Explications concernant le webtracking

Les exploitants de sites web et les réseaux publicitaires recourent au webtracking pour suivre les activités des visiteurs sur un site donné ou pour observer le comportement de navigation des internautes. Les données ainsi collectées permettent de tirer des conclusions quant aux intérêts, préférences ou habitudes des internautes. Mais nombre des instruments de webtracking posent problème du point de vue de la protection des données.

Il existe une grande variété de techniques de webtracking, la plus simple consistant dans l'enregistrement et l'analyse des fichiers journaux sur le serveur du site web consulté. Lors de chaque consultation, le navigateur transmet diverses informations au serveur, entre autres celles relatives au type de navigateur, au système d'exploitation, à la langue du navigateur, à l'adresse IP ou à l'adresse URL de la page consultée. Le tracking effectué au moyen des fichiers témoins (cookies) va plus loin. Les fichiers témoins sont de petits fichiers qui sont enregistrés sur l'ordinateur de l'internaute dès qu'il consulte un site web. Il existe des procédés de tracking plus complexes, qui permettent d'enregistrer et d'analyser des données plus détaillées telles que le nombre de clics ou le comportement de défilement (scrolling). Les informations sur le comportement de défilement permettent par exemple de déterminer si le visiteur d'un blog lit effectivement un article, à quelle vitesse il le fait et s'il lit aussi les commentaires écrits en réaction à un article.

Le webtracking est utilisé notamment à des fins d'analyse des sites web, dans le but d'optimiser et de configurer de manière plus effective un site web. Vous trouverez de plus amples informations dans les textes suivants du PFPDT: 
- Outils d'analyse pour sites Internet
- Des logiciels respectueux de la protection des données pour analyser la fréquentation des pages Internet

Les développements ci-après fournissent des informations sur la manière dont les publicitaires en ligne utilisent le webtracking et sur la fonction des «plugins sociaux».

Publicité ciblée en fonction du comportement de navigation 

La branche publicitaire accorde une importance de plus en plus grande à la publicité en ligne. Internet permet d'atteindre rapidement un vaste public et de mesurer facilement le succès d'une campagne publicitaire. Dans ce contexte, le webtracking permet aux publicitaires de s'adresser de manière ciblée aux différents segments du public. Plus les informations issues du webtracking sont complètes, plus le ciblage est précis.

Différents procédés sont possibles. Dans le cas du «ciblage comportemental» (behavioral advertising), le comportement de navigation de l'internaute est observé, afin d'afficher, sur cette base, des publicités sur son écran. L'internaute qui a souvent consulté, au cours d'une période donnée, des sites web consacrés aux voitures verra ainsi s'afficher de la publicité pour un modèle de voiture. Dans le cas du «ciblage comportemental prédictif» (predictive online behavioral advertising), la publicité numérique est envoyée à des groupes cibles aux attributs particuliers (données sociodémographiques, choix des produits, comportement d'achat, etc.) déterminés au moyen de pronostics statistiques basés sur le comportement de navigation.

Le comportement de navigation est consigné avant tout au moyen de cookies, en particulier au moyen des «cookies tierce partie» (third party cookies). De petits fichiers images (bannières publicitaires ou pixels espions) du fournisseur de services de webtracking sont intégrées au site web consulté et établissent la connexion avec le serveur de la tierce partie sans que l'internaute le remarque. Si le fournisseur de services de webtracking diffuse ces petits fichiers sur plusieurs sites web, l'internaute peut être reconnu par différents sites et services. Les données sont ainsi collectées de manière ciblée, et le comportement de navigation et les déplacements, enregistrés, sélectionnés et évalués. La situation est particulièrement délicate quand l'internaute se rend sur des sites sur lesquels il doit se connecter en indiquant son nom, par exemple sur les réseaux sociaux. Les fournisseurs de services de wetracking connaissent alors son nom. 

Plugins sociaux

Grâce aux plugins sociaux, les exploitants de sites web peuvent utiliser certains services de réseaux sociaux sur leurs propres sites web. Au moyen du bouton «J'aime» de Facebook, par exemple, les internautes peuvent, d'un simple clic, partager un site web sur leur profil Facebook. Les exploitants du site concerné espèrent que celui-ci sera ainsi rapidement connu. Les plugins sociaux permettent aussi d'obtenir des informations statistiques précises sur les utilisateurs du site. Facebook propose à cette fin le service «Insights», qui permet à ceux des exploitants de sites web qui ont, au moyen de plugins sociaux tels que le bouton «J'aime», intégré des fonctions de Facebook à leur site web, d'analyser le comportement des internautes.

Les plugins sociaux sont intégrés aux sites web grâce à de courts fragments. Ils déclenchent automatiquement une transmission de donnés vers le fournisseur concerné. Sur Facebook, par exemple, des données telles que l'adresse IP de l'internaute et l'adresse du site web visité sont transmises dès que l'internaute se rend sur le site, qu'il ait ou non appuyé sur le bouton «J'aime», qu'il se soit connecté ou non à Facebook ou qu'il dispose ou non d'un profil Facebook. Un cookie installé antérieurement est également transmis, pour autant qu'il existe.

Si l'internaute est connecté au réseau social pendant qu'il surfe, les données de tracking peuvent être directement mises en relation avec lui. S'il clique sur le bouton «J'aime», les informations transmises incluront aussi les contenus qu'il apprécie. Il est ainsi possible d'établir des profils d'utilisateurs détaillés, au moyen desquels de la publicité personnalisée peut être envoyée à l'utilisateur et à son cercle d'amis dans le réseau social.

