Collecte de données via les sites de l’État : avant les impôts, le précédent de l’Élysée
Entre autres...
Le 17 avril 2018 à 12h16
7 min
Internet
Internet
Si le site de la DGFiP est critiqué pour l'utilisation d'une vidéo YouTube, imposée à ses visiteurs en pleine campagne de déclaration des revenus, qu'en est-il des autres sites publics ? Recours à des plateformes de vidéos tierces, présence de nombreux traceurs et consentement non explicite sont au programme.
Hier, nous évoquions une pratique instituée il y a quelques jours par le site des impôts : forcer les utilisateurs à regarder une vidéo avant de pouvoir entrer. Si cette obligation pose problèmes à différents niveaux, c'est surtout de données personnelles dont il a été question dans les différents articles de presse publiés depuis (voir ici, là ou encore là).
Il faut dire que le contexte est particulier, avec l'affaire Cambridge Analytica, les multiples explications de Facebook et l'arrivée prochaine du RGPD en Europe (voir notre analyse). Mais en la matière, le site des impôts n'est pas le seul à être critiquable. En réalité, de nombreux sites publics font encore preuve d'un certain laxisme en la matière.
Laisser le choix est une possibilité, la CNIL le prouve
Bien entendu, celui de la CNIL est presque l'exemple parfait des règles à suivre : sur une première connexion, aucun cookie non technique n'est déposé et aucun tracker n'est présent.
Vous pouvez accepter ou refuser l'ensemble des services tiers ou personnaliser vos choix. C'est notamment le cas pour Dailymotion, Vimeo ou YouTube, utilisés pour la diffusion de vidéo, mais aussi Facebook ou Twitter. En cas de refus ou d'absence de réponse, les modules seront bloqués pour éviter toute fuite de donnée.
Le seul regret sera alors de ne pas avoir de solution pour voir les vidéos de la CNIL sans accepter une collecte de données.
L'absence d'une plateforme vidéo commune aux services de l'État
Car contrairement à l'Assemblée nationale ou au Sénat, les différentes administrations et autres autorités n'ont aucun service d'hébergement sur lequel se reposer. Les pratiques diffèrent d'ailleurs d'un site à l'autre, certains se reposant plus sur Dailymotion que sur YouTube par exemple.
Si cette solution a l'intérêt d'avoir un petit côté « French Tech », Dailymotion appartenant à Vivendi, cela ne change rien concernant la collecte de données pouvant être exploitées à des fins publicitaires. Dès lors, on se demande pourquoi l'État n'a pas déjà mis en place un partenariat visant à permettre une diffusion sans collecte sur des sites publics, ou même à proposer directement sa propre infrastructure d'hébergement.
À l'heure où les questions de souveraineté numérique, de mise en commun des outils et de respect de la vie privée sont au cœur des préoccupations, par exemple avec la mise en place d'une messagerie chiffrée, cela semble être une piste à creuser.
Le site de l'Élysée cumule les faux pas
Et en la matière, le site des impôts n'est pas vraiment le pire du genre. On pensera notamment au site de l'Élysée, qui devrait pourtant être la figure de proue d'une République numérique.
Dès que vous arrivez sur le site, une fenêtre modale s'affiche afin de vous inciter à suivre le compte de l'institution sur Facebook, mettant fièrement en valeur ses 421 000 « J'aime » acquis en partie de cette manière. Les plus taquins noteront qu'aucun lien ne permet d'ailleurs de voir le contenu de la page avant de l'aimer.
Il est possible de fermer cette fenêtre et ce choix sera ensuite enregistré via un cookie. Sur le site, qui ne bénéficie pas d'une connexion sécurisée, le bandeau relatif à la vie privée se contente d'un message et d'un simple « Je comprends ». Ici, pas de choix possible, malgré l'arrivée du RGPD.
Et pour cause, par défaut, ce sont une dizaine de domaines tiers qui sont contactés comme le montre Kimetrak : Facebook, Google Analytics, Instagram et Twitter. Principalement des outils de multinationales américaines vivant de la collecte de données, qui sauront donc sur quelles pages du site vous êtes passé, pendant combien de temps, etc.
On note également la présence de XVox, un produit français de synthèse vocale utilisée afin de rendre le site plus accessible « aux personnes mal-voyantes et aux personnes ayant des difficultés de lecture ».
Du côté des vidéos, c'est la même chose : sur la page dédiée, on note pas moins de 18 domaines tiers chargés sans la moindre action de l'utilisateur, en cas de lecture d'un contenu, on peut grimper à près d'une trentaine avec le chargement de tous les éléments publicitaires de Dailymotion.
