L’EFF fait actuellement la promotion de sa propre formule du Do Not Track. Aidée de plusieurs acteurs, comme AdBlock ou Medium, la fondation espère réussir là où le W3C a pour le moment échoué. Techniquement, les solutions sont pourtant assez proches, mais l’objectif est cette fois de fédérer pour plaire au plus grand nombre, notamment aux éditeurs.

La fonctionnalité Do Not Track a été présentée pour la première en janvier 2010 par Mozilla. Il s’agit d’un mécanisme automatisé permettant à l'internaute d'indiquer aux sites qu'il ne souhaite pas être suivi dans ses déplacements. Un comportement très courant, qui permet par exemple aux régies de placer du contenu lié à vos précédentes visites ou recherche dans les espaces publicitaires que vous rencontrez.

Pas étonnant donc que vous observiez sur un réseau social une promotion sur un voyage pour lequel vous vous êtes renseigné la veille, ou qu'une boutique vous poursuive sur plusieurs sites avec une promotion sur l'aspirateur que vous avez acheté il y a déjà trois semaines. Il existe même des champions en la matière, comme Facebook, Google et Twitter (voir notre article) ou encore le français Criteo.

L'échec d'un standard qui n'est jamais parvenu au consensus

Le problème de cette fonctionnalité est qu’en dépit d’un véritable engouement des éditeurs de navigateurs, le signal émis a été peu suivi. Le W3C s’est emparé de la question pour harmoniser les pratiques, mais tout le monde n'est pas enclin aux changements nécessaires, notamment du côté des publicitaires.

Microsoft avait d’ailleurs en partie accéléré la chute de ce standard en formation en décidant d’activer le DNT par défaut dans Internet Explorer 10, à l’arrivée de Windows 8. De quoi cristalliser les positions. C'était aussi un problème par rapport à l'esprit même de cette fonctionnalité. En effet, le standard impose qu'elle soit activée manuellement, suite à un choix volontaire de l’utilisateur. L’éditeur est donc revenu sur sa position depuis.

De fait, la technologie est pratiquement à l’abandon, de trop nombreux acteurs ayant claqué la porte des négociations. Des annonces ont suivi chez certains pour annoncer qu’ils ne prendraient plus en compte le signal. Le problème ne réside pas dans la technique – le standard est relativement simple à implémenter – mais dans ce qu’il implique, puisqu’on parle bien ici de pertes de revenus liés à l’extrême personnalisation des contenus publicitaires, source de financement pour de nombreux acteurs.

L'EFF reprend l'existant et en fait varier les modalités d'application

Contre toute attente, l’EFF a décidé d’y aller de son propre projet alternatif. Les fondations techniques sont exactement les mêmes et reprennent, pour la partie concernant les navigateurs, le travail déjà réalisé par le W3C sur la partie « Tracking Preference Expression ». L’idée est donc la même : le navigateur, une fois l’option cochée, envoie un signal au serveur pour lui indiquer que l’internaute ne veut pas être suivi, et que des publicités génériques doivent lui être présentées.

Mais comment s’assurer alors que tous les acteurs de cette chaine respectent cette demande ? Tout d'abord en revoyant partiellement la partie « Tracking Compliance and Scope » du standard. Un choix d'autant plus étonnant que celle-ci fait actuellement l'objet d'un dernier appel à commentaires, en cours jusqu'au 7 octobre.

Pour cela, l'EFF s'est focalisée sur deux aspects en particulier. D’une part, la poursuite d’un but réaliste : les annonceurs ne renonceront jamais entièrement au tracking, pour la simple et bonne raison qu’il est souvent nécessaire de personnaliser les contenus. Par contre, il est important de pouvoir certifier à l’utilisateur que lorsque le signal est accepté, il est bel et bien pris en compte.

Dans sa version, cela se fera par l’intermédiaire d’un fichier « dnt-policy.txt » que les éditeurs peuvent mettre en place, indiquant qu’un domaine en particulier respecte ce choix et les règles qu'il respecte. Des règles plus strictes que celles imposées actuellement par le standard du W3C, avec moins d'exceptions. Les éditeurs se refusent ainsi à préserver un identifiant unique, à ne pas garder les logs en contenant plus de 10 jours, à s'assurer que rien n'est transmis à des domaines tiers, à informer les utilisateurs lorsqu'ils sont concernés par une demande de la justice ou encore à réviser tous les 12 mois que ces règles sont bien respectées.

Une méthode qui concerne avant tout les domaines fournissant des publicités, widgets, images, scripts et autres hyperliens tiers. Tout ce qui fonctionne à base de HTTP ou accepte d’en lire les en-têtes est théoriquement compatible. Attention tout de même, il faudra veiller à ne pas exploiter d'intégration tierce qui va à l'encontre des règles, ce qui peut vite poser problème pour les sites embarquant des tweets ou des vidéos YouTube par exemple.

De même pour les sites qui n'utilisent pas de publicité ciblée, mais dont la régie exploite les données pour un ciblage des utilisateurs. L'EFF précise alors dans sa FAQ que l'éditeur doit s'arranger pour que le tracking soit rendu inopérant ou qu'il utilise des intégrations qui respectent elle-même sa DNT Policy. Pas toujours si simple.

Tout acteur désireux de mieux respecter les choix de l’utilisateur en matière de vie privée pourra déclarer précisément quels domaines et sous-domaines acceptent ou pas de prendre en compte ce réglage. L’essentiel est alors d’indiquer clairement à l’utilisateur si son choix est accepté ou refusé, ce qui était jusqu’à présent impossible (rien n’étant prévu pour transmettre cette information).

