GuiGui's Show

Parmi la liste partielle de prestataires, seules Galae, GalacSYS, LWS, Mailo, et OVH sont des entités françaises (raisons d'un tel critère ici).

Le site web de LWS est toujours derrière Cloudflare. Tendance "on est « l'un des meilleurs hébergeurs web de France » (source), mais on ne sait pas gérer un pic de trafic, mais tkt frèr, on va gérer ton courriel". Ce n'est pas sérieux.

Les entités qui ne publient pas leurs mentions légales et/ou les informations RGPD (Galae, GalacSYS) ne sont pas plus sérieuses. Il s'agit d'obligations légales. (Suite à une remarque : Galae est un service de l'entité Algoo, qui publie ses mentions légales sur son site, mais pas l'intégralité des mentions RGPD. De plus, il est déjà discutable de devoir chercher les mentions légales et RGPD sur un autre site web, notamment car ça ne garantit pas qu'elles sont valables pour Galae, surtout les mentions RGPD.)

Un autre critère de notation peut être l'utilisation d'IPv6 pour les serveurs de messagerie (en réception et en émission), et alors c'est l'hécatombe : ni Mailo, ni OVH, ni Proton, ni Tuta, ni Posteo, etc. ne proposent ça… En 2026 ! Murena dispose d'IPv6 parce qu'elle s'héberge chez Hetzner. Infomaniak dispose aussi d'IPv6.

À la fin de chaque page d'un site web marchand, je lis « Vos derniers produits vus ». J'y trouve un produit que j'ai effectivement zieuté il y a plus d'une semaine.

Je me demande le fonctionnement technique sous-jacent puisque j'ai refusé les cookies dudit site (avec uBlock Origin et ses listes dédiées) et que, de toute façon, l'extension Cookie AutoDelete les a supprimés dès que j'ai fermé l'onglet (il y a plus d'une semaine, donc).

Depuis l'onglet « Réseau » des « Outils de développement web » de Firefox, et avec l'aide de sa fonctionnalité de blocage d'URLs, j'identifie assez vite le JavaScript responsable. Évidemment, il a été rendu illisible par l'éditeur du site web.

Aeris me suggère le local storage. Je suis dubitatif, car je crois avoir configuré Cookie AutoDelete pour purger cet endroit-là aussi. Mais Aeris met indubitablement en évidence des appels au local storage dans le JavaScript précité.

Si je demande à Cookie AutoDelete (CAD) de « Nettoyer le stockage local pour ce domaine », les « derniers produits vus » disparaissent.

Pourquoi CAD ne le fait-il pas tout seul ? Parce que, dans ses paramètres, je n'ai pas coché « Activer le nettoyage du stockage local ». De mémoire, j'ai agi ainsi car, si on l'active, CAD efface alors, à la fermeture d'un onglet, le stockage local pour tous les sites web, et je n'étais pas certain que ça soit indolore.

J'ai donc modifié ma configuration de Cookie AutoDelete pour activer cela. Aucun dysfonctionnement après plusieurs jours.

Évidemment, rien ne sera jamais aussi efficace que le paramètre de Firefox « Supprimer les cookies et les données des sites à la fermeture de Firefox », mais je ferme rarement mon navigateur web (mise en veille aka suspend to ram).

En conclusion, des techniques toujours plus fines sont mises en œuvre pour nous vendre de la merde, et il faut s'en protéger par une vigilance infinie et par des outils et des paramètres toujours plus nombreux et complexes. C'est intenable.

Après la technique, quid de la légalité ?

Comme le rappelle le point 13 des lignes directrices de la CNIL et le point 44 de celles du CEPD, la lecture ou écriture dans le local storage tombe dans le giron de l'article 5(3) de la directive européenne ePrivacy et de sa transposition dans l'article 82 de la loi 78-17 dite Informatique et Libertés.

Or, ces articles disposent que toutes les opérations de lecture / écriture dans le terminal d'un visiteur sont soumises au consentement, sauf si elles visent à effectuer une communication électronique ou si elles sont strictement nécessaires pour fournir un service expressément demandé par le visiteur.

Le caractère intrusif ou non de l'opération n'entre pas en ligne de compte, pas plus que la question de savoir si les données stockées constituent des données à caractère personnel (qui, elles-mêmes, ne se résument pas aux données nominatives) ou non.

En l'espèce, un rappel des produits déjà consultés sous forme d'une recommandation ne concourt pas à transmettre une communication électronique et il ne découle pas strictement d'un service que j'aurais expressément demandé.

En conclusion, l'éditeur du site web aurait dû recueillir mon consentement pour écrire et lire dans mon stockage local, ce qu'il n'a pas fait. Même avec un profil Firefox vierge (sans extensions ni paramètres persos), le site web écrit dans le stockage local avant l'expression du consentement et le refus de tout dans le bandeau cookies ne change rien.

Bien évidemment, lorsqu'une opération de lecture / écriture sur le terminal du visiteur d'un site web est fondée sur le consentement, elle ne peut avoir lieu qu'après l'expression du consentement.

L'éditeur du site web est donc en tort.

L'onglet « Stockage » des « Outils de développement web » de Firefox permettent de voir le contenu des cookies, du local storage, etc.