One click consent

Alors que certains acteurs du numérique cherchent à recueillir un consentement unique valable sur tous les terminaux, la CNIL publie son projet de recommandation sur le sujet. L’autorité ne s’y oppose pas, mais veut encadrer la pratique.

Sites web ou applications mobiles, nous accédons tous à nos services internet via différents terminaux. Mais le consentement que je donne pour accéder à tel site web pour l’utilisation de cookies et traceurs est-il forcément le même quand je le consulte sur mon smartphone perso ou sur mon ordi pro ?

L’utilisateur peut avoir envie de faire la différence alors que certains acteurs du numérique peuvent chercher à recueillir un consentement unique, valable sur tous les terminaux d’un même utilisateur. En effet, cela permet de ne pas lasser avec des demandes intempestives, mais aussi de récolter directement plus de données sur un même utilisateur.

Consciente de cette évolution, la CNIL veut faire évoluer sa recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » qui date de 2020 [PDF]. Elle explique avoir élaboré un projet de recommandation « sur la base d’échanges avec des professionnels et des associations de la société civile », sans pour autant détailler avec quels acteurs elle a discuté.

Appliquer les choix d’un utilisateur sur plusieurs terminaux

Elle présente maintenant ce projet de recommandation [PDF] et invite maintenant tout acteur public ou privé concerné à participer à une consultation publique à partir de ce document.

Elle y définit le consentement multi-terminaux comme « un mécanisme permettant d’appliquer les choix d’un utilisateur concernant la mise en œuvre d’opérations de lecture ou d’écriture d’informations à l’ensemble des environnements (à savoir les terminaux : ordinateur, tablette, ordiphone, télévision connectée, etc., ainsi que le navigateur ou l’application utilisés) à partir desquels il accède à un site web ou une application mobile donnée, sans qu’il ait besoin de les formuler sur chaque terminal ».

Elle précise que « dans le contexte des univers logués [terme utilisé par la CNIL pour qualifier les environnements dans lesquels les utilisateurs sont authentifiés à un compte, ndlr], ces choix ne sont plus rattachés à un terminal mais au compte de l’utilisateur associé au site web ou à l’application mobile ».

« En premier lieu, les choix formulés par les utilisateurs doivent avoir une portée identique », affirme la CNIL. L’autorité explique plus clairement qu’ « ainsi, si le consentement peut être donné en une fois pour plusieurs terminaux, il doit en être de même pour le refus ou le retrait du consentement ».

« En second lieu », ajoute l’autorité, « les utilisateurs doivent être informés de la portée du consentement avant de pouvoir exercer leurs choix afin que celui-ci soit éclairé : l’information doit notamment préciser que les choix seront appliqués pour tous les terminaux sur lesquels l’utilisateur du compte est authentifié ».

Elle y explique que « l’information des utilisateurs peut se faire, par exemple, par le biais de la fenêtre de recueil du consentement », et recommande de rappeler la portée des choix effectués, ainsi que la possibilité de les modifier « immédiatement après l’authentification au compte ».

Une contradiction possible dans le consentement, deux modalités de résolution

Dans le document, elle identifie une contradiction possible entre le consentement recueilli avant l’authentification et les choix enregistrés sur son compte. Elle demande au responsable de traiter cette contradiction « d’une façon qui soit claire et loyale vis-à-vis de l’utilisateur ».

Pour aider les responsables de traitement, l’autorité a identifié dans son document deux modalités qui permettent de résoudre cette contradiction :

• « Modalité 1 : les choix formulés sur le nouveau terminal avant l’authentification au compte (c’est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée) écrasent ceux enregistrés précédemment au sein du compte. Les nouveaux choix enregistrés s’appliqueront à l’ensemble des autres terminaux connectés au compte, ce qui présente l’avantage d’assurer que le dernier choix exprimé par l’utilisateur est pris en compte, indépendamment du terminal.

• Modalité 2 : les choix enregistrés au sein du compte prévalent sur les choix formulés sur le nouveau terminal avant l’authentification au compte (c’est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée). Pour être effectif, cette modalité suppose de distinguer le suivi de navigation de l’utilisateur selon qu’il est logué ou non (par exemple via deux cookies et/ou identifiants différents). »

Elle ajoute que, « quelle que soit la modalité, l’information doit préciser les moyens à la disposition de l’utilisateur pour modifier les choix associés à son compte ».

Elle précise que « les choix des utilisateurs en univers logué ne doivent pas avoir d’impact sur les choix préalablement enregistrés en univers non logué (par exemple via un cookie déposé au sein d’un navigateur) ». L’idée est de protéger, par exemple, les utilisateurs d’un même terminal non logué d’un choix fait par l’un d’entre eux sur son propre compte.

