À en juger par le nombre de bannières « Vos données privées sont importantes pour nos algorithmes de recommandation » et de mails « Confirmez que vous voulez toujours recevoir cette newsletter à laquelle vous ne vous êtes jamais inscrit », le RGPD a fait florès. La Californie s’est même fendue d’une législation similaire, le CCPA, au cadre toutefois plus réduit.

Au fil du temps, l’interprétation des dispositions du RGPD s’est affinée, notamment grâce aux recommandations et aux délibérations de la CNIL. Mais si les lignes ont bougé, c’est tout autant sous la menace des poursuites judiciaires que sous la contrainte des évolutions technologiques. Des changements que nous avons souvent anticipés, mais parfois subis. Alors que le RGPD va bientôt fêter son troisième anniversaire, faisons le point.

Un travail (toujours) en cours

Comme nous n’avons jamais collecté beaucoup de données personnelles, et que nous les utilisons surtout à des fins techniques, le RGPD n’avait pas chamboulé notre activité. La législation européenne nous avait surtout permis de précipiter certains choix, de clore quelques débats, et de formaliser notre politique de gestion des données personnelles. Pour autant, nous ne nous sommes pas reposés sur nos lauriers.

En mai 2018, nous nous étions fixé quatre objectifs pour respecter la loi non seulement à la lettre, mais aussi dans l’esprit. Avec le concours de notre avocat, nous avons revu nos conditions générales d’utilisation, notamment pour préciser les dispositions relatives à la gestion des comptes et la suppression des données. L’historique complet des changements est disponible sur notre serveur GitLab.

Nous avons centralisé les demandes de suppression de compte, mais aussi les questions relatives à l’abonnement au Club iGen et les rapports de bugs sur notre site et dans nos applications, avec Zammad. Nous pouvons ainsi contrôler qui peut accéder à telles données et pourquoi, un point crucial du RGPD, mais souvent oublié. Et puis cela soulage nos boites mail.

Enfin, nous continuons de reprendre en main la plupart des services que nous utilisons (lire : Les services internes préférés de MacGeneration). Dernier en date : le serveur de notifications push. Une demi-douzaine de services se partagent le marché, mais tous ont le même modèle, qui consiste à proposer des offres abordables voire gratuites… contre la possibilité d’exploiter les données collectées.

Nous recourions aux services de OneSignal, que nous sommes en train d’abandonner au profit de notre propre solution, qui a occupé un développeur à plein temps pendant plusieurs mois (et ce n’est pas fini). Ce n’est pas une mince affaire à notre échelle, mais cela nous permet de maitriser tous les aspects du serveur, y compris la manière dont vos données sont traitées.

Des questions en suspens

Nous avons donc avancé, mais il reste encore du chemin à parcourir. Nous avons entièrement revu l’architecture de nos serveurs ces deux dernières années, et considérablement amélioré notre documentation au passage, mais nous devons encore formaliser notre politique de sécurité. Ce sera probablement le sujet de l’année prochaine, après avoir revu l’installation réseau de nos locaux.

Nos relations avec les régies publicitaires évoluent constamment, mais nous privilégions une poignée d’acteurs de confiance, que nous pouvons avoir facilement au bout du fil, et qui peuvent nous expliquer clairement leur fonctionnement et leurs pratiques. Nous travaillons surtout nos relations directes avec les annonceurs, qui nous permettent de proposer des publicités pertinentes sans amasser et analyser des montagnes de données.

Pour aller au bout de cette démarche, nous aurions pu désactiver les fonctions de « remarketing » proposées par Google, qui consiste précisément à amasser et analyser des montagnes de données pour personnaliser les publicités. Mais depuis la fin de l’année dernière, certains bloqueurs de publicités masquent nos articles sponsorisés. Que vous payiez indirectement par le biais de la publicité, ou directement par le biais d’un abonnement au Club iGen, l’information a un cout.

Dans la situation actuelle, il nous est difficile de tester les effets d’une moindre personnalisation des publicités sur notre chiffre d’affaires lorsque certains bloquent la forme la plus discrète et la moins intrusive de publicité à notre disposition. Nous ne pouvons pas nous lancer dans l’inconnu sans filet de sécurité, et les usages les plus naïfs des bloqueurs de publicités nous en privent.

Le problème de la solution des CMP

Ce qui nous mène au sujet des « plateformes de gestion du consentement », ou CMP pour consent management platform, qui se manifestent par ces fameuses bannières cliquables. Nous avons longtemps utilisé, comme la plupart des éditeurs de presse français, la plateforme de la petite entreprise parisienne SirData. Mais l’été dernier, nous avons adopté la solution de Google.

Ce choix peut surprendre, venant d’un éditeur qui ne cesse de professer son désir de réduire la collecte de données personnelles. Mais c’est un choix murement réfléchi : au lieu de transmettre des informations à un fournisseur supplémentaire, nous employons les services d’un fournisseur existant, qui possède déjà ces informations.

