Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  30.08.2019      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Opt-Out Gravity - (WebChoices) - interdire aux membres de l'alliance ADAA (DAA Australie) le profilage (profiling - collecte de mes données de comportement sur le WEB en vue de l'établissement de mes divers profils pour diverses manoeuvres contre moi dont le marketing comportemental.

L'« Opt-Out » ne se réduit pas à la gestion des cookies !

En informatique, sur le WEB, « Opt-Out » est un terme générique recouvrant diverses méthodes données aux internautes pour sortir de quelque chose dans lequel il se trouve sans l'avoir autorisé de manière éclairée.

On ne cherche pas à sortir d'un dispositif satisfaisant. On cherche à sortir d'un dispositif perçu comme hostile ou attentatoire à son expérience de l'Internet, à ses libertés ou à sa vie privée.

Un « Opt-Out » cherche à mettre un terme à un « Opt-In », parfois implicite, voire sournois (à l'insu de l'internaute ou sans son consentement éclairé), mais pas toujours. L'internaute a parfaitement pu faire un « Opt-In » (une inscription - cocher une case...) volontairement, par exemple :

  • Pour s'abonner à une ou plusieurs mailing-liste(s).

  • Pour s'abonner à une lettre circulaire.

  • Pour s'abonner à un suivi des messages sur un forum de discussion.

  • Pour s'abonner aux nouveautés (news) d'un site.

  • Pour s'abonner aux news et actualités d'un organe de presse.

  • Pour être informé des promotions d'un e-commerce.

  • Pour accepter l'installation, en livraison liée (bundle), d'un logiciel en version d'évaluation (incomplète), lors de l'installation d'une application. Depuis il ne cesse d'être relancé pour acheter la version complète (lire : Téléchargeurs piégés - Installeurs piégés - Attention aux livraisons liées (bundle)).

  • Etc.

Toutes ces choses l'énervent ou remplissent ses boîtes de courriels. Il veut en sortir, faire un « Opt-Out ». La totalité des internautes du monde est concernée.

RGPD - (Règlement Général sur la Protection des Données)

Rappel : le « RGPD - Règlement Général sur la Protection des Données », imposé par le Conseil de l'Europe à tous les sites WEB du monde sur lesquels un résident européen peut aller, est entré en vigueur le 25 mai 2018. Il rend obligatoire l'Opt-In et, par défaut, c'est l'Opt-Out qui est sous-entendu. L'internaute doit donner expressément son consentement éclairé à être traqué (victime de tracking - traçage numérique) sinon c'est interdit. Dans la pratique, c'est l'inverse qui est mis en place : vous êtes traqué et vous devez demander à en sortir, par un Opt-Out, procédure normalement réservée aux anciens internautes déjà traqués avant le 25 mai 2018. Dans le texte, le RGPD s'applique à tous les traitements de données à caractère personnel, pas seulement aux traitements numériques.

L'Opt-In obligatoire en France depuis le 11 mars 2015

Rappel : le 11 mars 2015, le Conseil d'État (la plus haute juridiction administrative française) avait déjà rendu l'« Opt-In » obligatoire en France. Nous (Assiste.com) nous en étions fait l'écho immédiatement, ici et dans de nombreux forums de discussion, sans aucun impact et, malheureusement, rien ne s'est passé.

L'affaire complète : Le Conseil d'État se prononce pour l'Opt-In contre l'Opt-Out.


Exemple de cookie d'Opt-Out et son contenu :


Exemple de cookie d'Opt-Out
Exemple de cookie d'Opt-Out

Poseurs de cookies de tracking et Opt-Out cookies de tracking possibles chez certains d'entre eux (liste des alliances et autres)

Listes d'opérateurs, dans différents domaines d'activités, offrant gratuitement des services aux webmasters. Ces derniers vont s'empresser d'utiliser ces services, jetant par la même occasion tous leurs visiteurs dans les rets de ces traqueurs.

Liste de services d'Opt-Out : il est possible de sortir (Opt-Out) de la surveillance exercée par certaines régies publicitaires (pas toutes).


Voir le Tableau de synthèse des Opt-Out des cookies de tracking




La NAI (Network Advertising Initiative - Initiative de publicité en réseau) est un groupe d'intérêts professionnels américain du secteur de la publicité numérique dont la création est officiellement annoncée lors de l'atelier public sur le profilage en ligne organisé par la FTC (Federal Trade Commission - Commission fédérale du commerce) et le DOC (Department of commerce - Ministère du commerce) le 8 novembre 1999.

