J'ai essayé de jouer le jeu.

Promis, j'ai vraiment essayé.

Quoi donc ? Eh bien, de me débarrasser des cookies-pisteurs en paramétrant les choix offerts par les sites depuis le RGPD.

Spoiler : Ça ne marche pas.

Avant le RGPD

Avant le RGPD, j'utilisais l'extension libre Cookie AutoDelete pour Firefox.

Cette extension permet notamment de programmer l'effacement régulier des cookies tout en « sacralisant » au cas par cas des cookies qui se trouvent ainsi protégés de l'effacement (tels ceux qui vous permettent de rester identifié auprès du site sur lequel vous avez ouvert un compte).

Un premier inconvénient de cette extension, toutefois, est qu'elle tend à placer l'utilisateur dans la situation laborieuse de devoir « gérer » ses cookies.

Après le RGPD

Depuis l'entrée en vigueur du RGPD, je suis passé par trois étapes successives :

Étape 1 — Cachez ces bandeaux que je ne saurai voir

Je me suis vite rendu compte que j'allais être confronté perpétuellement aux mêmes bandeaux me demandant d’accepter d'être pisté : en effet, mes choix en la matière étaient régulièrement effacés en même temps que les cookies du site (par la grâce de l'extension Cookie AutoDelete sus-évoquée, les choix en matière de cookies étant stockés...dans des cookies !). Bref, j'allais revivre encore et encore le Jour de la marmotte.

Pour régler ce problème, je me suis tourné vers l'extension libre pour Firefox I don't care about cookies qui supprime purement et simplement l'affichage de tous ces bandeaux de demande de consentement.

Mais, du coup, me voici avec deux extensions au lieu d'une pour tenter de juguler le pistage par les cookies. Cela commence un peu à faire usine à gaz, sans compter que je passe à côté des bénéfices juridiques du RGPD tout de même !

Étape 2 — J'ai une idée : et si je me servais de mes nouveaux droits conférés par le RGPD ?

Pour qu'un site puisse procéder à un traitement de données qui vous sont personnelles, le RGPD impose dorénavant que vous ayez préalablement donné votre consentement, et que celui-ci soit libre, spécifique, éclairé et univoque.

Au titre du caractère nécessairement libre du consentement (= le premier des quatre critères posés ci-dessus), la CNIL précise que votre consentement ne doit pas avoir été contraint ni influencé : il faut que vous ait été offert un choix réel, c'est-à-dire que vous n'ayez à subir aucune conséquence négative en cas de refus.

Concrètement, si l'utilisateur d'un site refuse d'être pisté, il doit quand même pouvoir accéder au site et à ses services. Et du coup, si le site affiche de la publicité, ni le titulaire du site ni ses partenaires d'affaire ne pourront l'ajuster à la personnalité de l'utilisateur.

Bingo : il me suffit donc dorénavant de me saisir une fois pour toute des choix offerts par chacun des sites que je visite pour exprimer mon refus d'être pisté ! Et je vais même pouvoir alléger mon navigateur de deux extensions !

Alors, euh... comment dire ? Ça n'a pas été aussi simple.

Le quotidien de l'utilisateur qui souhaite exprimer son refus d'être pisté est celui des sites conçus pour noyer l'utilisateur, des hyperliens qui n'aboutissent pas, des sites qui demandent à leur utilisateur de se rendre sur les sites de chacun de leurs partenaires d'affaire pour y opposer son refus d'être pisté, des sites conçus pour induire l'utilisateur en erreur dans ses choix, des pages techniques entières rédigées en anglais... (quelques exemples concrets ici).

Malgré ma formation de juriste et mon entrain à me lancer dans la bataille, j'ai dû renoncer devant la difficulté – et parfois l'impossibilité – de la tâche.

Même si je reste optimiste pour l'avenir (à présent que l'Union européenne s'est saisie de la question, l'étau va peu à peu se resserrer sur les titulaires de sites et services en ligne de manière à assurer une protection effective des particuliers), il me faut revenir pour le moment à une solution plus technique que juridique pour limiter le pistage de mes comportements en ligne par les cookies.

Étape 3 — Changement de paradigme : plus de cookies !

Vous avez peut-être remarqué que Firefox s'est récemment doté d'options fines en la matière, permettant à l'utilisateur de choisir par exemple de bloquer tous les cookies tiers ou seulement les cookies qui servent à le pister (certes, l'écran de paramétrage, peu compréhensible en l'état, mérite d'être revu, je vous l'accorde).

Cela m'a donné l'idée d'aller encore plus loin : plutôt que de devoir gérer le sort des cookies déposés dans mon navigateur au fur et à mesure de ma navigation (comme je le faisais avec Cookie AutoDelete), si j’interdisais plutôt le dépôt de tout cookie dans mon navigateur ?

Firefox permet cela, et même de créer des exceptions site par site. Mais l'interface, qui exige de passer à chaque fois par différents menus, est malcommode.

C'est là qu'intervient l'extension libre CookieMaster pour Firefox. Je l'ai configurée de manière à interdire par défaut le dépôt de tout cookie (qu'il provienne d'un site tiers ou même du site visité). L'extension offre alors un accès direct (au moyen d'un bouton sur la barre d'outils) pour autoriser, au cas par cas, tel ou tel site à déposer des cookies.

J'avoue qu'à ma grande surprise, passé quelques jours, je n'ai autorisé que très peu de sites (ce qui réduit de fait la gestion des cookies au maximum) : ceux pour lesquels j'ai ouvert un compte, afin de ne pas avoir à m'identifier à chaque fois (actuellement : Wikipédia, LinuxFr.org, Firefox Add-ons, le forum HardWare.fr, mon blogue) – il me manque sûrement une petite poignée de sites que j'ajouterai au fur et à mesure de mes pérégrinations. Il faut noter cependant que j'utilise différents profils pour ma navigation, et que je n'ai pour l'instant interdit les cookies par défaut que sur mon profil principal, qui me sert à butiner de l'information (et pas à gérer mes comptes, par exemple). Quoi qu'il en soit, pour cet usage, je n'ai rencontré aucun site dysfonctionnel avec ce paramétrage.

Enfin, si vous optez pour cette façon de faire, vous ne pourrez pas faire l'économie d'installer l'extension libre pour Firefox I don't care about cookies dont nous parlions plus haut, sous peine de devenir fou.

Original post of antistress.Votez pour ce billet sur Planet Libre.