À Paul Graham, il n’existe pas de loi sur les bannières de cookies
(amazingcto.com)À propos de l’inexistence d’une loi sur les bannières de cookies
- Paul Graham pensait que l’UE avait rendu les bannières de cookies obligatoires, mais en réalité, il n’existe aucune loi sur les bannières de cookies.
- L’UE affirme qu’un consentement est nécessaire pour le suivi, le profilage et la vente de données personnelles.
- Les entreprises peuvent éviter les bannières de cookies en ne faisant pas de suivi, ou en respectant l’en-tête
Do Not Trackdes utilisateurs qui ne souhaitent pas être suivis.
Méthodes alternatives pour le consentement aux cookies
- Les navigateurs pourraient fournir une icône de suivi, comme l’icône SSL, et offrir des informations sur lesquelles l’utilisateur peut cliquer pour donner son consentement.
- Il est possible de demander le consentement aux cookies avec une petite bannière en haut du site, ou avec un petit bouton en bas de page pour obtenir l’accord à un "soutien par le suivi".
L’usage des bannières de cookies par les entreprises
- Les entreprises savent que les utilisateurs ne veulent pas être suivis, mais elles veulent malgré tout effectuer ce suivi.
- Elles affichent donc de force des bannières de cookies occupant la moitié de la page, en espérant obtenir le consentement de l’utilisateur, et gênent l’utilisation du site en masquant le contenu.
- Elles utilisent des "Dark UI Patterns" pour pousser les utilisateurs, fatigués ou désorientés, à accepter.
La réalité des bannières de cookies
- L’UE n’a pas imposé les bannières de cookies, mais les entreprises rendent la vie des utilisateurs plus difficile.
- Comme elles ne peuvent plus maltraiter les utilisateurs en secret, elles ont choisi à la place de les exaspérer.
Avis sur la protection de la vie privée
- La réglementation de l’UE n’est pas toujours bonne, mais la confidentialité des données est importante, et l’auteur s’est battu pour PGP il y a 30 ans et continuera de le faire.
L’avis de GN⁺
- Les bannières de cookies peuvent nuire à l’expérience utilisateur et réduire l’accessibilité des sites web.
- Il est important de protéger la confidentialité des données des utilisateurs, mais l’approche adoptée pour y parvenir doit rester conviviale.
- Les développeurs web doivent chercher de meilleures façons d’obtenir le consentement des utilisateurs, ce qui peut contribuer à l’évolution des standards du web.
- Au lieu des bannières de cookies, il faut envisager une conception de site web qui respecte la vie privée des utilisateurs.
- Sur le plan technique, mettre en œuvre des mécanismes comme le respect de l’en-tête
Do Not Trackpeut représenter un nouveau défi pour les développeurs, tout en aidant à gagner la confiance des utilisateurs.
1 commentaires
Avis sur Hacker News
Il suffit d’imaginer un marché où des entreprises ajoutent en douce plein de frais cachés, et où les utilisateurs ne s’en rendent compte qu’après coup, avec agacement
Puis la loi change et dit en substance : « si les frais ne sont pas annoncés à l’avance, ils ne peuvent pas être facturés », ce qui amène les entreprises qui multiplient les frais à les conserver tels quels tout en forçant la lecture des frais de la manière la plus agaçante possible sur chaque page du menu
Ensuite, elles font comme si le problème n’était ni les frais excessifs, ni le fait qu’elles les cachaient auparavant avant d’y être contraintes par la loi, mais la loi elle-même, simplement parce qu’elle impose d’en informer les gens avant qu’il ne soit trop tard
Les bannières de cookies relèvent fondamentalement de la même logique, et parmi ceux qui critiquent aujourd’hui la loi sur les cookies, on trouve à la fois des gens qui se trompent délibérément par intérêt, et d’autres qui se trompent parce qu’ils ne comprennent pas vraiment la position qu’ils défendent
Cela en dit aussi long sur l’état de la relation entre entreprises et consommateurs, puisque la première réaction face à ce genre de mauvais comportement devient : « c’est toi qui les as forcés à faire ça ! »
Au final, tout le monde est blâmé sauf les mauvais acteurs eux-mêmes
Une analogie plus proche serait d’entrer dans un restaurant, de recevoir une feuille listant les allergènes de tous les plats, puis de devoir dire « j’accepte que ces ingrédients soient présents dans les plats » avant même d’être autorisé à s’asseoir