On dénombre au moins 2000 régies publicitaires. Il va, dans la foulée, se créer d'autres groupes d'intérêts que l'on appelle des « Alliances » (sous-entendu «  Alliances professionnelles des traqueurs et profileurs »), les NAI, DAA, EDAA, ADAA, DAAC et DDAI. Les intérêts sont identiques :

  • Avoir le maximum d'annonceurs publicitaires dans leurs rangs.

  • Avoir le maximum de supports publicitaires en clientèle (médias sites Web et bien d'autres supports dont tous les DOOH et la publicité par courriel).

  • Donner l'impression de respecter et protéger la vie privée des cibles (les personnes physiques) tout en les traquant et profilant à qui mieux mieux afin de les bombarder de publicités « dans leurs intérêts ». C'est le développement, par chaque alliance, d'une solution dite de Plate-forme de Gestion du Consentement - CMP.

On n'oubliera toutefois pas que :

En 1999, la FTC, élaborant des normes d'autoréglementation en matière de publicité en ligne, demande aux régies publicitaires dans le monde numérique de s'organiser et s'autoréguler.

Sont particulièrement mis en doute comme risquant de se retourner contre les régies elles-mêmes et contre l'économie numérique, les publicités ciblées (publicités comportementales) et ses atteintes à la vie privée des utilisateurs.

Des régies publicitaires se regroupent :

  1. 24/7 Media
  2. AdForce
  3. AdKnowledge
  4. Adsmart
  5. DoubleClick (racheté par Google)
  6. Engage
  7. Flycast
  8. MatchLogic
  9. NetGravity (une division de Doubleclic)
  10. Real Media

Elles fondent la NAI. Elles cherchent à faire preuve de bonnes intentions face à la montée en tension des internautes et l'explosion des outils de blocage pur et simple de la publicité, afin de sauver leur métier. Il faut préserver la valeur de la publicité en ligne tout en protégeant la vie privée des consommateurs.

Elles élaborent un ensemble de principes, négociés avec la FTC et avalisés par celle-ci. Ces principes sont publiés en juillet 2000.

En mai 2001, la NAI développe un outil d'Opt-Out unique, d'une simplicité enfantine pour l'internaute qui peut, en une fois, rejeter tout le tracking (espionnage) des régies membres de la NAI. Le principe repose sur l'effacement des cookies de chaque membre de la NAI et le dépôt d'un cookie spécial, par membre de la NAI, pour se souvenir que cet utilisateur a demandé l'Opt-Out (ce dernier cookie, lui, ne doit pas être effacé, sinon l'Opt-Out tombe à l'eau).

Une autre organisation se créera, en 2009 : la DAA (Digital Advertising Alliance), avec un autre outil d'Opt-Out, de meilleure qualité. La NAI s'en rapprochera et adoptera cet outil devenu commun aux deux groupes professionnels, chaque alliance conservant ses membres.

Voir notre tableau de synthèse des Opt-Out des cookies de tracking et, pour chacune des 6 alliances (DAA, NAI, EDAA, ADAA, DAAC et DDAI), regroupant près de 2000 régies publicitaires, à quelle alliance chaque régie appartient et que fait l'outil d'Opt-Out de cette alliance.

Contrairement à la DAA dont la croissance (le nombre de membres) est constante, la taille de la NAI a beaucoup fluctué au fil du temps. Elle a quasiment disparu durant plusieurs années et a été critiquée pour son inefficacité à promouvoir/défendre la vie privée (comme tous les autres mécanismes d'Opt-Out ou de blocage du tracking et du profilage en ligne) – se souvenir que lorsque Ghostery a été racheté par Evidon Better Advertising, nous (Assiste.com) avons immédiatement mis en garde contre Evidon qui nous paraissait plus une société de promotion de la publicité numérique et du profilage en ligne (tracking) qu'une société de protection des internautes (ce qui s'est passé par la suite a complètement vérifié/validé nos prémonitions – voir l'article Evidon Better Advertising).

En 2002, la NAI a publié des directives sur l'utilisation des balises Web (balises pixel) – les Web-Bug et les petites images (dont tous les boutons des réseaux sociaux et autres) ou des morceaux de code actif (scripts) pour suivre les schémas comportementaux des internautes et installer des cookies sur les appareils des visiteurs, sans consentement si le tracking ne porte sur aucune donnée privée ou avec consentement préalable de l'utilisateur (Opt-In) lorsque des informations sensibles sont associées à des informations personnellement identifiables et sont transférées à un tiers.