Attention aux identifiants envoyés aux prestataires

La CNIL recommande dans le cas de la mise en place d’un consentement multi-terminaux de faire d’autant plus attention aux échanges avec un prestataire, et notamment « de ne pas transmettre l’identifiant de compte de l’utilisateur dans la mesure où il contient en clair des données à caractère personnel fournies par l’utilisateur (par exemple, un pseudonyme contenant le prénom, voire le nom, ou une adresse de courrier électronique) au prestataire de la plateforme de gestion du consentement ». Elle demande, dans ce cas, de « lui substituer systématiquement un identifiant technique pour lui permettre notamment de réconcilier les différents terminaux de l’utilisateur ».

Si le service en question fait évoluer son mécanisme de consentement d’un système classique à un consentement multi-terminaux, « les responsables de traitement devront recueillir un nouveau consentement libre, spécifique, éclairé et univoque », signale l’autorité.

Enfin, la CNIL « encourage le responsable du traitement à laisser aux utilisateurs la possibilité de revenir sur leurs choix, terminal par terminal ».

Si vous avez des remarques au sujet de ce projet de recommandation, la consultation de la CNIL est ouverte jusqu’au 5 juin prochain.

En deux mots : données et publicité

Dans l’hypothèse où la justice américaine force Google à se débarrasser de son navigateur Chrome, Perplexity et OpenAI se sont montrées intéressées. Mais pourquoi ces entreprises d’IA générative veulent-elles posséder un logiciel de navigation ?

Actuellement, deux entreprises bien placées sur le marché de l’IA générative possèdent aussi un navigateur : Microsoft avec Edge et Google avec Chrome. Mais il se pourrait que la justice oblige l’entreprise dirigée par Sundar Pichai à se séparer de son outil de navigation pour démanteler le monopole qu’elle a constitué sur la recherche en ligne. Google s’y oppose fermement pendant le procès actuellement en cours qui va décider de son sort.

• Monopole : attaqué de toutes parts, Google refuse de céder Chrome, et d’ouvrir son index

Les entreprises du secteur sont convoquées à la barre par le ministère de la Justice pour être entendues au sujet des changements de pratiques commerciales de Google nécessaires pour supprimer cette position monopolistique. Dans ce cadre, OpenAI et Perplexity se sont déclarées intéressées par un rachat de Chrome.

Résoudre des problèmes de distribution dûs à Google

« Vous pourriez offrir une expérience vraiment incroyable si ChatGPT était intégré à Chrome », a déclaré Nick Turley, le responsable du chatbot chez OpenAI, selon Bloomberg. « Nous aurions la possibilité d’initier les utilisateurs à ce à quoi ressemble une expérience AI first » a-t-il ajouté.

Pour lui, l’un des problèmes les plus difficiles auxquels OpenAI est confrontée aujourd’hui est celui de la distribution. Selon Bloomberg, toujours, il a relevé qu’ « alors que la société a conclu un accord pour intégrer ChatGPT dans l’iPhone d’Apple, elle n’a pas eu de succès avec les fabricants de smartphones Android ».

De son côté, le Chief business officer (CBO) de Perplexity, Dmitry Shevelenko, a aussi exprimé à la barre son intérêt pour un rachat de Chrome. Questionné sur la possibilité que quelqu’un d’autre que Google puisse gérer un navigateur comme Chrome sans en diminuer la qualité ou le rendre payant, il a répondu « je pense que nous pourrions le faire », explique The Verge.

Devant le tribunal, il en a profité pour appuyer lui aussi sur le problème de distribution que rencontre son entreprise. Il a notamment fait valoir les difficultés qu’aurait mises en place Google, dans Android, au choix de l’assistant IA de Perplexity comme outil par défaut. il a également souligné que son assistant ne pouvait pas être activé via un « wake word » comme « ok Google ».

Pour Perplexity, l’intérêt de récupérer plus de données vraiment personnelles

Mais l’intérêt de Perplexity quant à Chrome va plus loin que la simple opportunité d’un navigateur pour son modèle d’IA. En effet, la startup a déjà un projet en cours nommé Comet et annoncé en février.

Selon le CEO de l’entreprise, Aravind Srinivas, Comet devrait être lancé en mai. Dans un podcast repéré par TechCrunch, il explique pourquoi son entreprise veut absolument son navigateur : récupérer des données sur ce que font les utilisateurs en dehors de son application d’IA générative.

« C’est l’une des autres raisons pour lesquelles nous avons voulu créer un navigateur : nous voulons obtenir des données en dehors de l’application pour mieux vous comprendre », y affirme Aravind Srinivas. Il déplore pour son entreprise que « certaines des questions posées par ces IA sont purement liées au travail. Ce n’est pas comme si c’était personnel ».

