GuiGui's Show

À la fin de chaque page d'un site web marchand, je lis « Vos derniers produits vus ». J'y trouve un produit que j'ai effectivement zieuté il y a plus d'une semaine.

Je me demande le fonctionnement technique sous-jacent puisque j'ai refusé les cookies dudit site (avec uBlock Origin et ses listes dédiées) et que, de toute façon, l'extension Cookie AutoDelete les a supprimés dès que j'ai fermé l'onglet (il y a plus d'une semaine, donc).

Depuis l'onglet « Réseau » des « Outils de développement web » de Firefox, et avec l'aide de sa fonctionnalité de blocage d'URLs, j'identifie assez vite le JavaScript responsable. Évidemment, il a été rendu illisible par l'éditeur du site web.

Aeris me suggère le local storage. Je suis dubitatif, car je crois avoir configuré Cookie AutoDelete pour purger cet endroit-là aussi. Mais Aeris met indubitablement en évidence des appels au local storage dans le JavaScript précité.

Si je demande à Cookie AutoDelete (CAD) de « Nettoyer le stockage local pour ce domaine », les « derniers produits vus » disparaissent.

Pourquoi CAD ne le fait-il pas tout seul ? Parce que, dans ses paramètres, je n'ai pas coché « Activer le nettoyage du stockage local ». De mémoire, j'ai agi ainsi car, si on l'active, CAD efface alors, à la fermeture d'un onglet, le stockage local pour tous les sites web, et je n'étais pas certain que ça soit indolore.

J'ai donc modifié ma configuration de Cookie AutoDelete pour activer cela. Aucun dysfonctionnement après plusieurs jours.

Évidemment, rien ne sera jamais aussi efficace que le paramètre de Firefox « Supprimer les cookies et les données des sites à la fermeture de Firefox », mais je ferme rarement mon navigateur web (mise en veille aka suspend to ram).

En conclusion, des techniques toujours plus fines sont mises en œuvre pour nous vendre de la merde, et il faut s'en protéger par une vigilance infinie et par des outils et des paramètres toujours plus nombreux et complexes. C'est intenable.

Après la technique, quid de la légalité ?

Comme le rappelle le point 13 des lignes directrices de la CNIL et le point 44 de celles du CEPD, la lecture ou écriture dans le local storage tombe dans le giron de l'article 5(3) de la directive européenne ePrivacy et de sa transposition dans l'article 82 de la loi 78-17 dite Informatique et Libertés.

Or, ces articles disposent que toutes les opérations de lecture / écriture dans le terminal d'un visiteur sont soumises au consentement, sauf si elles visent à effectuer une communication électronique ou si elles sont strictement nécessaires pour fournir un service expressément demandé par le visiteur.

Le caractère intrusif ou non de l'opération n'entre pas en ligne de compte, pas plus que la question de savoir si les données stockées constituent des données à caractère personnel (qui, elles-mêmes, ne se résument pas aux données nominatives) ou non.

En l'espèce, un rappel des produits déjà consultés sous forme d'une recommandation ne concourt pas à transmettre une communication électronique et il ne découle pas strictement d'un service que j'aurais expressément demandé.

En conclusion, l'éditeur du site web aurait dû recueillir mon consentement pour écrire et lire dans mon stockage local, ce qu'il n'a pas fait. Même avec un profil Firefox vierge (sans extensions ni paramètres persos), le site web écrit dans le stockage local avant l'expression du consentement et le refus de tout dans le bandeau cookies ne change rien.

Bien évidemment, lorsqu'une opération de lecture / écriture sur le terminal du visiteur d'un site web est fondée sur le consentement, elle ne peut avoir lieu qu'après l'expression du consentement.

L'éditeur du site web est donc en tort.