Tous ces « boutons » et autres milliers de machins à cliquer (j'aime, +1, etc.) fleurissent partout, car ils servent de Web-Bug (ils servent à provoquer des requêtes HTTP dont les entêtes HTTP sont le cheval de Troie qui pénètre votre vie privée et la vole).


Bloquer totalement la publicité sur le Web - AntiSocial - Exemples de tags des réseaux sociaux
Exemple de Web-Bug (servent à provoquer des
requêtes HTTP dont les entêtes HTTP sont le
cheval de Troie dans votre vie privée).


En novembre 2002, la NAI forme la « Email Service Provider Coalition » (renommée depuis en « Email Sender and Provider Coalition » - ESPC) qui regroupe la plupart des plus importants Email Service Providers (ESPs). Affichant une volonté de lutte contre le spam, l'ESPC s'engage, au contraire, dans des activités de lobbying, de relations avec la presse et dans le développement de normes techniques afin de soutenir la « délivrabilité du courrier électronique » - en veillant à ce que le courrier électronique continue à être distribué en masse malgré la législation et les technologies antispam. Aujourd'hui, les deux organisations (NAI et ESPC) sont totalement indépendantes l'une de l'autre.

En réponse à un rapport de décembre 2007 du personnel de la FTC (« Principes d'autoréglementation de la publicité comportementale en ligne »), la NAI a publié un ensemble de principes mis à jour, en décembre 2008, après avoir publié un projet en avril, aux fins de commentaires publics. Les nouveaux principes ont incorporé de nouvelles restrictions à la collecte et à l'utilisation de données sensibles et de données relatives aux enfants.

En 2009, la NAI a lancé une page d'éducation des consommateurs, qui fournit un emplacement centralisé pour une variété d'articles d'information, de vidéos et d'autres contenus créatifs conçus pour sensibiliser les utilisateurs à la publicité comportementale en ligne (« marketing comportemental »).

En 2010, la NAI a rejoint la DAA (Digital Advertising Alliance), organisation à but non lucratif regroupant des entreprises et des associations professionnelles de premier plan, notamment l'Association des Annonceurs Nationaux (ANA), l'Association Américaine des Agences de publicité (4As), la Direct Marketing Association (DMA), l'Interactive Advertising Bureau (IAB), l'American Advertising Federation (AAF). Ces associations et leurs membres se consacrent au développement de solutions d'autorégulation efficaces pour le choix du consommateur en matière de visualisation de données sur le Web.

En 2012, la NAI a publié son troisième rapport de conformité, qui montrait que, dans l'ensemble, les sociétés membres de la NAI continuaient de respecter les obligations du code NAI.

L'adhésion des régies publicitaires à l'alliance NAI a beaucoup fluctué :

  • 12 membres en 2000.
  • 2 membres en 2002-2003.
  • 5 membres en 2007.
  • 100 membres en juillet 2017.
  • 103 membres lors de la mise à jour de notre tableau comparatif DAANAI, en septembre 2018.
  • 101 membres en août 2019.
  • 77 membres en octobre 2024.




L'outil d'Opt-Out de la NAI, décrit ci-après, a été considéré comme le moins mauvais de ce type d'outils et, désormais (dernière vérification an avril 2020), il est utilisé par toutes les alliances professionnelles de régies publicitaires, dont :

Le mode de fonctionnement décrit ci-après a été mis à jour le 31.10.2012 et vérifié le 04.02.2013 : L'outil NAI est toujours (2020) annoncé comme étant en version « bêta » (pré version d'un logiciel, instable, en phase de test - versions alpha, bêta, RC d'un logiciel). Il peut donc changer dans le futur (je pense surtout que c'est une protection juridique du genre : si ça ne marche pas, on vous avait prévenus, ne venez pas porter plainte, vous serez déboutés !).

L'outil scannait, initialement, les cookies des membres de la DAA (Digital Advertising Alliance) ou de la NAI (Network Advertising Initiative). Depuis, la quasi totalité des alliances de professionnelles de la publicité numérique (il en existe 33 en août 2019) a adopté l'outil d'Opt-Out de la NAI et soumet sa propre liste de membres à cet outil.

