Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Opt-Out (Choix de sortir d'un mécanisme discutable)

Opt-Out - Choix donné à l'internaute de sortir d'un mécanisme dans lequel il se trouve, généralement à son insu. Si ce choix est demandé, c'est que le mécanisme est discutable (dont espionnage, etc.)

L'« Opt-Out » ne se réduit pas à la gestion des cookies !

En informatique, sur le WEB, « Opt-Out » est un terme générique recouvrant diverses méthodes données aux internautes pour sortir de quelque chose dans lequel il se trouve sans l'avoir autorisé de manière éclairée.

On ne cherche pas à sortir d'un dispositif satisfaisant. On cherche à sortir d'un dispositif perçu comme hostile ou attentatoire à son expérience de l'Internet, à ses libertés ou à sa vie privée.

Un « Opt-Out » cherche à mettre un terme à un « Opt-In », parfois implicite, voire sournois (à l'insu de l'internaute ou sans son consentement éclairé), mais pas toujours. L'internaute a parfaitement put faire un « Opt-In » (une inscription - cocher une case...) volontairement, par exemple :

  • pour s'abonner à une ou plusieurs mailing-liste(s)
  • pour s'abonner à une lettre circulaire
  • pour s'abonner à un suivi des messages sur un forum de discussion
  • pour s'abonner aux nouveautés (news) d'un site
  • pour s'abonner aux news et actualités d'un organe de presse
  • pour être informé des promotions d'un e-commerce
  • pour accepter l'installation, en livraison liée (bundle), d'un logiciel en version d'évaluation (incomplète), lors de l'installation d'une application. Depuis il ne cesse d'être relancé pour acheter la version complète (lire : Téléchargeurs piégés - Installeurs piégés - Attention aux livraisons liées (bundle))
  • Etc.

Toutes ces choses l'énervent ou remplissent ses boîtes de courriels. Il veut en sortir, faire un « Opt-Out ». La totalité des internautes du monde est concernée.

RGPD - (Règlement Général sur la Protection des Données)

Rappel : le « RGPD », imposé par le Conseil de l'Europe, est entré en vigueur le 25 mai 2018. Il rend obligatoire l'« Opt-In ».

L'Opt-In obligatoire en France depuis le 11 mars 2015

Rappel : le 11 mars 2015, le Conseil d'État (la plus haute juridiction administrative française) avait déjà rendu l'« Opt-In » obligatoire en France. Nous (Assiste.com) nous en étions fait l'écho immédiatement, ici et dans de nombreux forums de discussion, sans aucun écho et, malheureusement, rien ne s'est passé.

L'affaire complète : Le Conseil d'État se prononce pour l'Opt-In contre l'Opt-Out.

Opt-In et Opt-Out sont deux principes généraux et antagonistes qui sont souvent réduits, à tord, sur l'Internet, à l'Opt-In ou l'Opt-Out des cookies de tracking.

Au moment où vous vous inscrivez sur un site, un forum, un blog, une liste de diffusion, au moment où vous téléchargez quelque chose avec un téléchargeur piégé, au moment où vous installez un programme avec un installeur piégé, au moment où vous commandez un produit, etc., des options vous sont proposées auxquelles vous pouvez :

  1. Souscrire explicitement et volontairement (une case d'acceptation à cocher - c'est l'Opt-In - vous optez volontairement, et en étant parfaitement éclairé sur ce que vous faites, pour quelque chose)
  2. Refuser explicitement et volontairement (une case de refus à cocher - ce n'est pas un Opt-Out puisque vous ne pouvez sortir d'un mécanisme dans lequel vous n'êtes pas encore entré). Attention aux doubles négations qui veulent dire acceptation, du genre « Je ne veux pas ne pas être inscrit à ce bidule »).