Je suis d’accord pour dire que le restaurant ne doit pas cacher ces informations, et qu’une minorité peut vouloir les connaître, mais c’est une autre question de savoir s’il faut imposer cette étape pénible à tout le monde. Dans la pratique antérieure, où les informations sur les allergènes étaient fournies sur demande, cela fonctionnait déjà bien
Les entreprises doivent informer sur les éléments dont tout le monde se soucie et qui pourraient choquer, mais il existe aussi beaucoup de choses qui n’intéressent qu’une minorité. Pourquoi s’arrêter aux cookies ? On pourrait aussi imposer une popup si l’infrastructure serveur du site vient de fabricants étrangers, une popup si les émissions carbone de l’entreprise exploitante dépassent la moyenne, ou une popup si la nourriture du food court du siège n’est pas casher
Le groupe qui se soucie profondément des cookies est à peu près de la même taille que celui qui se soucie de la taille des binaires ou de l’exécution de JavaScript. Faut-il aussi afficher une popup obligatoire pour l’exécution de JavaScript ? Si un site dépasse 10 MB, faut-il d’abord obtenir le consentement sur une page légère ? La vraie question est de savoir comment décider quels comportements méritent un avertissement en popup
Si le marché n’a pas résolu le problème des bannières de cookies, et si cette loi est mauvaise, c’est parce que les utilisateurs n’en ont en pratique rien à faire et que cela ne fait que les agacer
En Californie, il existe une loi qui impose d’avertir si un établissement contient des substances chimiques pouvant causer le cancer. L’intention est bonne, mais le seuil est inférieur à ce qu’on peut raisonnablement mesurer dans la pratique, si bien que presque tous les biens immobiliers affichent un panneau du type « il peut y avoir des substances chimiques ici »
L’avertissement est inutile et seulement irritant, et cela tient aux forces du marché — autrement dit, la loi a encouragé ce comportement
Exiger qu’on annonce l’usage de cookies pour une session, c’est un peu comme devoir annoncer qu’on mange avec une fourchette
Le problème vient du fait que certaines personnes utilisent cette fourchette pour poignarder les autres, si bien qu’à présent tout le monde doit expliquer à l’avance comment il va utiliser sa fourchette. Alors qu’il suffirait d’interdire le fait de poignarder
Et en plus, je ne suis ni citoyen de l’UE ni en train de consulter un site basé dans l’UE, et pourtant je me prends sans arrêt des bannières de cookies
Quand KingOfCoders/amazingcto dit qu’« il n’existe pas de loi sur les bannières de cookies, il suffit de ne pas pister », c’est techniquement vrai, mais Paul Graham ne parlait pas du texte juridique lui-même
Son reproche doit être interprété sous l’angle de la théorie des jeux, c’est-à-dire de la loi des conséquences imprévues, en regardant comment les entreprises réagissent concrètement à la loi
Le billet de blog se concentrait sur les bonnes intentions de la loi, tandis que le tweet de PG se concentrait sur ses résultats réels
Je ne comprends pas bien pourquoi on critique seulement l’UE et pas les entreprises
Le résultat concret, c’est qu’elles veulent continuer à pister, et qu’elles poussent les utilisateurs vers le « consentement » à coups de patterns hostiles et de conformité malveillante
Paul Graham a donc toujours tort
Le point que l’article voulait faire passer, c’est que les entreprises agissent délibérément ainsi pour obtenir un « consentement » contre la volonté des utilisateurs, et qu’elles marchent donc sur une ligne de crête consistant à contourner l’esprit de la loi sans en violer ouvertement la lettre
En réalité, le tweet de PG n’a pas grand-chose à voir avec la théorie des jeux ; il ressemble plutôt à une plainte de pays riche contre le fait de devoir cliquer sur des bannières de cookies. Évaluer les effets réels d’une réglementation et d’une législation complexes dépasse largement le cadre d’un tweet
Ce serait bien de commencer par définir ce que Graham essaie exactement d’affirmer. Est-ce qu’il répond à un représentant européen particulier qui se vante de bien réguler ? Ou bien prétend-il que l’UE n’aurait même pas dû avoir l’audace d’essayer de réguler au départ ?