Les sites de nos institutions bourrés d'appels à des services américains, sans consentement
Malgré les efforts de la CNIL pour prêcher la bonne parole et recommander des solutions comme Xiti ou Matomo (ex-Piwik), ce constat se retrouve dans de nombreux autres sites officiels.
Le site du gouvernement n'est pas non plus en connexion sécurisée et contacte systématiquement les serveurs de Facebook et Instagram. On retrouve plusieurs services de Google sur les pages internes et Dailymotion est utilisé pour la diffusion de vidéo, avec un compteur de domaines tiers grimpant à une vingtaine en général.
Le site de l'Assemblée nationale mesure son audience via Google Analytics, tout comme celui du Sénat qui est friand d'éléments issus de Twitter. Même chose à l'Arcep, qui affiche pourtant... un message de prise en compte de Do Not Track. Le régulateur des télécoms a néanmoins droit à un accès sécurisé.
On pourrait continuer avec Service-public.fr, Hadopi, le site du CSA, ou même de l'audiovisuel public qui affiche un haut respect des données personnelles, mais contient pourtant également plusieurs traceurs, même en cas de refus de la part de ses visiteurs. Bref, il reste encore du travail.
Respect de la vie privée : quels actes après les débats parlementaires ?
Espérons néanmoins que l'arrivée du RGPD dans un peu plus d'un mois permettra de faire bouger les lignes et évoluer les consciences. D'autant que lors des débats à l'Assemblée nationale, puis au Sénat, le gouvernement s'est dit plutôt favorable à des avancées en la matière.
Lors de la séance du jeudi 12 avril à l'Assemblée nationale, Mounir Mahjoubi, secrétaire d’État chargé du numérique, déclarait à propos du projet de loi relatif à la protection des données personnelles qu'il était « éminemment politique car il porte nos valeurs, les valeurs européennes et françaises. C’est un moyen puissant pour dire à nos concitoyens que l’on peut reprendre en main son propre avenir numérique. En la matière, il y a un modèle français, un modèle européen, et l’actualité nous montre que d’autres continents nous observent ».
Rappelant l'importance de ce texte, parfois considéré comme trop technique, le secrétaire d’État considérait qu'il « invite chacun à s’interroger sur l’usage de ses données personnelles, à la fois par lui-même et par les entreprises – petites ou grandes – et les collectivités publiques. Ce texte invite chacun à prendre ses responsabilités et à considérer que le numérique fait désormais entièrement partie de nos vies ».
Il faudra donc voir quelles seront les évolutions mises en place dans les semaines à venir au sein des différents sites publics, tant au niveau local que national. Car même si les questions d'utilisation de services français plutôt qu'étranger ou même de plateformes communes au sein de l'État devraient encore demander du temps, se mettre en conformité avec la loi devrait être une des priorités de nos responsables politiques.
Collecte de données via les sites de l’État : avant les impôts, le précédent de l’Élysée
-
Laisser le choix est une possibilité, la CNIL le prouve
-
L'absence d'une plateforme vidéo commune aux services de l'État
-
Le site de l'Élysée cumule les faux pas
-
Les sites de nos institutions bourrés d'appels à des services américains, sans consentement
-
Respect de la vie privée : quels actes après les débats parlementaires ?
Commentaires (36)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/04/2018 à 12h34
Un jour, les dirigeants politiques (et dans les entreprises aussi d’ailleurs) arrêteront de considérer le numérique comme un truc incompréhensible où l’on peut faire n’importe quoi dans tous les sens et investiront dans le développement de service qui leur sont propres (bien faits et libre concernant l’état).
Quand je vois ‘l’état de délabrement des outils numérique dans la fonction publique, mais aussi dans certaines très grosses entreprises (airbus, thales, etc.) je me dis que ce n’est pas pour demain.
Le 17/04/2018 à 12h40
Comme Internet est une zone de non droit, ils en profitent. C’est cohérent.
Le 17/04/2018 à 12h50
Mouais, c’est surtout laissé au bon jugement des presta qui n’en ont souvent rien à battre…
Le 17/04/2018 à 12h54
Ben faut juste virer le webmaster pour INcompétence." />
Le 17/04/2018 à 13h19
Collecte de données via les sites de l’État : avant les impôts, le précédent de l’Élysée
Ca suffit, le Hollande bashing ! " />
Le 17/04/2018 à 13h20
Le 17/04/2018 à 13h20
Vous n’étes pas les premiers, Bluefouff avait un papier sur le sujet:
https://reflets.info/articles/fic2014-ces-administrations-francaises-qui-livrent…
Résultat positif:
https://reflets.info/articles/les-trackers-statistiques-ont-ete-supprimes-des-pa…
Et un débat sur le forum d’Etalab:
https://forum.etalab.gouv.fr/t/bannir-les-traceurs-tiers-des-sites-web-de-letat-…
Le 17/04/2018 à 13h21
Et sinon, est il possible de “saisir” la CNIL sur ce sujet ?