Et puis, il y a tout ce que vous ne voyez pas, en particulier les régies publicitaires et autres sociétés d'espionnage (cet espionnage pudiquement appelé Tracking, terme que nous employons souvent à travers tout le site Assiste.com) présentes dans les pages Web que vous visitez. Elles ne vous ont pas demandé votre permission pour vous espionner et vous voudriez bien en sortir en l'exprimant par un Opt-Out. Elle vous espionnent à coups de cookies et, surtout, à coups de requêtes HTTP qui partent de votre ordinateur vers leurs serveurs, or :

Les « requêtes HTTP » sont le « cheval de Troie »
de la « charge utile » que sont les « entêtes HTTP »

Les « requêtes HTTP » sont le « cheval de Troie » de la « charge utile » que sont les « entêtes HTTP »
Tout est bon pour provoquer des requêtes HTTP afin de permettre cet espionnage pudiquement appelé tracking, le truc qu'il faut bloquer/interdire.

Exemple de cookie d'Opt-Out et son contenu :

Exemple de cookie d'Opt-Out
Exemple de cookie d'Opt-Out

Opt-in actif - Opt-in passif - Opt-out actif - Opt-out passif

Entre les Opt-In et Opt-Out, il y a quatre cas de figure, présentés dans le tableau ci-dessous.

TypeExempleCommentaire
Opt-in actif

La case n'est pas pré-cochée.
Oui, j'accepte volontairement que mes données, dont mon adresse IP, mon adresse MAC, mon adresse e-mail, mes coordonnées, et le contenu de toutes les pages que je visite à travers l'Internet mondial (grâce à leurs URL), soient collectés, utilisés, recoupés, vendus, analysés conservés indéfiniment, par le site (vous-mêmes) et par chacun de vos partenaires (liste des partenaires : site de statistique 1, site de statistique 2, régie publicitaire 1, régie publicitaire 2, régie publicitaire 3, régie publicitaire 4, Facebook Connect, Facebook Social Plugins, Twitter Button, Google +1, ...) pour que chacun me profile et améliore ainsi les offres publicitaires dont je serais bombardé et améliore ses bénéfices sur mon dos en vendant mes profils à qui les demande.
Cette option est la plus respectueuse de l'internaute qui fait un choix volontaire et éclairé. Elle n'est, bien évidemment, jamais utilisée.
Opt-in Passif

La case est déjà pré-cochée pour entrer dans le piège.
Vos données seront collectées et utilisées anonymement, pour mieux vous connaître et améliorer notre service et celui de nos partenaire à votre égard. Vous bénéficierez de la réception régulière d'informations (recommandé).
Cette option éclaire vaguement l'internaute sur la fait qu'une option prétenduement "favorable" lui est offerte. C'est mensonger et l'internaute peut ne pas comprendre qu'il devrait choir de décocher cette case pour ne pas tomber dans ce piège. Il va être espionné, profilé et spammé.
Opt-out actif

Une case, non cochée, permet de sortir du piège (si on comprend qu'il s'agit d'un piège).
Par défaut, votre accord est acquis et vous bénéficiez de nos offres et services additionnels gratuitement. Cochez cette case si vous souhaitez perdre ce bénéfice.
Cette option oblige l'internaute à faire un geste explicite pour dire "Non" à quelque chose qui n'est pas clair mais laisse entendre qu'il ne faudrait pas le refuser. Non ! Je ne souhaite pas bénéficier de vos offres mirobolantes et de vos prédictions de mes futurs achats que vous avez établis en m'espionnant et en me profilant.
Opt-out passif

Pour sortir du piège, il faudra chercher comment, mais ce n'est pas là que cela se passe.
Félicitation. Vous bénéficiez de nos offres et services additionnels gratuitement. La publicité sur nos sites et ceux de nos partenaires sera adaptée à votre profil comportemental que nous aurons établis et vous serez bombardé de spam publicitaires sur votre adresse e-mail. En bas de page de ces e-mail, vous trouverez un lien à suivre pour vous désinscrire (mais nous vous conseillons de ne jamais vous désinscrire).
C'est le pire des scénarios. Et c'est celui qui est systématiquement utilisé !

Poseurs de cookies de tracking et Opt-Out chez certains d'entre eux

Listes d'opérateurs, dans différents domaines d'activités, offrant gratuitement des services aux webmasters. Ces derniers vont s'empresser d'utiliser ces services, jetant par la même occasion tous leurs visiteurs dans les rets de ces traqueurs.