Dire qu’on « sait bien réguler » implique aussi de savoir anticiper les conséquences possibles d’une régulation
Si l’on crée une règle disant : « les entreprises doivent désormais fournir leurs produits gratuitement, mais elles peuvent appuyer sur le nez des clients comme sur un klaxon », alors beaucoup de gens auront mal au nez
C’est similaire ici. Presque tous les sites web gagnent de l’argent avec la publicité ou, au minimum, conservent des journaux d’activité des utilisateurs pour optimiser le site, et cela ne va pas changer ; donc la réglementation stupide de l’UE inflige juste un peu plus de souffrance aux clients
Dire qu’on « conserve des journaux d’activité des utilisateurs pour optimiser le site » n’implique pas non plus un suivi individuel
Mais tous les sites web n’ont pas besoin d’une bannière cookies. GitHub n’est-il pas un site assez complexe et optimisé pour ses utilisateurs ? https://github.blog/2020-12-17-no-cookie-for-you/
Pas de tracking > pas de bannière > tout le monde est plus content > et on peut afficher toute la pub nécessaire
Au moment où une entreprise doit me suivre, elle fait plus que de la « simple optimisation de site web ». Elle utilise mes données pour me vendre quelque chose, ou vend mes données à des tiers
Je trouve normal qu’une autorisation soit nécessaire pour cela
Ce n’est pas une loi sur les cookies, c’est aussi la principale loi anti-malware de l’UE
Le principe est que lorsqu’un logiciel contrôlé par un tiers écrit ou lit des informations sur mon ordinateur ou mon téléphone via Internet, il doit y avoir un consentement préalable, éclairé par une explication suffisante
Les exceptions se limitent au stockage/à la lecture nécessaires à la fourniture du service demandé par l’utilisateur, ou à des fonctions étroites comme la répartition de charge. Cela s’applique non seulement aux cookies du navigateur, mais aussi à la webcam, au micro et au contenu du dossier Documents
Le principe lui-même semble valable, mais l’UE est dans l’impasse sur des réformes qui créeraient des exceptions supplémentaires, comme pour les contrôles de sécurité / mises à jour indispensables ou les métriques d’usage respectueuses de la vie privée. Les autorités de régulation ferment aussi les yeux dans une certaine mesure en pratique, donc il est difficile de dire que l’UE régule bien
La société, dans l’ensemble, n’arrive pas à corriger ce qui est perçu comme des bugs ou des excès dans cette loi d’origine vieille de plusieurs décennies
Ce qui est intéressant dans la législation, c’est qu’elle est aussi responsable des conséquences non intentionnelles des lois
Les données nécessaires au fonctionnement minimal du service n’ont pas besoin de bannière. Sans elles, le site ne fonctionne pas, donc il n’y a même pas de place pour le consentement
La législation est généralement une lutte d’intérêts, et idéalement le législateur cherche à protéger l’intérêt public général lorsqu’il entre en conflit avec des intérêts privés étroits
Si la partie aux intérêts étroits est un groupe puissant, il y aura forcément confrontation, et si elle a un moyen de faire paraître la régulation plus intrusive et agaçante que le tort qu’elle cherchait à empêcher, elle l’exploitera pour rallier l’opinion publique à sa cause
Les législateurs doivent donc aussi anticiper ce type de confrontation ; ils peuvent être partiellement responsables de sa forme, mais pas totalement. Plus les intérêts privés sont puissants, plus ils ont de chances de trouver un moyen de résister à la régulation
Dans cette affaire, les sites web qui affichent des bannières se nuisent aussi à eux-mêmes. Leurs concurrents ont intérêt à proposer une meilleure expérience sans bannière. Autrement dit, la régulation peut rendre utile, en contexte concurrentiel, le fait de ne pas afficher de bannière ; il reste donc à voir comment cela évoluera
Utiliser des cookies et rendre l’expérience déplaisante pour les gens est un choix délibéré
Il est difficile de dire ce que les législateurs ont prévu ou voulu, mais les bannières cookies sont en réalité a) une bonne chose, et b) la faute des entreprises incapables d’imaginer un meilleur traitement des utilisateurs
Si je les considère comme une bonne chose, c’est parce qu’elles créent une gêne psychologique chez les utilisateurs de logiciels qui ne cherchent ni à éviter le besoin de ces bannières, ni à les concevoir correctement. Avec le temps, j’espère que les utilisateurs finiront par percevoir les sites avec bannière cookies comme un peu suspects et peu scrupuleux, à la manière des publicités pop-up