Et il remarque que « les articles que vous achetez, les hôtels où vous allez, les restaurants que vous fréquentez, le temps que vous passez à naviguer, nous en disent beaucoup plus sur vous ». Créer ou racheter un navigateur permettrait à Perplexity d’acquérir des données beaucoup plus intéressantes pour les annonceurs : « nous prévoyons d’utiliser tout le contexte pour établir un meilleur profil de l’utilisateur et, peut-être, par le biais de notre flux de découverte, nous pourrions y afficher des publicités ».

Ajoutons, comme nous l’évoquions plus haut, que Microsoft est un autre sérieux concurrent concernant l’intrication de la navigation sur web avec l’IA générative. L’entreprise a déjà intégré Copilot vision à Edge pour y lire l’écran de ses utilisateurs. Ceux-ci peuvent échanger avec le logiciel en langage naturel pour toutes sortes de choses liées à leurs pérégrinations sur le web.

Open bar

Non content d’avoir invité un journaliste dans une boucle Signal sur la préparation de frappes américaines contre des Houthis au Yémen, le secrétaire d’État à la Défense américain, Pete Hegseth, est accusé d’avoir informé une autre boucle Signal de ces frappes. Dans cette boucle, se trouvaient entre autres sa femme, son frère et son avocat personnel.

Le gouvernement de Donald Trump a du mal à refermer le scandale surnommé « Signalgate » par certains. Il y a un peu plus d’un mois, le rédacteur en chef de The Atlantic racontait qu’il s’était retrouvé dans une boucle Signal aux côtés de J.D. Vance, Marco Rubio ou encore du Secrétaire d’État à la Défense américain, Pete Hegseth, qui préparaient les frappes américaines du 15 mars dernier contre des Houthis au Yémen.

Un groupe de discussion informel

Mais Pete Hegseth a aussi partagé des informations sur ces frappes sur un autre groupe Signal, selon un article du New York Times publié ce dimanche. Le journal explique que ce groupe Signal a été créé par Pete Hegseth lui-même avant qu’il soit confirmé en tant que secrétaire d’État à la Défense, Le groupe réunit une douzaine de personnes dont sa femme, son frère et son avocat personnel.

« La vérité est qu’il existe un groupe de discussion informel de ses conseillers les plus proches qui a commencé avant la confirmation », a répondu un fonctionnaire du secrétariat d’état au New York Times, tout en affirmant que « rien de confidentiel n’a jamais été discuté dans ce chat ».

Sans avoir répondu à nos confrères, le porte-parole du Pentagone, Sean Parnell, a réagi après la publication de l’article en réaffirmant : « il n’y avait pas d’informations classifiées dans les discussions sur Signal, quelles que soient les façons dont ils essaient d’écrire l’histoire ». Pourtant, plusieurs sources du New York Times affirment que les messages contenaient, entre autres, les plans de vols des avions qui ont ciblé les Houthis au Yémen.

Nos confrères précisent que le frère de Pete Hegseth et son avocat travaillent aussi au sein du Pentagone, mais « on ne voit pas très bien pourquoi l’un ou l’autre aurait besoin d’être informé des prochaines frappes militaires visant les Houthis au Yémen ».

« Un quasi-effondrement au sein de l’état-major du Pentagone »

Techniquement, le système de chiffrement de Signal et sa robustesse ne sont pas remis en cause. La messagerie avait tenu d’ailleurs à s’en expliquer après la première phase de ce scandale.

Le constat est surtout que le secrétaire d’État à la Défense n’utilise pas une messagerie recommandée par la Maison-Blanche pour partager des informations sensibles, si ce n’est confidentielles, avec des personnes qui ne sont pas censées y avoir accès.

Une telle messagerie bloquerait, par exemple, tout accès à des personnes non autorisées. Plusieurs sources du New York Times, mais aussi de NBC News, affirment de plus que Pete Hegseth utilise Signal via son smartphone personnel et son téléphone officiel.

Cet épisode est celui d’ « un quasi-effondrement au sein de l’état-major du Pentagone », a commenté l’ancien porte-parole du Pentagone, John Ullyot, qui a tout juste quitté son poste la semaine dernière. Il était pourtant un des conseillers de Donald Trump lors de son premier mandat.

Dans une tribune publiée par Atlantico, le conseiller en communication a affirmé que « Dans ces conditions, il est difficile d’imaginer que le secrétaire d’État à la Défense, Pete Hegseth, puisse rester en poste encore longtemps ».

NPR a aussi publié un article ce lundi expliquant que la Maison-Blanche lui cherchait un remplaçant. Mais la porte-parole de la Maison-Blanche a démenti et Donald Trump a réaffirmé son soutien à son secrétaire d’État, affirmant qu’il faisait « un boulot super » en ajoutant « il suffit de demander aux Houthis comment ils se portent ».

L’article de NPR se clôture par ailleurs sur un « NPR disclosure : Katherine Maher, PDG de NPR, préside le conseil d’administration de la Signal Foundation ».

