Le contrôle global de la confidentialité permet aux utilisateurs d’ordinateurs de définir des préférences de confidentialité dans leur navigateur, partageant automatiquement ces choix chaque fois que les utilisateurs accèdent à un site. Il est censé donner aux individus plus de contrôle sur leurs données personnelles, leur permettant d’accepter ou de refuser l’utilisation des cookies, le partage de données, la vente de données et la publicité ciblée.
Mais ils ne fonctionnent que si les entreprises les respectent. Et dans la plupart des cas, ce n’est pas le cas.
Des recherches menées par deux grandes sociétés de respect de la vie privée ont révélé que la grande majorité des sites Web les plus visités aux États-Unis et en Europe ne respectent pas les signaux de préférence GPC et de désinscription.
« Ce n’est pas qu’ils ne veulent pas de conformité ou qu’ils ne veulent pas honorer ; c’est juste que d’une manière ou d’une autre, il est cassé », a déclaré Vaibhav Antil, PDG de la société de logiciels de confidentialité Privado, dont le rapport sur l’état de la confidentialité des sites Web 2024 a révélé que 76 des 100 principaux sites Web aux États-Unis n’honorent pas les signaux de consentement de désinscription, comme le prévoit le droit à la vie privée de Californie. Loi de 2020 oblige.
Plus de 80 % de ces sites appartenaient aux secteurs des médias, du commerce électronique et du style de vie, qui s’appuient fortement sur la publicité pour générer et monétiser le trafic sur leurs sites Web.
Le Royaume-Uni ne s’en sort pas mieux, avec 74 des 100 sites les plus visités ne respectant pas les préférences d’adhésion requises par la loi sur la protection des données de 2018, qui reflète les dispositions du règlement général sur la protection des données de l’Union européenne de 2016.
« En Europe, il n’y a aucun signal. Vous devez interagir avec la bannière. Ainsi, lors de notre test, nous avons réellement interagi avec la bannière. Nous entrerions, rejeterions tous les cookies et verrions si des appels sont toujours passés, si des trackers sont déclenchés ou si des cookies sont stockés », a déclaré Antil.
Et si ces sites Web n’honorent pas les signaux GPC, il est juste de supposer qu’ils n’honorent pas les simples clics de désinscription « ne pas vendre/partager ». “Nous ne l’avons pas exploré, mais cela devrait être similaire car le problème est qu’il s’agit de mauvaises configurations”, a-t-il déclaré.
Les conclusions de Privado correspondent à des données similaires provenant de la plateforme de gestion du consentement DataGrail dans son rapport 2024 sur les tendances en matière de confidentialité des données. DataGrail a audité plus de 5 000 sites Web et a constaté que 75 % d’entre eux ne respectaient pas les demandes GPC.
Cela survient alors que les consommateurs sont de plus en plus soucieux de protéger leur vie privée. DataGrail a constaté une augmentation de plus de 200 % des demandes d’accès des personnes concernées entre 2021 et 2023.
« Lorsque vous interagissez réellement avec la bannière de cookies et que vous essayez, espérons-le, de répondre à vos préférences, vous espérez réellement qu’elles fonctionnent. Désolé de vous dire que ce n’est probablement pas le cas », a déclaré Daniel Barber, PDG de DataGrail, lors du sommet annuel sur la confidentialité de son entreprise en juin.
Pourquoi donc? C’est compliqué, a déclaré Jules Polonetsky, expert en confidentialité sur Internet et PDG du Future of Privacy Forum. « Lorsque vous visitez un site Web, un kaléidoscope de choses en cascade se produit. À la seconde où vous demandez une page Web, votre navigateur demande des cookies à un site Web. Quelques millisecondes plus tard, les serveurs qui viennent d’être pingés envoient une requête ping aux sociétés et à d’autres sociétés et réseaux et plusieurs plug-ins tiers sont en cours de chargement », a-t-il déclaré.
« Ignorer les demandes de confidentialité dans les États où elles sont légalement obligatoires crée un risque juridique énorme. La plupart des entreprises qui le font n’ont généralement pas de mauvaises intentions mais n’ont pas correctement configuré leurs outils de gestion du consentement. Faire fonctionner correctement ces outils peut être extrêmement compliqué, et nous voyons même des entreprises sophistiquées laisser tomber la balle, ou devrais-je dire, laisser tomber le cookie », a-t-il déclaré.
Le caractère nébuleux d’une adresse de protocole Internet rend plus difficile l’identification de l’auteur de la demande de désinscription. “Une adresse IP peut être celle de vous et de votre ordinateur portable à la maison ou d’un réseau Wi-Fi sur un campus universitaire, et cela représente une adresse IP pour l’ensemble de l’université”, a déclaré Ryan O’Leary, directeur de recherche chez International Data Corp.
« Il est difficile de gérer le consentement, et une fois que vous quittez ce site Web, c’est presque comme si vous n’y étiez pas. Lorsque vous entretenez une relation connue avec une marque (disons que vous vous connectez à votre identifiant Apple ou à votre compte Target), vous êtes une personne connue “et devez y gérer le consentement”, a-t-il déclaré. “Mais il est pratiquement impossible d’associer cet identifiant à l’adresse IP sur laquelle vous avez cliqué sur “Ne pas suivre”. Si vous vous déplacez simplement d’une chaîne à l’autre ou d’un site Web à l’autre, ils n’ont pas l’obligation d’honorer vos choix.