Considérations relevant de la protection des données

Nombre des services de webtracking posent problème du point de vue de la protection des données. L'analyse du comportement de navigation permet d'établir des profils de la personnalité au sens de la loi fédérale sur la protection des données. Même le traitement de l'adresse IP d'un internaute relève de la loi fédérale sur la protection des données, puisque cette adresse est par principe à qualifier de donnée personnelle.

Bien que l'enregistrement et l'analyse à proprement parler des données sont dans la plupart des cas effectués en toute discrétion par le fournisseur de services de webtracking, l'exploitant du site web est tout aussi responsable. Il intègre en effet le code du fournisseur de services de webtracking à son site web et favorise ainsi, à l'insu de l'internaute, la transmission de données, l'installation de cookies et la collecte de données au profit du fournisseur de services de webtracking.

Les visiteurs d'un site web doivent être informés en toute transparence du fait que leurs données personnelles sont collectées, du but du traitement des données et de l'analyse des données. S'ils ne le sont pas, il y a infraction aux principes qui veulent que le traitement des données soit reconnaissable et affecté à un usage déterminé.

Si des données personnelles sont collectées par voie de webtracking, leur traitement doit être approuvé par l'internaute concerné. S'agissant des données personnelles ordinaires, dont fait normalement partie l'adresse IP, l'approbation peut se déduire du comportement de la personne concernée. Mais il faut dans ce cas aussi que l'internaute consente de son plein gré et sur la base d'informations appropriées à la collecte de ses données personnelles. Or, on ne saurait parler de consentement volontaire quand les instruments de webtracking se mettent à collecter les données personnelles d'un internaute dès que celui-ci se rend sur un site web. Le traitement de données personnelles ou de profils personnels particulièrement dignes de protection requiert des exigences plus strictes. L'internaute doit expressément confirmer qu'il a été informé et qu'il approuve le webtracking, par exemple par un clic de souris.

En l'absence de frontières nationales pour les sites web de prestataires de services suisses, nous aimerions attirer votre attention sur quelques points. Pour commencer, il faut, lors de l'utilisation de cookies à des fins de webtracking, tenir compte des prescriptions de la directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Pour de plus amples informations, nous vous renvoyons à notre site web. Au vu de la révision de la loi fédérale sur la protection des données et des recommandations du Conseil de l'Europe en matière d'établissement de profils, il est en outre avantageux d'assurer plus de transparence s'agissant du traitement de données personnelles. 

Obligations de l'exploitant du site web

L'exploitant du site web doit en premier lieu informer en toute transparence les internautes du fait qu'il utilise des outils de webtracking sur son site. Cette information peut par exemple se faire au moyen d'une déclaration de protection des données. L'exploitant doit aussi informer le visiteur des possibilités qui s'offrent à lui de s'opposer au tracking.

Une déclaration de protection des données transparente ne suffit cependant pas quand des données personnelles ou des profils de la personnalité particulièrement dignes de protection sont collectés dans le cadre du webtracking. Dans ce cas, il faut demander expressément au visiteur du site web s'il approuve le webtracking.

Si l'exploitant du site web veut intégrer des plugins sociaux à son site, il est indiqué qu'il propose soit la solution dite «à deux clics» soit son développement «Shariff», qui fonctionne comme suit: les plugins sociaux sont, dans un premier temps, désactivés; l'utilisateur du site peut les activer en cliquant sur l'icône, puis partager la page avec d'autres utilisateurs. Il accepte ainsi qu'une liaison soit établie entre le réseau social concerné et son ordinateur (pour en savoir davantage, voir http://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html et http://www.heise.de/newsticker/meldung/c-t-entwickelt-datenschutzfreundliche-Social-Media-Buttons-weiter-2466687.html [en allemand]).

Ce que les utilisateurs peuvent faire contre le webtracking

Il est recommandé de supprimer après chaque session les cookies enregistrés et l'historique de navigation ou de configurer le navigateur de telle manière qu'il procède automatiquement à cette opération après avoir été fermé. L'utilisateur a de plus la possibilité d'empêcher l'enregistrement de cookies tierce partie dans son navigateur. Cette stratégie n'est cependant d'aucune utilité face aux «flash cookies», qui sont enregistrés sur l'ordinateur même et non dans le navigateur. Ces cookies doivent être désactivés dans l'outil de gestion des réglages de Flash Player, qui se trouve dans le panneau de configuration.

L'installation de petits paquets de logiciels («add-ons») dans le navigateur permet à l'utilisateur d'observer quels services de webtracking suivent ses mouvements sur la toile. En fonction du produit utilisé, il est possible de les bloquer de manière spécifique dans les réglages.

De nombreux navigateurs sont aujourd'hui munis d'une fonction «Do not track», qui peut être réglée dans le navigateur et permet de signaler que l'on ne souhaite pas être soumis à un webtracking. L'utilisateur n'est cependant pas en mesure de voir directement si l'autre partie s'y tient. Du point de vue de la protection des données, le non-respect d'une telle déclaration d'opposition constitue une atteinte illicite à la personnalité. 

Etat: août 2013

Informations complémentaires

Comment se protéger contre le webtracking (ULD, 10.11.2011) [en allemand uniquement]
Shariff: Social-Media-Buttons mit Datenschutz (c't magazin, 27.11.2014) [en allemand uniquement]
Analyse anonyme des flux de visiteurs [en allemand uniquement]

 

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/Internet_und_Computer/webtracking/explications-concernant-le-webtracking.html