La promesse de confidentialité des Big Tech rompue : les demandes de non-suivi en Californie ignorées

Imaginez activer le bouton « Ne pas suivre » dans votre navigateur, convaincu que vos traces numériques disparaîtront - du moins aux yeux des plus grands géants technologiques. Mais un nouvel audit suggère que cette confiance pourrait être mal placée : même dans la Californie soucieuse de la vie privée, les leaders du secteur contournent discrètement les obligations légales de respecter vos demandes de retrait, exposant des millions de personnes à une surveillance non désirée.

L’audit, mené par la société de confidentialité WebXray, a examiné des milliers de sites populaires consultés depuis la Californie. Les résultats sont accablants : les signaux dits Global Privacy Control (GPC) - censés servir de drapeau universel « ne pas suivre » - sont ignorés à grande échelle par trois des plus grandes entreprises technologiques mondiales. Malgré les exigences explicites du California Consumer Privacy Act (CCPA), Google, Meta et Microsoft continuent d’installer des cookies de suivi et de partager les données des utilisateurs, annulant de fait les droits de ceux qui choisissent de se retirer.

Google apparaît comme le pire contrevenant, ignorant les signaux de retrait dans 86 % des cas. Lorsqu’un navigateur envoie le signal GPC, les serveurs de Google devraient bloquer les cookies, mais ils répondent au contraire en installant de nouveaux cookies publicitaires - un comportement que le rapport qualifie de « non-conformité à peine dissimulée ». Le taux d’échec de Meta atteint 69 %, principalement à cause du code de suivi fourni aux éditeurs, qui ne comporte aucun mécanisme pour vérifier les signaux de retrait. Microsoft fait à peine mieux, ne respectant les demandes qu’une fois sur deux, principalement via son réseau publicitaire.

L’audit a également révélé que 194 services de publicité en ligne, y compris des bannières de consentement certifiées par Google, ignorent les signaux GPC et déposent des cookies même après le retrait des utilisateurs. Ce mépris à grande échelle de la législation sur la vie privée n’est pas nouveau : des études antérieures avaient déjà observé des schémas similaires chez les courtiers en données. Si les entreprises concernées affirment que leurs contrôles de confidentialité sont mal compris ou que certains cookies sont nécessaires au fonctionnement, les preuves techniques - visibles dans le trafic réseau - racontent une autre histoire.

Si l’audit n’a pas de valeur juridique en soi, il met en lumière un écart préoccupant entre les attentes réglementaires et l’application réelle. Des violations passées ont entraîné des amendes de plusieurs millions de dollars, mais l’ampleur de la non-conformité révélée ici suggère que la seule répression ne suffira peut-être pas. À mesure que la réglementation évolue, les professionnels de la sécurité sont invités à tester rigoureusement les mécanismes de retrait, surveiller les flux de données tiers et traiter la télémétrie de confidentialité avec la même rigueur que les journaux de sécurité.

Alors que les Big Tech continuent de façonner le paysage numérique, la promesse de confidentialité reste insaisissable pour beaucoup. Pour les Californiens - et tous ceux qui se soucient du suivi en ligne - le message est clair : activer les contrôles de confidentialité pourrait ne pas suffire. Tant que les géants de la tech ne seront pas tenus responsables, la bataille pour l’autonomie numérique est loin d’être terminée.

WIKICROOK

• California Consumer Privacy Act (CCPA) : La CCPA est une loi californienne qui accorde aux résidents le droit de savoir, d’accéder, de supprimer et de contrôler l’utilisation de leurs données personnelles par les entreprises.
• Global Privacy Control (GPC) : Le Global Privacy Control (GPC) est un paramètre du navigateur permettant aux utilisateurs de signaler automatiquement leurs préférences de confidentialité aux sites web, facilitant ainsi le respect des lois sur la vie privée.
• Cookie : Un cookie est un petit fichier de données stocké dans votre navigateur web pour mémoriser votre activité, vos préférences ou vos identifiants sur les sites.
• Opt : Opt est un signal du navigateur qui indique aux sites web que vous ne souhaitez pas que vos données personnelles soient partagées ou vendues, renforçant ainsi votre confidentialité et votre contrôle en ligne.
• Tracking Pixel : Un tracking pixel est une image ou un code invisible sur les sites ou dans les e-mails qui collecte des données sur le comportement des utilisateurs à des fins d’analyse ou de publicité.