Opt-Out et usage de plusieurs navigateurs WEB

Si vous utilisez plusieurs navigateurs WEB, ceci doit être refait dans chacun de vos navigateurs.

L'outil affiche, par alliance qui lui est soumise :

  1. Étape 1 - Vérification des conditions requises


    Opt-Out - Service DAA - Phase 1 - L'outil vérifie les conditions pour qu'il puise fonctionner
    L'outil vérifie les conditions pour qu'il puise fonctionner

  2. Étape 2 - Affichage de la liste des membres de l'alliance

    1. La liste de tous les adhérents à l'alliance choisie s'affiche (DAA, NAI, etc.)

  3. Étape 3 - Affichage de l'état actuel des cookies pour chaque membre


    Opt-Out - Service DAA - Phase 2 - L'outil de la DAA analyse l'état de chacun de ses membres dans votre navigateur (Bloqué par un Opt-Out positionné, Cookie de tracking actif, Absent car vous n'avez jamais rencontré ce traqueur)
    Phase 2 - L'outil analyse l'état de chacun des membres de l'alliance dont votre navigateur a gardé une trace

    Les cookies actuellement présents sont signalés. Bien entendu, il faut que la régie publicitaire membre de l'alliance ait déjà affiché une publicité dans votre navigateur (il faut que vous ayez déjà rencontré cette régie), sinon votre navigateur ne l'a connait pas et il n'y a aucun cookie pour elle.
    Les cookies spéciaux d'Opt-Out déjà installés sont signalés.

    Dans quel état sont, par régie publicitaire, les cookies

    • Le tracking est bloqué par la présence d'un cookie d'Opt-Out

    • Cookies de tracking actif pour la régie publicitaire (elle vous a déjà affiché de la publicité et vous surveille)

    • Absent car vous n'avez jamais rencontré cette régie (ce traqueur)

  4. Étape 4

    Après analyse de votre navigateur, une zone s'affiche au milieu de la page de l'outil, avec trois onglets, et un conseil en anglais, semi-transparent, s'incruste par dessus.

    Opt-Out - Service DAA - Phase 3 - Résultats de l'analyse et conseils.
    Opt-Out - Service DAA ou NAI - Phase 3 - Résultats de l'analyse et conseils.
  5. Étape 5 - Tout cocher

    • Fermez les conseils.

    • Cliquez sur l'onglet de gauche « All Participating Compagnies ».

    • La zone affiche alors la liste complète des sociétés de marketing participant à l'alliance utilisée. À droite de cette liste, pour chaque société :

      • Un tiret indique que l'Opt-Out est déjà positionné

      • Une case à cocher indique que l'Opt-Out reste à faire.

    • Juste au-dessus de la liste des cases à cocher, une case est libellée « Select All Shown » (« Sélectionner tout ce qui est montré »). Cocher cette case. Toutes les cases de la liste deviennent cochées.

    Opt-Out - Service DAAI - Stopper le tracking et bloquer les cookies de tracking
    Opt-Out - Service DAA ou NAI - Phase 4 - Stopper le tracking et bloquer les cookies de tracking

    Aller en bas de la zone et cliquer sur le bouton "Submit your choices". L'Outil va demander à chaque régie publicitaire de placer un cookie spécial bloquant le tracking. Notez bien que ce n'est pas l'outil d'Opt-Out qui fait le job mais chaque régie publicitaire, une à une, chacune ayant son mécanisme de gestion des cookies. La prochaine fois que la régie sera présente dans un site WEB que vous visitez, elle commencera par chercher si son cookie de blocage de votre profilage et de la publicité comportementale est présent.

    • Si « non », vous recevrez de la publicité ciblée

    • Si « oui », vous recevrez de la publicité non ciblée

    Il y a encore quelques problèmes avec cet outil. On peut voir, sur la capture d'écran ci-dessus, qu'il y aurait 114 sociétés membres de l'alliance DAA dont 110 sont déjà bloquées et 2 restent à bloquer.

    • Il en manque 2 sur les 4 (car, jusqu'à plus ample informé, 114 - 110 = 4).

    • Les 2 reconnues comme restant à bloquer n'arrivent pas à être bloquées.

  6. Étape 6 - Réactiver les outils de protection

    Réactiver les modules additionnels AdBlock Plus, Privacy Badger et Ghostery et tout ce qui a été désactivé à l'étape 1.

  7. Étape 7 - Vérifier si l'Opt-Out est bien exécuté.

