L’actuel instrument juridique sur le sujet, la directive vie privée et communications électroniques (e-Privacy), laisse beaucoup à désirer pour ce qui concerne les protections efficaces de la vie privée et les avantages pour l’utilisateur. Cela est illustré de manière évidente par la « bannière de cookie » dans laquelle les utilisateurs cliquent pour « consentir » à l’usage des cookies par un site web. Le règlement vie privée et communications électroniques est un acte législatif important – pour Mozilla, pour l’Europe et en fin de compte pour la santé de l’internet mondial. Nous soutenons la vision ambitieuse de l’Union européenne et nous allons continuer à travailler avec le Parlement, la Commission et le Conseil en partageant nos avis et nos expériences dans le domaine de la vie privée en ligne. Nous espérons que le règlement contribuera à un meilleur écosystème de communications qui offrirait aux individus du contrôle, de la transparence et des choix significatifs et aiderait à reconstruire la confiance en ligne.

1. Nous soutenons les incitations pour les entreprises qui offriraient des options protectrices de la vie privée des utilisateurs

L’un des objectifs premiers que nous voyons dans le règlement vie privée et communications électroniques est de catalyser les offres de technologies et services de protection de la vie privée pour les utilisateurs. Nous encourageons fortement cet objectif. C’est l’approche que nous avons avec Firefox : les utilisateurs peuvent naviguer dans le mode classique, qui autorise les sites à placer des cookies, ou en navigation privée, qui intègre notre technologie maison de protection contre le pistage. Nous faisons en sorte que les deux options permettent des expériences utilisateur séduisantes, et l’utilisateur est libre de son choix – il peut passer de l’une à l’autre à sa convenance, et même utiliser les deux en même temps. Nous aimerions voir plus de fonctions de ce type dans l’industrie et accueillons avec enthousiasme la teneur de l’article 10(1) du brouillon du règlement vie privée et communications électroniques dont nous espérons qu’il encouragera cette tendance.

2. Le règlement vie privée et communications électroniques doit être à l’épreuve du temps en assurant la neutralité technologique

Un des principes ayant formé l’actuelle directive vie privée et communications électroniques était la neutralité technologique. Il est décisif que le règlement suive ce principe de la même façon, d’assurer son application pratique et de le garder à l’épreuve du temps. De plus, il devrait s’attarder sur le risque sous-jacent pour la vie privée des utilisateurs à travers le pistage de site web en site web et d’appareil en appareil, au lieu de s’attarder sur les technologies particulières qui créent ce risque. Pour en arriver là, la version actuelle du règlement bénéficierait de deux changements.

Premièrement, le Parlement devrait revoir les références aux techniques spécifiques de pistage, comme les cookies du site et les cookies tiers pour s’assurer que d’autres formes de suivi ne sont pas négligées. À première vue, il semblerait que le blocage des cookies tiers permette une protection de la vie privée et de la sécurité en ligne de l’utilisateur – essayez le module pour Firefox nommé Lightbeam, nous présentant le nombre de sites web que vous visitez et les sites tiers qui vous « suivent » sur l’internet – il y a de nombreuses manières de pister l’activité en ligne d’un utilisateur ; les cookies tiers en sont un exemple (même s’il est trivial). L’empreinte d’un appareil, par exemple, crée un identifiant unique et persistant qui porte atteinte aux mécanismes de consentement de l’utilisateur et demande une solution réglementaire. De même, les identifiants publicitaires sont des outils de pistage envahissants sur les plateformes mobiles qui ne sont actuellement pas abordés. Le règlement doit utiliser une terminologie qui saisisse plus précisément le comportement visé et pas uniquement une mise en œuvre possible du pistage.

Deuxièmement, le règlement se focalise particulièrement sur les navigateurs web (comme les points 22 à 24 [voir ci-dessous]), sans considérer correctement la diversité des formes de communication en ligne d’aujourd’hui. Nous ne suggérons pas que le règlement doive exclure les navigateurs web, bien évidemment. Mais se focaliser sur une technologie logicielle particulière côté client risque de laisser de côté une technologie différente avec des implications significatives en matière de vie privée, telle que le pistage facilité par les systèmes d’exploitation mobiles ou les services de cloud (nuage) auxquels on accède par des applications mobiles. Retenir une approche fondée sur des principes garantira que le règlement n’impose pas une solution spécifique qui n’assure pas sérieusement la transparence, le choix et le contrôle hors du contexte de la navigation web.

3. Les navigateurs ne sont ni des gardes-barrières ni des bloqueurs de publicités : nous sommes des agents de l’utilisateur

En se fondant sur ce qui est dit ci-dessus, le Parlement devrait considérer le navigateur web d’une manière qui reflète sa place dans l’écosystème technologique. Les navigateurs web sont des agents de l’utilisateur facilitant la communication entre les utilisateurs de l’internet et les sites web. Par exemple, Firefox propose des options de personnalisation profonde et son but est d’asseoir l’utilisateur dans le siège du conducteur. De même, le mode de navigation privée de Firefox contient une technologie de protection contre le pistage qui bloque certains traqueurs publicitaires tiers via une liste de blocage (vous pouvez en apprendre davantage sur notre approche du blocage de contenu dans cet article). Les deux sont des fonctionnalités d’agent de l’utilisateur, intégré au code délivré aux utilisateurs et exécuté sur leurs appareils locaux – ce n’est ni un service où nous intervenons comme intermédiaire ni un service que nous exploitons quand il est utilisé. Ce n’est pas constructif dans une perspective de règlementation, ni une compréhension précise de la technologie de présenter les navigateurs web comme des gardes-barrières comme le fait aujourd’hui le règlement.


