L'opérateur américain Verizon a trouvé un accord avec la FCC sur son usage de « supercookies » impossibles à supprimer, qui servaient notamment à en recréer d'autres que l'utilisateur a supprimé. Le groupe doit ainsi s'acquitter de 1,35 million de dollars de pénalité et donner la possibilité aux internautes de les supprimer.

C'est l'heure du régime sans cookies pour Verizon. L'opérateur américain a conclu hier un accord avec le régulateur des télécoms, la FCC, sur son usage de « supercookies » (ou « cookies zombies ») inévitables pour ses utilisateurs. L'entreprise doit ainsi payer 1,35 million de dollars d'amende pour ses années de mauvaises pratiques et donner plus de libertés aux utilisateurs vis-à-vis de ce traçage.

Une enquête ouverte fin 2014

Le principe est simple : depuis 2012, Verizon insère des cookies dans le trafic web de ses clients, en le leur signalant a minima. « Ces identifiants uniques et impossibles à supprimer (appelés UIDH) sont insérés dans le trafic web et utilisés pour identifier les internautes, pour leurs fournir des publicités ciblées de Verizon et de tiers » explique la FCC. De quoi déplaire aux défenseurs des libertés numériques et au régulateur, qui se sont émus de la pratique.

La FCC a donc ouvert une enquête fin 2014, suivie d'une révélation importante de ProPublica en janvier 2015. Le site affirmait ainsi que Turn, une société de publicité utilisée par des groupes comme Facebook et Google, utilisait les « supercookies » de Verizon pour recréer des cookies supprimés par les internautes, sans leur consentement. En octobre, il affirmait même que les cookies mobiles de Verizon étaient croisés avec des données publicitaires d'AOL.

Début 2015, donc, le groupe télécom niait l'usage par des tiers pour construire un profil utilisateur. Il avait commencé à les signaler à ses utilisateurs en octobre 2014. « Ce n'est pas avant mars 2015, plus de deux ans après que Verizon Wireless a commencé à insérer des UIDH, que l'entreprise a mis à jour sa politique de confidentialité et commencé à offrir aux clients l'opportunité de se désinscrire du programme » écrit encore la FCC, qui était à l'époque en pleine enquête.

Consentement obligatoire pour les tiers

En plus de son amende, Verizon a consenti à des modifications de son service. Désormais, il doit permettre de se désinscrire de ces cookies et devra obtenir le consentement de l'internaute avant son usage en interne ou par des tiers. Les internautes seront donc prévenus de ces « supercookies », même si la forme exacte du signalement n'est pas encore exactement connue. L'opérateur a accepté un plan sur trois ans pour se mettre en conformité avec la loi.

Selon la FCC, l'usage de ces cookies sans en avertir l'utilisateur viole le règlement sur la neutralité du Net, adopté en février 2015, qui impose la transparence aux fournisseurs d'accès. De même, avec cette pratique, l'opérateur aurait manqué à son obligation de protéger les données des consommateurs. La FCC note également la coopération de Verizon pendant l'enquête et sa volonté de changer ses pratiques.

« Cette année, nous avons apporté plusieurs changements à nos programmes publicitaires qui ont fourni plus d'options aux consommateurs. L'accord signé aujourd'hui avec la FCC le reconnaît. Nous continuerons à fournir à nos clients les informations nécessaires pour décider quels programmes et services leurs sont utiles » a répondu Verizon à Ars Technica.

De son côté, l'Electronic Frontier Foundation s'est félicitée de cette « victoire », considérée comme un grand pas dans la protection de la vie privée en ligne aux États-Unis. Cela même si d'autres méthodes de suivi peuvent être implémentées par les opérateurs, prévient tout de même l'organisation.