    Voir le tableau de synthèse Qui est dans quelle alliance (Tableau de juxtaposition des services d'Opt-Out). Par exemple, Yahoo! est membre de la NAI.

    Allez sur la page https://aim.yahoo.com/aim/ie/fr/optout/index.htm

    Vérifiez que vous obtenez des résultats identiques à ceux-là :

    Opt-Out de la NAI - Vérification - Yahoo!
    Opt-Out de la NAI - Vérification - Yahoo!




L'« Opt-Out » permet de sortir du piège de la surveillance et l'espionnage, pour autant que l'internaute ait connaissance de l'existence du piège et qu'ensuite il ait connaissance de l'existance de l' « Opt-Out », autrement dit, personne ! Et encore, certains trackers sont totalement hostiles à l'idée de perdre la capacité d'espionner et profiler les internautes.

Le principe inverse existe : c'est l'« Opt-In ». Mais il reste à l'état de principe : juste une construction intellectuelle jamais mise en oeuvre. Vous pensez bien... comment demander aux internautes, de manière préalable et éclairée, l'autorisation de les espionner ! Personne ne donnerait jamais cette autorisation !

Pourtant, l'internaute devrait bénéficier d'une information préalable, éclairée, explicite, sur ce que sa vie privée subit. Il devrait pouvoir choisir, volontairement et préalablement, d'être ou de ne pas être espionné dans ses moindres faits et gestes sur le Web. La protection de la vie privée est un droit constitutionnel, répété dans de nombreux autres textes.

Mais non ! Il faut déployer des trésors d'ingéniosités pour juste tenter d'en perturber un peu les effets.

« Opt-Out » s'applique essentiellement aux dispositifs d'espionnage silencieux des internautes, dans ce que l'on appelle le « Web gris » et, plus particulièrement aux « Cookies de Tracking » et aux entêtes des requêtes HTTP (Les requêtes HTTP sont le cheval de Troie de la surveillance et l'espionnage sur le Web).

Vous donner la possibilité de faire un « Opt-Out » est une obligation imposée par la loi aux pratiquants du « tracking » sur le Web. Ces obligations sont créées par les lois qui ont commencé à se mettre en place en 2011/2012 dans divers pays, dont tous ceux de l'Union Européenne, au travers de leurs CNIL respectives.

Pourtant, le Conseil d'Etat, la plus haute juridiction française, s'est prononcé pour l'« Opt-In » contre l' « Opt-Out » dans une affaire, mais aucune conséquence n'en a été tirée. Lire : Le Conseil d'État se prononce pour l'Opt-in contre l'Opt-out.




Dans le domaine particulier du « tracking » (espionnage et surveillance des goûts, habitudes, faits et gestes de l'internaute), l' « Opt-Out » (« Opter pour sortir de... » - « Choisir de sortir de... ») est un dispositif permettant à l'internaute de dire « Non - Halte là ! » au « tracking » (l'une des formes d'espionnage sur l'Internet).

Il y a deux méthodes :

  1. Filtres actifs bloquant les communications des scripts entre votre navigateur et les serveurs d'une liste de sociétés pratiquant le tracking. Typiquement, c'est l'outil Ghostery (de manière colatérale, les outils Adblock Plus et NoScript le font également, mais ce n'est pas leur cible). Ghostery est extrêmement répandu, car il est très bien fait, trop peut-être, car c'est du code qui s'éxécute dans le navigateur et nos réglages et décisions sont traitées dans un Cloud, et non pas localement.

  2. Dépôt de cookies passif d'Opt-Out. Typiquement, ce sont les outils Opt-Out de la DAA et Opt-Out de la NAI. Ce comportement, qui semble archaïque dans le principe de l'Opt-Out du tracking, consiste à déposer un cookie spécial, de blocage, passif, par société de tracking. Ce cookie, d'une validité de 10 ans, contient une information disant aux trackers de ne pas espionner l'internaute.

Exemple de cookie d'Opt-Out et son contenu :

Exemple de cookie d'Opt-Out
Exemple de cookie d'Opt-Out

Ghostery est beaucoup plus fiable et universel (il permet de bloquer le tracking de toutes les sociétés de tracking, quel que soit leur métier) que les cookies passifs des alliances professionnelles de régies publicitaires uniquement (tableau de synthèse des Opt-Out des alliances - qui fait quoi).




Opt-Out Gravity