GPC compte quelque 50 millions d’utilisateurs dans le monde. Actuellement, seuls trois États – la Californie, le Colorado et le Connecticut – exigent que les entreprises se conforment aux signaux GPC. Mais les lois exigeant des signaux de non-participation entrent en vigueur dans le Delaware et le Montana le 1er janvier, et dans l’Oregon et le Texas un an plus tard. Et même si l’État de New York n’a pas de loi sur la protection des données des consommateurs, sa procureure générale, Letitia James, a fait valoir dans des lignes directrices publiées cet été que les lois sur les données dans les livres interdisent aux sites Web de faire des déclarations fausses ou trompeuses, ce qui, selon elle, signifie que tout contrôle de confidentialité un site prétend offrir doit fonctionner comme décrit.
Justin Yedor, un partenaire de Baker & Hostetler spécialisé dans les lois californiennes sur la confidentialité, a déclaré que de nombreux consommateurs qui ont configuré des signaux GPC vivent dans des États sans loi sur la confidentialité obligeant les sites Web à les respecter. « Le simple fait que le GPC ne soit pas reconnu n’implique pas, à mon avis, qu’il y ait nécessairement un non-respect », a-t-il déclaré.
Mais les risques juridiques liés au non-respect des signaux de désinscription sont réels.
« La clause de non-participation à la vente/au partage a été la question la plus appliquée dans le cadre de la loi. [California Consumer Privacy Act] dès le début de l’application du CCPA. C’est un gros problème pour la Californie [attorney general] et la California Privacy Protection Agency, qui exercent une double fonction. Tous deux sont très intéressés par cette question. En ce qui concerne les principaux problèmes de conformité du point de vue du régulateur en vertu du CCPA, je pense qu’il est vraiment difficile de conclure qu’il existe un autre problème qui prime avant celui-là », a déclaré Yedor.
Et au-delà du domaine réglementaire, les avocats des plaignants se cachent, a déclaré Yedor.
« Si vous faites un clic droit dans Chrome, vous pouvez inspecter le site et voir quels cookies sont chargés. Vous pouvez voir quand certains scripts se déclenchent. Vous pouvez consulter les paquets de données contenus dans un cookie. Il y a vraiment beaucoup de choses que vous pouvez voir sans aucun outil sophistiqué. Si vous prenez des mesures supplémentaires pour regarder, vous pouvez le voir. Et c’est ce que font les avocats des plaignants”, a-t-il déclaré.
“Il est important que les entreprises qui s’efforcent de se conformer à ces lois s’assurent également qu’elles vérifient, car elles ne veulent pas être les seules dans le noir. Vous ne voulez pas que les avocats des plaignants scrutent intensément votre site et vous n’y avez pas jeté un coup d’œil », a-t-il ajouté.
Polonetsky a déclaré que même s’il y a “des avocats merdiques qui envoient des procès en copier-coller à des milliers d’entreprises proposant de s’installer et de s’en aller, les plus sophistiqués utilisent de véritables outils médico-légaux et font beaucoup de recherches”. Par exemple, a-t-il déclaré, la société plaignante Edelson exploite des laboratoires techniques et effectue des travaux médico-légaux approfondis.
Les procureurs généraux des États sont également à l’affût des violations, en s’appuyant sur une technologie conçue par des informaticiens, notamment Ashkan Soltani, ancien technologue en chef de la Federal Trade Commission et aujourd’hui directeur exécutif de la California Privacy Protection Agency. Au niveau fédéral, a déclaré Polonetsky, la FTC se concentre sur les sites Web liés aux soins de santé et à la santé mentale. « Nous avons constaté des actions, en particulier dans les domaines où les données pourraient être particulièrement sensibles », a-t-il déclaré.
Alors, comment les entreprises peuvent-elles éviter tout ce contrôle ? En vous assurant que les paramètres de gestion du consentement sont correctement configurés.
« Il ne suffit pas d’afficher une bannière de consentement. Vous devez réellement tester si cela fonctionne ou non », a déclaré Antil.
C’est plus délicat qu’il n’y paraît. Antil a déclaré que les sites Web sont si dynamiques qu’il est difficile de suivre le rythme, d’autant plus que les entreprises ajoutent davantage d’intégrations tierces.
« Donc, littéralement, vous ajoutez une ligne de code, et vous avez soudainement Google Analytics dans votre site Web, Meta Ads. Maintenant, nous sommes arrivés à un point où vous disposez littéralement de plates-formes sur lesquelles vous insérez simplement une intégration d’un gestionnaire de balises, qui appartient ensuite à une équipe marketing. Et à partir de là, vous pouvez réellement activer et désactiver les tiers d’un simple clic sur un bouton », a-t-il déclaré.
« Alors que vous avez démocratisé l’ajout de plus en plus de tiers et facilité cette intégration sur le site Web, je pense que c’est l’une des principales raisons pour lesquelles ces problèmes de consentement apparaissent. Il est fort possible que vous ayez un service marketing de 100 personnes, et qu’elles ne connaissent pas les conséquences de l’activation d’un nouveau pixel”, a-t-il déclaré.
O’Leary a ajouté : “Le défi est que ce n’est pas l’activité principale des gens. C’est un type de flux de travail supplémentaire que vous devez effectuer, et cela ne rapporte aucun revenu.”
Dans le même temps, les conséquences des faux pas peuvent être considérables, allant de règlements ou jugements coûteux à une atteinte à la réputation et une érosion de la confiance des consommateurs.
« L’objectif principal de ces réglementations est de donner aux gens la possibilité de se désinscrire », a déclaré O’Leary, soulignant que les consommateurs sont de plus en plus conscients des préjudices qui peuvent résulter d’un suivi à leur insu.
“Beaucoup de choses effrayantes pourraient arriver”, a déclaré O’Leary. “Il y a certainement des gens qui ne voudraient pas être suivis et qui ont beaucoup à perdre.”