Quel intérêt ? Un service quelconque pourrait par exemple collecter des informations sur ce que vous faîtes, sans pour autant les utiliser pour personnaliser des contenus ou des espaces publicitaires, et sans que cela soit visible.

Un consensus dur, mais qui doit permettre une entente

La réflexion autour du DNT à l’EFF provient essentiellement d’un constat faisant consensus chez plusieurs acteurs réunis pour l’occasion, notamment Disconnect, DuckDuckGo, AdBlock (à ne pas confondre avec Adblock Plus), Medium et MixPanel. Casey Oppenheim, PDG de Disconnect, explique la situation :

« L’échec de l’industrie publicitaire et des groupes de défense de la vie privée à trouver un compromis sur le DNT a conduit à une explosion du blocage des publicités, d’énormes pertes pour les sociétés Internet qui dépendent de ces revenus, et des méthodes de plus en plus insidieuses pour traquer les utilisateurs et l’affichage des publicités en ligne. Notre espoir est que cette nouvelle approche du DNT protègera le droit de consommateur à la vie privée et incitera les annonceurs à respecter le choix des utilisateurs, ouvrant la voie à une cohabitation de la vie privée et de la publicité. »

Une déclaration qui semble tout de même oublier que la problématique des bloqueurs de publicité ne provient pas que de la question du ciblage, mais surtout des abus importants et répétés des éditeurs et de leurs régies en terme de volume, d'envahissement et de pratiques détestables (comme la lecture automatique de vidéos qui débarquent de nulle part).

Mais l'émergence d'un consensus pourrait être à l'avantage d'un nombre beaucoup plus important d’acteurs : les internautes verraient leur vie privée mieux protégée, et les annonceurs auraient moins de publicités bloquées (d’où la participation d’Adblock).

De quoi poser problème à ceux qui veulent vendre des espaces par millions de pages vues selon des critères de ciblage ultra-précis, mais qui va dans le sens de pratiques bien plus raisonnables, visant un juste milieu de toutes parts. Reste à convaincre l'ensemble de la chaîne. Dans sa FAQ, l’EFF indique d’ailleurs clairement que la méthode proposée n’est pas compatible avec les entreprises qui veulent dans tous les cas continuer à utiliser un tracking permanent.

Difficile pour l’instant de savoir si une telle initiative peut fonctionner et si d'autres sites pourront facilement sauter le pas, et décider de jouer le jeu. À voir la capacité de certains à imposer cookies et autres fingerprints par dizaines, et ce malgré les règles en la matière (voir notre article), on peut aisément penser que la route sera encore longue. On peut aussi se demander ce qu'il adviendra si un site indique respecter le choix de l'utilisateur mais ne le fait pas.

La fondation est en tout cas clairement décidée à fédérer le plus d’acteurs possibles en proposant une solution où chacun peut y trouver son compte, ou presque. Un consensus qui pourrait fonctionner et court-circuiter la recherche perpétuelle de nouveaux moyens toujours plus intrusifs pour collecter des données et afficher coûte que coûte de la publicité. D'autres pourraient suivre, comme Mozilla dont on s'étonne d'ailleurs qu'il ne soit pas déjà de la partie. On regrettera également que cette bataille de l'EFF se fasse hors du standard du W3C, ce qui risque de mener à des confusions. D'autant plus que le dernier appel à commentaires du TCS n'est pas encore terminé.

Tracking : l'extension Privacy Badger arrive dans une version finale renforcée

Dans un autre registre, la fondation vient de publier la version 1.0 de son extension Privacy Badger. Dédiée à Chrome et Firefox, elle est destinée à repérer l’ensemble des trackers sur un site web et à bloquer de manière automatique ou manuelle tous ceux que l’extension estime trop intrusive pour la vie privée de l’utilisateur.

Cette version 1.0 est l’aboutissement d’une longue phase de développement. Les moutures alpha et bêta avaient, selon la fondation, été testées par plus de 250 000 utilisateurs. La finalisation amène avec elle des améliorations notamment sur la capacité à détecter les fingerprints, mais aussi les super-cookies (voir cet exemple). Ces derniers sont pour rappel des versions survitaminées des cookies classiques, qui sont plus difficiles à supprimer, permanents et peuvent contenir des informations beaucoup plus nombreuses, notamment tout ou partie de votre historique web. 

Privacy Badger est en outre traduit dans plusieurs nouvelles langues, dont le français. Une traduction qui reste encore assez approximative parfois. Il en est de même pour l'extension elle-même qui détecte parfois des éléments qui ne sont pas forcément des sources de tracking. Si ses options et sa façon de bloquer ou non un domaine de manière plus ou moins complète sont appréciables, les adeptes d'outils du même genre comme Ghostery pourraient décider d'attendre encore un peu avant de changer de crèmerie.

Mais ici, la fondation expose une nouvelle fois sa vision de ce que devrait être le web et le respect de la vie privée. Elle indique ne pas être contre les entreprises qui cherchent à bâtir un réseau publicitaire, mais ces contenus ne peuvent pas se faire au détriment de l’internaute et via une « approche sans aucun consensus ». Et d’enfoncer le clou : « Jusqu’à ce que l’industrie du pistage en ligne change ses méthodes, la seule option pour les utilisateurs est de se protéger eux-mêmes en installant des outils tels que Privacy Badger ».

Et puisque l’EFF parle de consensus, Privacy Badger est justement conçue pour « travailler en tandem » avec sa nouvelle version du DNT. En clair, si l’extension détecte que les domaines contactés prennent en charge le signal correctement et définissent clairement ce qui va être fait, elle les débloque. Seront concernés évidemment les collectes de données anonymes et les publicités non-ciblées. Pour les autres, la situation sera toute aussi claire : ils seront bloqués.

• Privacy Badger pour Chrome
• Privacy Badger pour Firefox