au cours du mois de mars et a constaté que la plupart des entreprises technologiques ignorent les demandes des utilisateurs souhaitant refuser le suivi par cookies. Les données du rapport indiquent que 55 % des sites Web contrôlés installaient des cookies publicitaires dans le navigateur des utilisateurs, même lorsque ces derniers avaient refusé le suivi.

Chaque entreprise a contesté cette étude, Google affirmant qu'elle reposait sur une « incompréhension fondamentale » du fonctionnement de son produit. Ce constat pose la question suivante : à quoi servent les lois californiennes sur la protection de la vie privée si les géants de la tech les ignorent ?

Un constat d'échec massif pour la protection de la vie privée

La Californie dispose d'une législation stricte et bien définie en matière de protection de la vie privée grâce à sa loi sur la protection de la vie privée des consommateurs californiens (CCPA). Elle permet notamment aux utilisateurs de refuser la vente de leurs données personnelles. Il existe un système appelé « Global Privacy Control » (GPC), qui comprend une extension de navigateur indiquant à un site Web lorsqu'un utilisateur souhaite refuser le suivi.

La situation décrite par webXray place potentiellement ces entreprises en infraction directe avec la loi californienne CCPA. L'audit de sécurité s'est particulièrement penché sur le mécanisme GCP. Les résultats se révèlent nettement défavorables à Google, qui ne respecte pas ce signal dans 87 % des cas analysés. Lorsqu'un navigateur utilisant GPC se connecte aux serveurs de Google, il encode le signal de désinscription en envoyant le code « sec-gpc: 1 ».

« Cela signifie que Google ne devrait pas renvoyer de cookies. Cependant, lorsque le serveur de Google répond à une requête réseau avec le signal de désactivation, il répond explicitement par une commande visant à créer un cookie publicitaire nommé IDE à l’aide de la commande « set-cookie ». Cette non-conformité est facile à repérer, car elle se cache à la vue de tous », indique le rapport de l'audit. Meta, connu pour son suivi, n'est pas loin derrière.

Le taux d’échec de Meta était de 69 % et un peu plus généralisé. « Meta demande aux éditeurs d’installer le code de suivi suivant sur leurs sites Web. Ce code ne contient aucune vérification des signaux de désactivation standardisés sur le plan mondial : il se charge sans condition, déclenche un événement de suivi et installe un cookie indépendamment des préférences de confidentialité du consommateur », explique le rapport de l'audit.

Il a présenté une copie des données de suivi de Meta qui ne contiennent aucune vérification GPC. Pour finir, le rapport indique que Microsoft ne respectait pas les demandes de désactivation de la même manière et affichait un taux d'échec d'environ 50 % dans le trafic Web analysé par webXray.

Une inefficacité des plateformes de gestion du consentement

L’audit s’est concentré sur Microsoft, Google et Meta, mais il est probable que d'autres géants de la technologie aient recours à des pratiques similaires. Il met en lumière une faille majeure dans le fonctionnement des bannières de cookies, gérées par des plateformes de gestion du consentement (CMP). Bien que Google gère un programme de certification pour ces plateformes, l'audit de webXray démontre qu'aucune d'entre elles ne fonctionne à 100 %.

Les tests effectués sur trois entreprises de CMP certifiées ont révélé des taux d'échec variant entre 77 % et 91 %, laissant Google placer ses cookies malgré la présence de signaux d'opposition. Timothy Libert, fondateur de webXray et ancien employé de Google, dénonce un conflit d'intérêts où le garant du système est également celui qui bénéficie de ses défaillances. Il s'est confié sur les pratiques qu'il a pu connaître lors de son passage chez Google.

Il estimait que son travail chez Google consistait à protéger les utilisateurs, mais que ses supérieurs n'étaient pas d'accord. « Peu avant mon départ, mon patron m’a dit, je cite textuellement, que mon travail consistait à protéger l’entreprise. Une autre fois, j’ai eu une discussion ontologique très sérieuse avec un ingénieur assez haut placé sur la différence entre les impôts et les amendes, et il ne comprenait pas qu’il y en avait une », a-t-il déclaré.

