[Vidéo Lightbeam] Voilà ce qu'il se passe quand vous visitez un site

Dans le cadre de l’opération spéciale Big Data de la RTS, j’avais réalisé le 19 avril 2016 une vidéo montrant une utilisation de Lightbeam pour l’émission A bon entendeur, qui ne l’a finalement pas utilisée. Qu’à cela ne tienne, je vous la propose donc ici.

Lightbeam

Cette vidéo montre un écran d’ordinateur (Apple) où sont affichées deux fenêtres de navigation Firefox (version 45), l’une affichant les sites que je visite, l’autre montrant les résultats du plug-in Lightbeam. Selon ses concepteurs,

Lightbeam est une extension pour Firefox qui fait appel à des visualisations interactives pour vous montrer avec quels sites tiers vous communiquez sans le savoir. À mesure que vous naviguez, Lightbeam vous révèlera les coulisses du Web d’aujourd’hui, y compris les parties les moins visibles pour l’utilisateur moyen.

Firefox a été configuré de manière standard et comme si vous l’utilisiez pour la première fois. Il conserve donc par défaut votre historique de navigation et les cookies des sites que vous visitez. La fonction Do not track a été activée.

Sites testés

La page d’accueil (et uniquement la page d’accueil, sans rien y faire, pas même naviguer sur la page) des sites listés ci-dessous a été visitée. J’ai sélectionné ces sites en supposant qu’ils sont les principaux sites visités par les citoyens suisses (mais je peux bien évidemment me tromper, en particulier pour le dernier). Les contenus choquants ont évidemment été masqués.

  • 24heures.ch
  • rts.ch
  • eurosport.com
  • euronews.com
  • nzz.ch
  • lematin.ch
  • google.ch
  • facebook.com
  • twitter.com
  • linkedin.com
  • pinterest.com
  • youtube.com
  • wikipedia.org
  • ebay.com
  • amazon.com
  • youporn.com

Vous verrez par exemple que lorsque vous visitez la page d’accueil du site du média romand 24heures, la page n’a pas encore fini de se charger que Lightbeam répertorie déjà plus de 30 sites et/ou services tiers qui ont été avertis de ma visite. A ce stade, je n’ai encore rien fait, j’attends patiemment que la page se charge (d’ailleurs, on voit à quel point la page est lourde à force d’être couverte de publicité).

Cela n’apparait pas sur la vidéo, mais une petite quinzaine de cookies ont également été déposés sur mon ordinateur durant ce processus.

Euronews, NZZ et Le Matin ne font pas vraiment mieux. Dans les pages d’accueil testées, seule celle de l’encyclopédie Wikipedia est “propre”.

Choquant, et illégal ?

Les résultats des sites suisses comme 24heures, RTS, NZZ et Le Matin sont choquants à deux égards. Premièrement, le nombre de sites tiers notifiés est très (trop ?) élevé. Deuxièmement, la question du consentement à cet usage de données doit être posée.

Pour rappel, l’art. 4 al. 4 et 5 de la loi fédérale sur la protection des données (LPD) dispose que

4 La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.

5 Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.

L’art. 13 al. 1 LPD rappelle que

Une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

Il est ici problématique que, lorsque je visite la page d’accueil des sites susmentionnés, des données soient collectées (par ex. l’adresse IP est une donnée personnelle) et apparemment transmises à des tiers alors même que je n’ai pas encore pu donner mon accord à ce traitement de données. Et la collecte de données n’est pas reconnaissable si on ne m’en avertit pas à l’avance. Je ne vois d’ailleurs aucune loi ni aucun intérêt prépondérant qui permettent de passer outre le consentement.

Je n’aime pas faire de comparaisons avec le monde réel, mais celle qui suit peut être utile pour bien cerner mon raisonnement.

La page d’accueil d’un site peut être assimilée à la vitrine d’une boutique : tant que vous restez dehors à regarder ce qui s’y trouve, vous êtes encore dans l’espace public et le propriétaire ne peut rien vous imposer. Ce n’est que lorsque vous visitez une autre page du site que vous entrez dans la boutique, qui est un espace privé dans lequel vous êtes soumis aux conditions fixées par le propriétaire de cette boutique. Ces conditions étaient au préalable affichées dans la vitrine (par ex. sur le fait qu’une vidéosurveillance est en fonction, que la boutique ferme à 18h30, etc.).

A cet égard, le site de la RTS fait la moitié du chemin. Il affiche sur sa page d’accueil (la vitrine) un message vous prévenant que si vous continuez la consultation du site (si vous entrez dans la boutique), cela signifie que vous acceptez le traitement de données qui sera fait. Mais le site de la RTS ne semble pas attendre avant de procéder à ce traitement de données et commence la collecte de données avant même que vous ayez pu décider de quitter le site, ou de poursuivre votre consultation.

En résumé, le traitement de données effectué sur la page d’accueil est illicite, mais le fait de continuer la consultation du site légalise ce traitement de données.

Il reste donc du progrès à faire pour que les sites et services sur Internet respectent les bases légales en matière de protection des données… Et qu’advient-il des données des internautes qui ont quitté la page d’accueil sans avoir continué la consultation ?