Michaël Poutré est étudiant dans le cadre du cours DRT6903.

De plus en plus de gens connaissent les fichiers témoins, communément appelés cookies, laissés sur notre ordinateur par certains sites web lorsque l’on navigue sur Internet. Si ces fichiers en ont inquiété plus d’un par rapport à leur vie privée, il semble que l’on devrait encore plus craindre les supercookies. Ce genre de fichier n’est pas complètement nouveau et on en parle déjà depuis quelques mois. Toutefois, l’inquiétude par rapport à ceux-ci a visiblement atteint le Législateur américain cette semaine.

En effet, les représentants Ed Markey et Joe Barton, coprésidents d’un groupe parlementaire sur la vie privée, ont écrit une lettre à la Federal Trade Commission plus tôt cette semaine pour manifester leur inquiétude par rapport à ces supercookies. Les représentants réfèrent à un article du Wall Street Journal paru en août dernier dans lequel on rapporte que des chercheurs ont découvert que certains grands du web tels que Msn.com et Hulu.com utilisaient la technologie dite des supercookies pour retracer des informations sur leurs utilisateurs. Qu’est-ce qui est donc si inquiétant avec ces fichiers ? En fait, contrairement aux cookies ordinaires, les supercookies « are stored in different locations on a user’s machine, for example, in a file used by a plug-in (Flash is the most common). This makes them harder to find and delete, especially since a browser’s built-in cookie detection process won’t remove them either. Furthermore, some supercookies have additional capabilities, like regenerating regular cookies to prevent their removal by the user », indique Christian Olsen . En d’autres termes, ces fichiers annihilent toute possibilité de consentement, et sont installés à l’insu de l’utilisateur. Il n’y a donc plus de opt-out possible, encore moins de opt-in.

Alors que l’utilisation des supercookies est légale aux États-Unis – d’où l’intérêt du Législateur d’examiner la question–, les compagnies « prises en défaut » n’ont toutefois pas manqué d’afficher un malaise évident et une intention de prendre en charge la question. Notons aussi que, sans vouloir commenter la lettre des deux représentants, le Interactive Advertising Bureau – une organisation représentant les acteurs de la publicité en ligne et développant des normes et standards sur la question –, a fait parvenir à ses membres un bulletin spécial leur rappelant le devoir de se conformer à leur code de conduite.

Les cookies et, a fortiori, les supercookies soulèvent plusieurs enjeux juridiques. D’une part, ils peuvent transmettre des éléments relatifs aux habitudes de navigation des utilisateurs ce qui, selon le Commissariat à la protection de la vie privée du Canada est une pratique « acceptable – à condition que vous y consentiez et qu’elle n’ait pas lieu à votre insu. » Or, et c’est là le problème avec les supercookies, le consentement n’est que rarement, voire jamais présent. De plus, il serait difficile d’invoquer un consentement implicite, le fichier étant installé à l’insu de l’utilisateur. Finalement, ajoutons que le opt-out demeure presque impossible, car même un internaute expérimenté aura de la difficulté à retirer les supercookies de sa machine.

D’autre part, au-delà de la vie privée, l’utilisation de cookies par un site web implique l’installation de fichiers sur des biens qui ne nous appartiennent pas, soient les ordinateurs des utilisateurs. Au Canada, une loi toute fraîche vient encadre notamment ce genre de pratique, surnommée la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil. L’article 8 interdit l’installation d’un programme dans l’ordinateur d’une autre personne sans son consentement dans le cadre d’une activité commerciale. Fait intéressant, la personne est réputée consentir expressément à l’installation du programme lorsque qu’il s’agit (entre autres) d’un témoin de connexion (cookie dans la version anglaise) et que le comportement de la personne laisse raisonnablement croire à un tel consentement (article 10(8)a) et b)). Une telle exception se comprend aisément : les cookies sont souvent utilisés dans l’intérêt de l’internaute, par exemple pour retenir sa préférence linguistique dans le cas d’un site multilingue. Or, est-ce que les supercookies sont des cookies au sens de la loi ? Ashkan Soltani explique à Arstechnica que le supercookie « doesn’t have a precise definition. Rather, it’s "more of a marketing term" for cookie-like strategies for tracking users across browser sessions. ». Il semble donc y avoir une certaine confusion terminologique potentielle.

C’est pourquoi nous croyons que les tribunaux devront adopter une approche téléologique lorsqu’ils seront appelés à interpréter le terme cookie selon la loi. Ils devront garder en tête la rationalité derrière l’article 10(8), laquelle est vraisemblablement d’éviter les demandes de consentement à répétition lorsque l’on veut simplement faciliter la navigation de l’internaute… et non pas faciliter la collecte de données personnelles.