Liste de services d'Opt-Out : il est possible de sortir (Opt-Out) de la surveillance exercée par certaines régies publicitaires (pas toutes).

Opt-Out - Cookie d'Opt-Out du tracking

Dans le domaine particulier du « tracking » (espionnage et surveillance des goûts, habitudes, faits et gestes de l'internaute), l' « Opt-Out » (« Opter pour sortir de... » - « Choisir de sortir de... ») est un dispositif permettant à l'internaute de dire « Non - Halte là ! » au « tracking » (l'une des formes d'espionnage sur l'Internet).

Il y a deux méthodes :

  1. Filtres actifs bloquant les communications des scripts entre votre navigateur et les serveurs d'une liste de sociétés pratiquant le tracking. Typiquement, c'est l'outil Ghostery (de manière colatérale, les outils Adblock Plus et NoScript le font également, mais ce n'est pas leur cible). Ghostery est extrêmement répandu, car il est très bien fait, trop peut-être, car c'est du code qui s'éxécute dans le navigateur et nos réglages et décisions sont traitées dans un cloud, et non pas localement.

  2. Dépôt de cookies passif d'Opt-Out. Typiquement, ce sont les outils Opt-Out de la DAA et Opt-Out de la NAI. Ce comportement, qui semble archaïque dans le principe de l'Opt-Out du tracking, consiste à déposer un cookie spécial, de blocage, passif, par société de tracking. Ce cookie, d'une validité de 10 ans, contient une information disant aux trackers de ne pas espionner l'internaute.
Exemple de cookie d'Opt-Out et son contenu :

Exemple de cookie d'Opt-Out
Exemple de cookie d'Opt-Out

Compte tenu du lent glissement de Ghostery (juin 2017) vers quelque chose de pas clair, les cookies passifs des DAA et NAI me paraissentt beaucoup plus sains.

Opt-Out - Cookie d'Opt-Out du tracking

L'« Opt-Out » permet de sortir du piège de la surveillance et l'espionnage, pour autant que l'internaute ait connaissance de l'existence du piège et qu'ensuite il ait connaissance de l'existance de l' « Opt-Out », autrement dit, personne ! Et encore, certains trackers sont totalement hostiles à l'idée de perdre la capacité d'espionner et profiler les internautes.

Le principe inverse existe : c'est l'« Opt-In ». Mais il reste à l'état de principe : juste une construction intellectuelle jamais mise en oeuvre. Vous pensez bien... comment demander aux internautes, de manière préalable et éclairée, l'autorisation de les espionner ! Personne ne donnerait jamais cette autorisation !

Pourtant, l'internaute devrait bénéficier d'une information préalable, éclairée, explicite, sur ce que sa vie privée subit. Il devrait pouvoir choisir, volontairement et préalablement, d'être ou de ne pas être espionné dans ses moindres faits et gestes sur le Web. La protection de la vie privée est un droit constitutionnel, répété dans de nombreux autres textes.

Mais non ! Il faut déployer des trésors d'ingéniosités pour juste tenter d'en perturber un peu les effets.

« Opt-Out » s'applique essentiellement aux dispositifs d'espionnage silencieux des internautes, dans ce que l'on appelle le « Web gris » et, plus particulièrement aux « Cookies de Tracking » et aux entêtes des requêtes HTTP (Les requêtes HTTP sont le cheval de Troie de la surveillance et l'espionnage sur le Web).

Vous donner la possibilité de faire un « Opt-Out » est une obligation imposée par la loi aux pratiquants du « tracking » sur le Web. Ces obligations sont créées par les lois qui ont commencé à se mettre en place en 2011/2012 dans divers pays, dont tous ceux de l'Union Européenne, au travers de leurs CNIL respectives.

Pourtant, le Conseil d'Etat, la plus haute juridiction française, s'est prononcé pour l'« Opt-In » contre l' « Opt-Out » dans une affaire, mais aucune conséquence n'en a été tirée. Lire : Le Conseil d'État se prononce pour l'Opt-in contre l'Opt-out.

Opt-Out - L'Opt-In aurait du être préféré à l'Opt-Out
Opt-Out - Opt-Out