Le 27 mars dernier, la Maison Blanche a lancé une nouvelle application mobile officielle, téléchargeable sur les stores habituels. Selon l’institution, cette application est faite pour “permettre aux américains de joindre directement la Maison Blanche et de recevoir des informations en temps réel, sans filtre, directement à la source.”
Si on peut penser qu’elle est censée ne s’adresser qu’aux américains, elle peut aussi séduire des organisations ou des personnes soucieuses d’être au fait des communications de la Maison Blanche en temps réel. Toutefois, en termes de respect de la vie privée, ce serait une grosse erreur que de la télécharger. Décryptage.
Des pratiques de collecte de données et de contournement du consentement identifiées sur l’application
Un designer, développeur et ex rétro-ingénieur se faisant connaître sous le pseudonyme de Thereallo, s'est intéressé au fonctionnement de l’application.
Selon lui, et code à l’appui, l’application intègre un Web Viewer permettant d’ouvrir des liens externes. Il y est injecté un code faisant disparaître les bannières de cookies sans prendre en compte le choix de l’utilisateur. Les concepteurs y ont intégré une forme de contournement du RGPD, qui pourtant n’est pas un sujet sur le territoire de l’Oncle Sam.
©blog.thereallo.dev - page d’origine ici
Cette app serait-elle en définitive un adblocker ? Loin s’en faut. En effet, lorsque l’app est active, la géolocalisation précise est collectée toutes les 4 minutes et 30 secondes. Même lorsqu'elle est fermée, celle-ci collecte toujours en tâche de fond la position GPS, toutes les 9 minutes. Ceci sans oublier la transmission de votre adresse mail à des entités privées accompagné d’un profilage, le tout bien évidemment sans consentement, que vous soyez aux USA ou en Europe.
Le rôle central du consentement dans la protection des utilisateurs
Ces pratiques démontrent tout l’intérêt d’une bannière de cookies sur un site ou dans une application mobile, car c’est elle qui informe l'utilisateur, sollicite son consentement et déclenche en principe la collecte et le traitement des données.
Le projet de règlement Digital Omnibus étudié par l'Union européenne suggère de réduire la fatigue du consentement en centralisant les choix de l’utilisateur au niveau du navigateur. S'il était voté en l'état, le texte précipiterait alors les Européens dans un piège similaire à ce cas d’étude.” — Romain Bessuges-Meusy, CEO d’Axeptio.
Soyons clair : la consent fatigue existe bel et bien, et plusieurs approches permettent aujourd’hui d’y répondre, notamment via la personnalisation de la CMP, l’interopérabilité des solutions de consentement ou l’émergence d’outils d’assistance au consentement.
Cependant, en l’état, le Digital Omnibus n’aborde avec précision que le cas des navigateurs web, tout en restant extrêmement flou quant aux OS mobiles et aux applications.
Rappelons également qu’un web viewer comme celui présent dans l’app de la Maison Blanche ne serait absolument pas concerné par cette proposition de loi.
Dans ce contexte, la centralisation du consentement au niveau du navigateur (comme Google Chrome, Microsoft Edge, Safari d’Apple) soulève plusieurs problèmes, notamment la capacité à garantir un recueil effectif et éclairé dans tous les environnements.
Pour aller plus loin : défendre la neutralité, la pluralité et l’interopérabilité du web
Chez Axeptio, se contenter d’identifier les difficultés ne nous satisfait pas. Nous préférons faire preuve de résilience et construire avec ce qui est proposé. Et nous restons convaincus que cela passe par la neutralité et la pluralité du Net.” — Romain Bessuges-Meusy
Les mécanismes de gestion du consentement ne disparaissent pas avec les bannières. Leur centralisation au niveau d’une poignée d’acteurs menace en revanche l’équilibre et la pluralité de l’écosystème.
Ôtez les bannières de cookies, vous n’ôterez pas les mécanismes de gestion sous-jacents, et ceux-ci sont nécessaires. Mais s’ils deviennent uniformes, maîtrisés et dominés par une poignée d’acteurs qui se comptent sur les doigts de la main, et qui de surcroît ne sont pas européens, alors nous ne sommes plus dans la pluralité.” — Pascal Vautrin, Privacy Standards Expert
Dans ce contexte, un nouveau standard émerge, navigator.consent, qui propose une approche alternative fondée sur l’interopérabilité.
Le navigator.consent est un outil qui:
- fait visuellement disparaître les bannières de cookies sans retirer leur rôle d’arbitrage du bon traitement du consentement et de la donnée
- permet d’exercer un choix granulaire, grâce aux assistants de consentement existants, comme Consenter ou Taste,
- promeut la pluralité du marché, et par voie de conséquence sa neutralité,
- évite tous les risques engendrés par un monopole pour les utilisateurs comme pour le marché.
Cette proposition résiliente permet non seulement de répondre aux besoins d’Omnibus, mais va bien au-delà. Certes, ce concept n’est pour le moment applicable qu’aux environnements web et non aux apps, mais ce n’est qu’un début ! Nous estimons qu’il est de notre devoir de réagir tout en restant constructifs et proactifs. Si nous ne le faisons pas, alors Code is law cédera silencieusement sa place à Might is right.” — Romain Bessuges-Meusy
