Fingerprinting : la nouvelle menace de traçage. Découvrez comment protéger votre vie privée en ligne, les contre-mesures efficaces et ce qu'en dit le RGPD.
Le fingerprinting est la nouvelle menace sérieuse pour la protection de vos données personnelles en ligne. Contrairement aux cookies, cette technique avancée permet de créer une empreinte numérique unique à partir des caractéristiques techniques de votre navigateur. Découvrez comment le RGPD encadre ce traçage invisible et apprenez les contre-mesures efficaces pour vous en prémunir, même lorsque vous refusez les traceurs classiques.
Contexte et définition des données personnelles
Les traces de la navigation : logs, cookies et traqueurs
Lorsque nous naviguons sur Internet, nous laissons des traces de notre passage. Que ce soit dans les logs sur les serveurs, les cookies dans les navigateurs ou les traqueurs qui suivent notre navigation. Face à cela, diverses lois et principes éthiques ont permis de faire face aux abus que pouvaient permettre ces techniques.
Le contexte général de l'exposition des données personnelles
Depuis 2018, un texte réglementaire européen (appelé RGPD) a permis de faire un bond en avant pour encadrer le traitement des données personnelles sur l’ensemble du territoire de l’Union européenne.
Que dit ce texte ? Faisons un état des lieux sur ce que sont les données personnelles, quelles données peuvent être collectées directement depuis le navigateur, ce qu’en dit la réglementation et quelles techniques sont utilisées aujourd’hui pour les récupérer.
Qu’est-ce qu’une donnée personnelle ?
Selon la CNIL, une donnée personnelle est une information relative à une personne physique susceptible d’être identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photo, d’un numéro de Sécurité sociale, d’une adresse IP ou de données biométriques comme une empreinte digitale. Il peut également s’agir de données qui ne sont pas directement reliées à la personne, mais au navigateur internet ou à la machine d’un utilisateur qui, lorsqu’elles sont recoupées avec d’autres informations, permettent de l’identifier pour, par exemple, suivre sa navigation. Dans ce cas, on parlera de fingerprinting.
Outils de collecte d'informations du navigateur
De multiples outils existent afin de récupérer les informations disponibles depuis le navigateur. Tout d’abord, il y a les outils d’analyse web, comme Google Analytics ou Matomo qui vont récupérer des informations qui vont permettre d’étudier le comportement des visiteurs d’un site.
Puis viennent les outils de heatmap comme Hotjar ou Microsoft Clarity qui offrent une analyse visuelle des interactions des utilisateurs avec un site (les clics, le scroll ou les mouvements de la souris) afin d’optimiser l’ergonomie d’un site.
En parallèle de ces outils, et de manière plus basique, Javascript permet de collecter et d'analyser ces données sans dépendre d’un service tiers. Il offre une flexibilité totale pour récupérer les données et implémenter les fonctionnalités souhaitées.
Le tableau, page suivante, présente une liste exhaustive des données que l’on peut récupérer directement depuis le navigateur.
Récapitulatif des informations récupérables depuis le navigateur et de leur impact sur la RGPD
Donnée | Donnée personnelle | fingerprinting | Consentement requis ? |
Adresse IP | Oui | Oui | Oui sauf anonymisée |
Nom et version navigateur | Non | Oui | Non sauf fingerprinting |
Système d’exploitation | Non | Oui | Non sauf fingerprinting |
Type d’appareil utilisé | Non | Oui | Non sauf fingerprinting |
Dimension écran | Non | Oui | Non sauf fingerprinting |
Profondeur des couleurs | Non | Oui | Non sauf fingerprinting |
Langue navigateur | Non | Oui | Non sauf fingerprinting |
Type de connexion | Non | Non | Non |
Pays | Non | Non | Non |
Région | Non | Non | Non |
Ville | Oui (si petite) | Non | Non sauf fingerprinting |
Fuseau horaire | Non | Oui | Non sauf fingerprinting |
Géolocalisation | Oui | Non | Oui |
Mode sombre | Non | Non | Non |
Clics sur les éléments | Non | Oui | Non sauf fingerprinting |
Scroll tracking | Non | Oui | Non sauf fingerprinting |
Nombre de cœurs CPU | Non | Oui | Non sauf fingerprinting |
Quantité de mémoire RAM | Non | Oui | Non sauf fingerprinting |
Nombre de points de contact tactile | Non | Oui | Non sauf fingerprinting |
Formats multimédias supportés | Non | Oui | Non sauf fingerprinting |
Entrées/sorties multimédias (caméra, micro, etc.) | Non | Oui | Non sauf fingerprinting |
Niveau de batterie | Non | Oui | Non sauf fingerprinting |
Manettes de jeu connectées | Non | Oui | Non sauf fingerprinting |
Le cadre légal : La RGPD et le consentement
Le rôle du RGPD dans la protection des données
La RGPD (Réglementation Générale sur la Protection des Données) vise à protéger les données personnelles des utilisateurs. Lorsqu’une donnée est collectée, son traitement doit être justifié et, dans la plupart des cas, nécessiter le consentement explicite de l’utilisateur.