Sur la page consacrée à ses obligations au nom du DSA européen, OpenAI a publié aujourd’hui le nombre mensuel d’utilisateurs actifs de son outil de recherche en ligne.

Selon les décomptes de l’entreprise repérés par TechCrunch, environ 41,3 millions de personnes situées dans l’Union européenne par mois ont utilisé ChatGPT search ces 6 derniers mois.

L’outil de l’entreprise de Sam Altman se rapproche à grands pas du critère des 45 millions d’utilisateurs mensuels qui permet à la Commission européenne de classer les moteurs de recherche dans la catégorie des très grands moteurs de recherche en ligne (VLOSE).

Le DSA oblige ces très grands moteurs de recherche à une plus grande transparence et à mettre en place un certain nombre d’outils, dont le refus de système de recommandation ou de profilage, le partage de données avec les chercheurs et les autorités européennes et de procéder à des audits réguliers.

• Que change le Digital Services Act en pratique ?

Pour comparaison, Google déclarait en février auprès de la Commission un nombre de 364 millions d’utilisateurs en moyenne mensuellement.

Un tribunal américain a jugé que Google avait bien créé illégalement un monopole sur le marché de la publicité en ligne. L’entreprise a enfreint les lois américaines sur la concurrence en organisant « l’acquisition et le maintien délibérés d’un pouvoir de monopole ». Les conséquences seront décidées dans un second temps, mais Google pourrait se voir obligée de se séparer de plusieurs services liés à la publicité.

Après avoir, pendant des années, construit un empire du web, Google fait maintenant face aux conséquences devant la justice étasunienne. En aout 2024, la justice américaine concluait que l’entreprise détenait un monopole sur la recherche en ligne. Ce jeudi 16 avril, elle a aussi estimé que Google s’était créé un monopole du marché de la publicité en ligne.

Les conséquences de ces deux décisions pourraient aboutir à un démantèlement de la société imposé par la justice. Du côté de la recherche en ligne, des pistes ont déjà été envisagées et la décision est prévue pour aout prochain.

• Comment la justice américaine envisage-t-elle le démantèlement de Google

Concernant le marché de la publicité en ligne, l’entreprise pourrait être forcée de se séparer d’outils de gestion des publicités en ligne. Dans le viseur figure notamment Google Ad Manager qui a rassemblé en 2018 les outils DoubleClick for Publishers (DFP) et DoubleClick Ad Exchange (AdX). Mais d’autres options sont possibles comme l’obligation de séparer de nouveau DFP et AdX pour permettre l’interopérabilité avec d’autres outils.

Une construction délibérée d’un monopole

Dans l’explication de sa décision [PDF], la juge Leonie M. Brinkema estime que Google a acquis et maintenu « délibérément un pouvoir monopolistique » sur le marché des serveurs pour annonceurs et celui des échanges pour la publicité sur le web.

Elle n’a, par contre, pas retenu l’accusation faite par le ministère de la Justice américain de construction d’un monopole sur le marché des réseaux d’outils d’affichage de publicité pour les annonceurs. Elle n’a tout bonnement pas considéré que ce marché existait à lui seul.

« Google a renforcé son pouvoir de monopole en imposant des politiques anticoncurrentielles à ses clients et en éliminant des caractéristiques souhaitables de ses produits », explique-t-elle dans ses conclusions. Elle ajoute qu’ « en plus de priver les rivaux de leur capacité de la concurrencer, ce comportement d’exclusion a porté un préjudice considérable aux éditeurs clients de Google, au processus concurrentiel et, en fin de compte, aux consommateurs d’informations sur le web ».

Une victoire historique pour l’accusation, un match nul selon Google

C’est « une victoire historique dans la lutte en cours pour empêcher Google de monopoliser la place publique numérique », estime la procureure générale des États-Unis, Pamela Bondi, citée par Reuters.

Du côté de Google, l’entreprise affirme ne pas avoir tout perdu dans cette affaire. « Nous avons gagné la moitié de cette affaire et nous ferons appel pour l’autre moitié. La Cour a estimé que nos outils pour les annonceurs et nos acquisitions, telles que DoubleClick, ne nuisent pas à la concurrence », a déclaré la vice-présidente de l’entreprise, Lee-Anne Mulholland :

« Nous ne sommes pas d’accord avec la décision de la Cour concernant nos outils pour les éditeurs. Les éditeurs ont de nombreuses options et ils choisissent Google parce que nos outils publicitaires sont simples, abordables et efficaces. »

Concernant l’acquisition de DoubleClick, la juge Leonie M. Brinkema affirme pourtant dans l’explication de sa décision qu’ « en renforçant son activité tournée vers les éditeurs grâce à l’acquisition de DoubleClick, Google a pu établir une position dominante des deux côtés de la pile de technologies publicitaires ».