Au final, je pense qu’il vaut mieux avoir cette loi, ainsi que ses futures itérations et révisions supplémentaires, que ne pas l’avoir du tout. Le niveau d’abus des données des gens est tout simplement absurde
pg semble parler des bannières publicitaires, et dans ce cas il a raison. L’UE a ruiné notre expérience du web tout en favorisant les applications mobiles qui pratiquent un tracking encore pire
Le problème plus grave est que cette loi n’a rien réparé, a détruit ce qu’il restait de l’activité publicitaire en ligne dans l’UE, et s’est focalisée sur le mauvais sujet
Au départ, les citoyens européens n’avaient pas demandé cette loi, et il y avait des problèmes plus importants. C’est un groupe d’intérêt allemand spécifique, auquel la plupart des citoyens de l’UE sont indifférents, qui l’a poussée
Le tracking publicitaire n’était pas une préoccupation pour la majorité des citoyens de l’UE, et on ne leur a même pas demandé leur avis sur cette loi. En revanche, l’addiction à Internet et aux réseaux sociaux est un vrai problème pour la majorité des citoyens
L’UE a dépensé trop d’énergie et de capital politique sur cette question vide de sens des bannières cookies, ce qui a réduit sa capacité à s’attaquer au problème de l’addiction
La législation précipitée produit toujours ce genre d’effets, et le pire est qu’il n’y a aucune responsabilité pour ce type de mauvaise décision. Les personnes qui ont inspiré cette législation ne sont pas soumises au verdict des urnes, et les prochaines élections européennes seront elles aussi un affrontement par procuration de politiques nationales plutôt qu’un débat sur la politique de l’UE
On peut signaler plusieurs fois ce décalage politique, il n’existe aucun mécanisme pour le corriger avant qu’il ne se passe quelque chose de vraiment grave, quand il sera déjà trop tard
Anecdote personnelle : j’ai déjà été chargé d’ajouter une bannière de cookies sur le site web d’une entreprise. J’avais réussi à empêcher son adoption pendant des années, mais le nouveau propriétaire voulait que le service marketing tente de nouvelles choses et avançait que les avocats disaient qu’il fallait obtenir le consentement des utilisateurs
On m’a dit de ne pas y passer trop de temps, d’utiliser un produit du commerce, OneTrust, et de ne même pas le personnaliser
J’ai fait remarquer que le texte par défaut de la bannière était très alarmiste et laissait entendre qu’on faisait beaucoup de choses qu’on ne faisait pas réellement, mais on m’a répondu qu’il avait sûrement été validé par les avocats de OneTrust et qu’il ne fallait donc rien changer à cause du risque juridique
Le produit OneTrust est une solution générique censée mettre en conformité jusqu’aux sites médias les plus brouillons et les plus pollués par l’ad tech, et j’ai beau avoir soutenu que nous n’étions pas ce genre de site, cela n’a servi à rien
Les entreprises comme OneTrust et les consultants de ce secteur ont tout intérêt à exagérer fortement le risque de non-conformité. En tant que non-spécialiste, il me semble que le risque juridique réel pour un acteur de bonne foi est en fait assez faible. Si les autorités constatent une non-conformité, elles donnent généralement l’occasion de corriger le problème et, au pire, on risque sans doute un léger avertissement. Les amendes effrayantes calculées sur un pourcentage du chiffre d’affaires mondial ne s’appliquent pas à une erreur honnête
En outre, les entreprises qui ont réellement besoin de ces bannières parce qu’elles dépendent d’un suivi intrusif ont intérêt à ce que tout le monde d’autre s’imagine devoir eux aussi ruiner l’expérience utilisateur avec une bannière. Cela rend ce qu’elles font plus normal et plus acceptable en apparence
C’est un bon exemple. Hacker News non plus, pas plus que l’article lié, n’avaient besoin d’une bannière de cookies
Je n’aime pas cette façon de penser où le gouvernement crée une réglementation aux intentions apparemment louables mais avec des failles qui compliquent la vie de tout le monde, puis où des gens la défendent en disant : « les entreprises n’ont qu’à ne pas le faire »
C’est justement parce qu’elles le faisaient qu’il fallait une loi au départ, alors dire après coup qu’elles n’ont qu’à s’arrêter d’elles-mêmes, c’est un peu étrange, non ?