Les six bases légales de traitement des données
Il s’agit de l’une des six bases légales prévues qui autorisent la mise en œuvre de traitements de données personnelles.
Les six bases légales de traitement des données personnelles sont :
- Le consentement
- Le contrat
- L’obligation légale
- La sauvegarde des intérêts vitaux
- L’intérêt public
- Les intérêts légitimes
Selon la CNIL, le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Exigences clés concernant le consentement (pour le responsable du traitement) :
- Le responsable du traitement des données doit être en mesure de démontrer la validité du recours à cette base légale.
- L’utilisateur doit disposer de la possibilité de retirer ce consentement à tout moment.
- Le responsable du traitement doit être capable de démontrer à tout moment que la personne a bien consenti, et ce, dans des conditions valides.
En cas de manquement à ces obligations, le RGPD prévoit des sanctions allant de 20 millions d’euros à 4 % du chiffre d'affaires mondial de l’entreprise. Ainsi, en juin 2023, une société française leader du commerce marketing a été condamnée à une amende de 40 millions d’euros par la CNIL (Commission Nationale Informatique et Liberté) pour cinq manquements au RGPD ayant selon elle entraîné un manquement relatif à l'information des personnes et une perte de contrôle des internautes sur leurs données.
Gestion des données, finalités et limites du traitement après consentement
Une fois que l’utilisateur a donné son consentement, l’entité qui récupère les données doit traiter ces informations pour la finalité à laquelle le consentement a été donné. L’utilisateur doit bénéficier d’un droit d’accès, de rectification ou de suppression de ses données. Les données doivent également être conservées pour un temps limité et être ensuite détruites ou anonymisées. Enfin, la sécurité des données doit être garantie par le responsable du traitement.
Selon les domaines, ces données pourront servir à de multiples usages. Concernant les sites d'e-commerce, elles pourront servir à afficher des publicités ciblées (retargeting), à envoyer des relances par e-mail du type “vous avez oublié un produit” ou à analyser le comportement des utilisateurs. Dans le domaine des réseaux sociaux, elles pourront servir à créer des profils publicitaires. Pour ce qui est de la santé, elles serviront pour la gestion des rendez-vous médicaux ou le suivi des traitements personnalisés. Pour les banques et les assurances, elles permettent de mettre en place des scoring de crédit ou de détecter des fraudes. Les données personnelles peuvent aussi être utilisées au détriment de leurs propriétaires. Un exemple, les personnes présentant des risques aggravés pour la santé lorsqu’elles souhaitent souscrire à une assurance pour un prêt peuvent se voir appliquer des malus du fait de leur état de santé. En France, cela a amené l'État à mettre en place une convention (la convention AREAS) mettant en place notamment un droit à l’oubli sous certaines conditions permettant à ces personnes de pouvoir accéder aux prêts sous des conditions plus standards.
Données personnelles et consentement explicite : IP, géolocalisation et fingerprinting
Comme nous l’avons vu, une donnée est considérée comme personnelle si elle permet d’identifier directement ou indirectement une personne physique.
Dans le cadre des informations que l’on récupère depuis le navigateur, certaines données comme l’adresse IP (si elle est non anonymisée) ou les données de géolocalisation nécessitent un consentement explicite de l’utilisateur pour être collectées.
Les autres informations, prises individuellement, ne sont pas considérées comme personnelles. Cependant, lorsqu’elles sont combinées avec d’autres informations, elles peuvent permettre la création d’une empreinte numérique (fingerprinting), capable d’identifier un utilisateur de manière unique. Dans ce cas, la collecte de ces données est soumise à la RGPD et nécessite un consentement de l’utilisateur.
Enfin, lorsqu’une donnée est partagée avec un tiers (Google Analytics par exemple), elle est directement soumise à la RGPD.
Envie d'en savoir plus ? Lisez la suite de l'article ici.