Annexe

Extrait de la proposition du 10 janvier 2017 de la Commission européenne de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques ») :

(22) Les méthodes utilisées pour fournir des informations et obtenir le consentement de l’utilisateur final devraient être aussi conviviales que possible. Étant donné l’usage généralisé des cookies traceurs et autres techniques de suivi, il est de plus en plus souvent demandé à l’utilisateur final de consentir au stockage de tels cookies dans son équipement terminal. En conséquence, les utilisateurs finaux sont débordés par les demandes de consentement. Le recours à des moyens techniques permettant de donner son consentement, par exemple, à l’aide de paramètres transparents et conviviaux, peut constituer une solution à ce problème. Par conséquent, le présent règlement devrait prévoir la possibilité d’exprimer un consentement en utilisant les paramètres appropriés d’un navigateur ou d’une autre application. Les choix effectués par l’utilisateur final lorsqu’il définit les paramètres généraux de confidentialité d’un navigateur ou d’une autre application devraient être contraignants pour les tiers et leur être opposables. Les navigateurs Web sont un type d’applications logicielles permettant la récupération et la présentation d’informations sur Internet. D’autres types d’applications, comme ceux qui permettent d’appeler et d’envoyer des messages ou de fournir des indications routières, ont aussi les mêmes fonctionnalités. Les navigateurs Web assurent une grande partie des interactions entre l’utilisateur final et le site Web. De ce point de vue, ils sont bien placés pour jouer un rôle actif consistant à aider l’utilisateur final à maîtriser le flux d’informations à destination et en provenance de son équipement terminal. En particulier, les navigateurs Web peuvent servir de portiers et donc aider l’utilisateur final à empêcher l’accès à des informations de son équipement terminal (smartphone, tablette ou ordinateur, par exemple) ou le stockage de telles informations.

(23) Les principes de protection des données dès la conception et de protection des données par défaut ont été consacrés par l’article 25 du règlement (UE) 2016/679. Or le paramétrage par défaut des cookies consiste, dans la plupart des navigateurs actuels, à « accepter tous les cookies ». Par conséquent, les fournisseurs de logiciels permettant la récupération et la présentation d’informations sur Internet devraient être tenus de configurer les logiciels de manière à ce qu’ils offrent la possibilité d’empêcher les tiers de stocker des informations sur les équipements terminaux. Cette option correspond souvent à la formule « rejeter les cookies de tiers ». Les utilisateurs finaux devraient disposer d’un éventail de réglages de confidentialité, depuis les plus restrictifs (par exemple, « ne jamais accepter les cookies ») jusqu’aux plus permissifs (par exemple, « toujours accepter les cookies »), en passant par des options intermédiaires (par exemple, « rejeter les cookies de tiers » ou « accepter uniquement les cookies propres »). Ces paramètres de confidentialité devraient se présenter sous une forme facile à visualiser et à comprendre.

(24) Pour obtenir le consentement de l’utilisateur final d’équipements terminaux au sens du règlement (UE) 2016/679, par exemple, pour le stockage de cookies traceurs de tiers, les navigateurs Web devraient notamment lui demander de manifester par un acte positif clair qu’il donne de façon libre, spécifique, éclairée et univoque son accord au stockage et à la consultation de ces cookies sur ses équipements terminaux. L’acte en question peut être considéré comme positif, par exemple, si les utilisateurs finaux sont tenus de sélectionner volontairement l’option « accepter les cookies de tiers » pour confirmer leur consentement et s’ils reçoivent les informations nécessaires pour effectuer leur choix. À cette fin, il y a lieu d’imposer aux fournisseurs de logiciels permettant d’accéder à Internet l’obligation de faire en sorte qu’au moment de l’installation, les utilisateurs finaux soient informés de la possibilité de choisir leurs paramètres de confidentialité parmi les diverses options proposées et soient invités à opérer un choix. Les informations fournies ne devraient pas dissuader les utilisateurs finaux d’opter pour une confidentialité très stricte et devraient comprendre des renseignements utiles sur les risques qu’implique le consentement au stockage de cookies de tiers sur l’ordinateur, parmi lesquels la conservation à long terme des historiques de navigation des personnes concernées et leur utilisation pour l’envoi de publicités ciblées. Les navigateurs Web sont encouragés à proposer aux utilisateurs finaux des moyens faciles de modifier leurs paramètres de confidentialité à tout moment en cours d’utilisation et à leur permettre de prévoir des exceptions ou d’établir une liste blanche de certains sites Web ou de préciser les sites Web dont ils acceptent toujours ou n’acceptent jamais les cookies (de tiers).


Traduction et relecture : Mozinet, Adam, Banban, Théo, Hellosct1, Janus, Goofy et anonymes