S’ils reçoivent un p’tit millier de signalement sur le sujet je pense que ça ferait bouger quelques lignes plus rapidement non ?
Modifié le 09/12/2024 à 21h28
Le 17/04/2018 à 13h31
Attends le RGPD et la publication au JO de la loi en cours de vote qui dira que la CNIL est compétente, ça sera plus facile d’expliquer qu’il n’y a pas de consentement explicite au traitement.
En tout cas, à la lecture de cet article, je me suis dit que j’allais faire comme ça.
Le 17/04/2018 à 13h39
Le 17/04/2018 à 13h47
Il me semble qu’il était ironique. Mais je peux me tromper.
Le 17/04/2018 à 13h51
Le 17/04/2018 à 13h55
Le 17/04/2018 à 14h08
Eh bah… C’est à moitié scandaleux ! je ne m’étais jamais posé la question, d’un autre côté je n’ai jamais eu l’occasion d’aller sur ces sites. Mais ça ne donne pas envie. Le site de la CNIL c’est un peu la vitrine technique des bonnes pratiques 3.0 :)
Ce qui serait cool, c’est que, à l’instar des mécanismes existant sur mon-service-public, on puisse choisir de manière centralisée ses préférences. Et que ça soit repris et respecté par tous les sites de l’état, du gouvernement et des administrations.
Le 17/04/2018 à 14h18
Pour moi le principal soucis, c’est surtout la multiplication de certains cookie de tracking (> 20 par exemple)
Car il a un coté que certaines personnes ne voit pas, c’est aussi le recours systématique du grand publics à de tel services. Mais aussi un sensation de bashing ambiant.
D’un coté on a beaucoup de personnes n’hésite pas à contacter tel service ou entreprise via twitter ou facebook pour avoir une réponse à leur problème. Alors que parfois ces même sites propose un formulaire de contact. Donc mettre un bouton sur son site web n’as rien d’anormal par rapport aux attentes des gens.
Et de l’autre coté, si on annonce un projet de service vidéo à X millions (build) et Y million (run) commun à l’ensemble des services de l’état, les citoyen crieront soit au service mal fait, soit au service trop cher.
Pour moi, avant de “râler” sur ces pratiques, il faut aussi remettre le contexte général et prendre le problème dans sa globalité.
Le 17/04/2018 à 14h41
Le 17/04/2018 à 14h44
Le 17/04/2018 à 14h47
Le 17/04/2018 à 14h51
Le 17/04/2018 à 14h55
Je me sers de Twitter comme un SAV. Ca permet de ne pas laisser mon e-mail, comme c’est un compte Twitter “poubelle”, lié à un compte gmail poubelle, je laisse le moins de trace possible. Et en général la réponse est bien plus rapide sur Twitter que par un formulaire de contact (quand on a une réponse…).
Le 17/04/2018 à 15h44
Ta réponse, va dans mon sens. Et elle est nullement une critique de l’utilisation de twitter ou facebook plutôt qu’un formulaire de contact.
Mais plutôt une mise en perspective de la présence de cookie de tracking sur les sites institutionnelle vis à vis des pratiques utilisateur. Où les sites institutionnelle sont poussé par leurs utilisateurs à mettre en avant leur fil twitter, facebook, …. Hors ces ajouts de sites tiers inclut également les cookie de tracking.
Ce plaindre du manque de vie privée ou l’utilisation abusive de cookie de tracking de société commercial sur les sites institutionnelle va de pair avec la pratique et les attentes des utilisateurs.
Le 17/04/2018 à 15h44
Le 17/04/2018 à 15h56
Le 17/04/2018 à 17h11
<HS> (mais pas tant que ça)
Un grand merci aussi aux media de l’Etat (tv, radio,…) de faire une pub monstrueuse sur tous les objets aspirateur de données que sont les Google Home, Alexa, Apple je sais pas quoi…
J’espère que ces pseudo-journalistes profitent bien des faveurs et cadeaux qui leur sont accordées en échange de ces publicités gratuites, qui se sont passés pour de l’information ! (et dans des émissions qui pour la plupart “décryptent” le numérique " />)
</HS>
Le 17/04/2018 à 17h34
Un précédent ne devrait pas dire ça….
Le 17/04/2018 à 17h44
" />
Le 17/04/2018 à 17h52
Le 17/04/2018 à 18h52
Le 17/04/2018 à 19h04
Le 17/04/2018 à 19h10
Le 18/04/2018 à 05h13
Le 18/04/2018 à 05h39
Le 18/04/2018 à 07h03
Le 18/04/2018 à 07h17
Le 18/04/2018 à 07h58