Et puis la solution de Google fonctionne aussi bien dans les navigateurs que dans les applications, et peut être facilement (re)configurée. Cela explique qu’elle soit de plus en plus utilisée depuis quelques mois. Google s’est convertie tardivement aux CMP, mais la sienne respecte parfaitement les objectifs du RGPD. Paradoxalement, c’est là que les ennuis commencent.

Les CMP reconnues reposent sur le cadre technique fixé par l’Interactive Advertising Bureau (IAB), la grande organisation des acteurs de la publicité sur internet, baptisé Transparency and Consent Framework (TCF). En réponse aux dernières évolutions de la compréhension et de l’application du RGPD, mais aussi du fonctionnement des navigateurs, l’IAB a publié une nouvelle version du TCF, le TCF v2.

À cette occasion donc, nous avons adopté la CMP de Google, mais aussi supprimé le bouton « Tout refuser », alors même que nous étions l’un des rares clients de SirData qui l’utilisaient. En publiant ses nouvelles lignes directrices, la CNIL a toutefois confirmé que « refuser les traceurs doit être aussi aisé que de les accepter », tout en affirmant que les personnes « doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ».

Ces deux objectifs nous semblent difficilement réconciliables dans l’état actuel des CMP. Nous avons restauré le bouton « Tout refuser » pour répondre à la première injonction, mais la petite fenêtre de la CMP ne parvient pas à répondre à la deuxième. La solution qui consistait à passer par un panneau intermédiaire, qui vous donnait des informations et des contrôles, nous semblait plus équilibrée.

Ce panneau, toujours disponible grâce au bouton « Gérer vos préférences », possède le terrible intérêt de mettre la notion d’« intérêt légitime » au premier plan. C’est le secret le mieux gardé du RGDP : dans certains cas, les sites peuvent collecter des données malgré votre refus, en considérant que c’est leur intérêt légitime. Cette notion a tant été abusée que le TCF v2 vous permet d’aller à son encontre.

Sur douze finalités, nous déclarons huit intérêts légitimes, comme celui de mesurer notre audience ou d’afficher des publicités personnalisées. Vous pouvez maintenant aller à leur encontre, mais aussi aller à l’encontre de l’intérêt légitime que peuvent avoir les clients de nos régies publicitaires à traiter vos données. Vous n’avez jamais eu autant de contrôle… mais certains nous le reprochent.

C’est trop difficile ! C’est trop long ! La situation actuelle ne nous satisfait guère : vous pouvez décider sans être informés, mais si vous souhaitez être pleinement informé, vous devez faire face à un mur de boutons. Nous sommes tributaires de l’interface des CMP, mais aussi d’une tension dans le RGPD entre la facilité d’emploi et l’information claire. Nous continuons à observer la situation avec attention.

L’hypocrisie des concepteurs de navigateurs

Reste que tout serait infiniment plus simple si les navigateurs étaient coopératifs. Or ils ne le sont pas. L’objectif louable visant à éliminer les cookies tiers perturbe directement les CMP, puisque le consentement est enregistré… sur un cookie tiers fourni par le framework de l’IAB. Voilà pourquoi la CMP réapparait régulièrement¹ : votre navigateur a supprimé son cookie, elle ne peut pas lire les consentements, et donc vous redemande votre avis.

Nous travaillons à contourner ce problème pour les utilisateurs connectés, un travail complexe, car nous devons enregistrer les consentements, mais aussi vous permettre de changer d’avis. Ce problème est évidemment résolu pour les membres du Club iGen, dont le site dédié ne possède ni publicités ni traceurs, et nous planchons sur une application Club iGen qui serait entièrement débarrassée des frameworks publicitaires présents dans l’application iGeneration.

Reste que ce problème soulève un point important : en perturbant le fonctionnement d’outils censés vous permette de contrôler l’usage de vos données, les efforts d’Apple et de Mozilla en faveur de la confidentialité sur le web finissent par affaiblir votre vie privée, parce que vous cliquez sur « Accepter » de guerre lasse. Les navigateurs pourraient pourtant gérer les CMP nativement, comme ils gèrent déjà les notifications ou d’autres fonctions, en prenant en charge le framework de l’IAB.

Cela augmenterait probablement le taux de refus, mais vous savez quoi ? Nous trouverions cela plus sain que le bourbier actuel. Dans l’état actuel des choses, le retour incessant des CMP sur des milliers de sites pousse les plus paresseux à accepter la collecte de données, et les plus agacés à installer des bloqueurs de publicités (et de CMP), quand ils ne sont pas intégrés aux navigateurs eux-mêmes.

Si Apple voulait vraiment vous faciliter la vie, elle prendrait en charge nativement le framework TCF, et vous permettrait de définir une configuration par défaut des CMP. Mais elle ne veut pas vous faciliter la vie – elle veut seulement compliquer celle de Google et de Facebook, les deux plus grosses régies publicitaires sur le web. Et vous, comme nous, nous retrouvons pris entre le marteau et l’enclume.