Timothy Libert a quitté l'entreprise en 2023 et a lancé webXray. L'entreprise exploite un moteur de recherche permettant aux utilisateurs de repérer les violations de la vie privée sur Internet. Son fondateur, Timothy Libert, est l'ancien responsable de la politique en matière de cookies et de la conformité chez Google.

Réactions des entreprises et limites des sanctions financières

Face à ces accusations, les géants de la technologie audités par webXray contestent les résultats publiés. Google évoque une incompréhension fondamentale du fonctionnement de ses produits, tandis que Meta qualifie l'étude de manœuvre marketing et souligne l'existence de ses propres outils de contrôle des données. Microsoft affirme de son côté que certains cookies sont maintenus uniquement « pour des raisons opérationnelles nécessaires ».

Il s'agit d'une manœuvre marketing qui déforme le fonctionnement du GPC et le rôle de Meta. Le GPC ne fait que restreindre certaines utilisations des données de tiers et permet aux exploitants de sites Web de passer outre les signaux GPC. Nous proposons la fonctionnalité "Limited Data Use" (LDU) pour aider les sites Web à indiquer les autorisations dont ils disposent. Lorsque des données nous sont transmises avec l'indicateur LDU, nous en limitons l'utilisation, comme spécifié dans nos conditions spécifiques à chaque État.

Mais Timothy Libert souligne que les amendes déjà payées par ces entreprises ne sont plus dissuasives. Selon lui, les amendes ont fini par remplacer les impôts dans le modèle économique de ces sociétés, qui préfèrent payer pour continuer leurs pratiques plutôt que de se conformer réellement aux régulations.

Une solution technique simple face à l'inaction des régulateurs

L'audit ne se contente pas de dénoncer les abus de ces géants, mais propose aussi une solution technique concrète et facile à mettre en œuvre. Il suffirait aux serveurs publicitaires d'ajouter une ligne de code permettant de renvoyer un code d'erreur spécifique, le statut 451, signifiant que le contenu est indisponible pour des raisons juridiques lorsque le signal de refus est détecté. Cette mesure empêcherait instantanément l'installation de tout cookie.

Timothy Libert a fait une analogie intéressante à ce sujet. Il compare notamment l'importance de ce point de contrôle au détroit d'Ormuz pour l'économie des données, affirmant que toute mesure moins radicale ne relève que de la posture politique théâtrale. « C’est le détroit d’Ormuz de l’économie des données. Si vous voulez changer les choses, c’est là qu’il faut agir. Tout le reste n’est qu’une posture politique théâtrale », a déclaré Timothy Libert.

Selon Timothy Libert et son équipe, sur plus de la moitié des sites que vous visitez, la seule raison d'être de cette fenêtre contextuelle en bas de page qui vous interroge sur vos préférences en matière de cookies est de vous agacer ; en réalité, elle n'a absolument aucun effet sur le fait que vous soyez suivi ou non. Microsoft, Google et Meta, ainsi que possiblement d’autres entreprises technologiques, déposent discrètement des cookies en ignorant vos choix.

« Nos conclusions révèlent que les grandes entreprises technologiques ignorent tout simplement les signaux de désactivation définis à l'échelle mondiale, ce qui fait planer la menace d'une non-conformité à grande échelle aux exigences californiennes », indique webXray dans son rapport d'audit.

Sources : rapport de l'audit, California Consumer Privacy Act, webXray

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions de l'audit réalisé par webXray ? Sont-elles pertinentes ?
Le fondateur de webXray affirme que les Big Tech ne craignent plus les amendes. Qu'en pensez-vous ?
Microsoft, Google et Meta rejettent les conclusions de cet audit. Qu'en pensez-vous ?

Voir aussi

Chaque utilisateur de Facebook est surveillé par des milliers d'entreprises, selon les résultats d'une enquête. Qui envoie des informations sur votre activité en ligne à Meta ?

Meta scanne l'intégralité de la galerie photos de votre téléphone sans que vous vous en rendiez compte et sans votre consentement explicite : voici comment désactiver cette fonctionnalité

Google utilise Gmail pour suivre l'historique de tous vos achats en ligne, et il est difficile de le supprimer