Si la loi sur les cookies avait été bien conçue, tout se serait réglé par un simple paramètre du navigateur qu’il aurait fallu respecter. Cela aurait été totalement transparent pour l’utilisateur et bénéfique par défaut
À la place, à cause de fonctionnaires incompétents, on voit des bannières de cookies sur presque tous les sites pour l’éternité, et comme rien n’est standardisé, les pires endroits — comme les sites où des journaux publient leurs articles — peuvent fabriquer des bannières encore plus incompréhensibles
Les dark patterns UI sont effectivement illégaux, et les tribunaux l’ont désormais reconnu. Il ne reste plus qu’à faire passer cette idée chez les entreprises qui fabriquent des bannières de cookies
Les navigateurs disposent déjà d’un paramètre « ne pas me pister ». Si un site choisit de respecter ce paramètre, il peut s’abstenir de suivre l’utilisateur sans afficher la moindre bannière de cookies. Mais la plupart ne le font pas
Au contraire, elle a été rédigée de façon techniquement neutre. Elle est même si neutre qu’on ne l’appelle pas la « loi sur les cookies ». Son nom est la directive ePrivacy, et le mot « cookie » n’y apparaît qu’à titre d’exemple, cinq fois
Référence : https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
Ils ont même été réellement implémentés à une époque où Internet Explorer détenait plus de 90 % de part de marché
Google a alors délibérément envoyé de faux en-têtes P3P pour contourner les préférences utilisateur d’IE
Quand Safari a ajouté une heuristique refusant les cookies tiers de Google, Google a aussi trouvé une astuce technique pour la contourner, ce qui lui a valu une amende
Après la mort complète d’IE et de P3P, les navigateurs ont essayé de proposer l’en-tête DNT, le paramètre minimal le plus simple à implémenter pour l’industrie de l’ad tech. L’industrie de l’ad tech l’a complètement ignoré
Il existe des entreprises pesant des milliers de milliards de dollars qui dépendent du suivi, et elles feront tout ce qu’elles peuvent pour saboter les technologies qui nuisent à leur activité et pour bloquer les lois
Si « les entreprises peuvent facilement éviter les bannières de cookies ; il suffit de ne pas pister les utilisateurs », alors l’UE aurait dû en faire exactement cela dans la loi
Et nous l’aurions appelée la loi il suffit de ne pas pister
Je suis surpris par les gens qui défendent l’UE en disant des choses comme « il n’existe pas de loi sur les bannières de cookies ». Si, il y en a une. Et c’est précisément à cause de cette loi que les gens se disent « pourquoi prendre un risque pour rien ? » et ajoutent des cochonneries comme les bannières de cookies
Une loi n’est pas un simple assemblage de mots sur du papier ; c’est une institution qui récompense ou punit les comportements, et qui les modifie ainsi
Mais c’est vrai qu’il est plus facile de ne pas chercher à comprendre et de jouer la sécurité. Cela ne veut pas dire pour autant qu’on peut rejeter sur la loi la responsabilité d’avoir choisi la solution de facilité sans enquêter
La plupart des gens imitent les autres : quand les grands sites mettent une bannière de cookies, ils pensent devoir faire pareil. Ensuite, ils accusent la loi
Si l’on n’est pas moutonnier et qu’on comprend son propre activité, il n’y a aucune raison d’accuser la loi de vous faire faire des choses inutiles
Bien sûr, la loi est parfois compliquée à comprendre. C’est le cas de la plupart des lois, et c’est pour cela qu’il y a des avocats. Mais dans la tech, les avocats aussi donnent souvent l’impression d’être moutonniers. Il vaut donc toujours mieux réfléchir par soi-même et ne pas croire aveuglément tout ce que disent les autres. Si l’on enquête et qu’on se documente soi-même, ce n’est pas si difficile
Mon entreprise ne pistait pas ses clients en ligne et n’avait pas de bannière. Point final
Si les avocats sur-réagissent ou si une entreprise est incapable de distinguer le suivi nécessaire du suivi non nécessaire, alors l’incompétence est peut-être de leur côté