Des effets néfastes

Commençons par nous pencher sur les conséquences en termes d'expérience utilisateur. Sur les sites Internet, de nouvelles fenêtres d'avertissement retardent la navigation. Des clics supplémentaires sont imposés à l'Internaute. Les contenus sont plus difficiles à voir et plus longs à atteindre.

À chaque fois que la mise en place de ces demandes de validation sont mal faites ou invasives, c'est à dire très souvent, c'est l'accessibilité des contenus qui trinque. Le confort de la navigation en contexte mobile se dégrade de manière considérable, puisque des messages viennent masquer ou repousser une partie des contenus et nécessitent une opération de fermeture quelquefois pas simple (oui, vous aussi vous avez certainement cliqué sur un lien en essayant de cliquer sur la petite croix de fermeture).

L'affichage de ces avertissements impose le chargement de scripts, de styles et de contenus supplémentaires. En conséquence, les pages sont plus lourdes et plus longues à charger.

Même si tout le monde se divise à peu près entre ceux qui l'ignorent et ceux qui s'en moquent complétement, sur le Web, chaque requête supplémentaire à un coût énergétique. Rapporté à l'échelle européenne, le bilan énergétique des avertissements liés aux cookies n'est certainement pas négligeable (EDIT : argument très discuté et très discutable, retenez simplement que l'impact énergétique de la conception Web est loin d'être neutre) . Et puisque l'on parle beaucoup de productivité en ce moment, le temps perdu globalement par les internautes au travail serait également intéressant à tracer.

Dans le même temps, les internautes qu'on souhaitait protéger sont sollicités à chaque visite de site ou presque. Les cookies s'affichent plusieurs fois pour le même site, souvent à chaque fois que l'utilisateur revient sur un site après avoir fermé son navigateur.

En effet, pour mémoriser le choix d'un internaute concernant les cookies, vous pouvez lui faire ouvrir un compte sur chaque site, mais ce n'est pas toujours possible ni souhaitable. L'autre solution simple permettant d'éviter de multiples affichages d'un même avertissement est la mise en place d'un cookie qui mémorise que la personne accepte les cookies (!). Bien sûr, pour l'installer il faut un consentement (EDIT : non, en fait, ici, ça rentrerait certainement dans la catégorie des cookies techniques, et donc, pas forcément de consentement voir le site de la CNIL). Nous pourrions très bien imaginer un avertissement du type : "En poursuivant votre navigation, vous acceptez l'installation de cookies nous permettant de mémoriser votre choix d'accepter les cookies". Quelqu'un a t-il de l'aspirine ?

Mais le désastre ne s'arrête pas là. Les internautes étant sur-sollicités, ils deviennent aveugles à ces avertissements et les acceptent machinalement. Il serait intéressant de mesurer quelle proportion d'internautes validerait directement un message du type : "En naviguant sur ce site, j'accepte que mes données personnelles et celles de tous mes héritiers pendant sept générations soient stockées dans des cookies et revendues à n'importe qui OK". Astuce de pro : le seul mot important pour obtenir un bon taux de validation du message précédent est COOKIE ;).

Continuons du côté des professionnels : les agences web et les créateurs de sites professionnels ne savent pas comment traiter le problème car ils utilisent presque tous des cookies permettant la mesure de l'audience de leurs clients. Ils essayent de se débrouiller comme il peuvent et installent deux choses sur les pages : un avertissement demandant la validation de l'utilisation les cookies et un cookie de mesure d'audience. Autrement dit, bien avant que les utilisateurs n'aient accepté les cookies, certains d'entre eux sont d'ores et déjà placés sur leurs ordinateurs.

Pour leur faciliter la vie, des extensions de CMS (pour Wordpress, SPIP, je vous laisse chercher pour les autres) permettant de mettre en place l'affichage de ces fenêtres sont apparues. Mais bien entendu, au même titre qu'il existe des systèmes de blocage des publicités, du type adblock, il existe maintenant des systèmes de blocages de ces fenêtres.

Sinon, en ce moment même, d'autres acteurs inventent des technologies bien plus dangereuses pour pister les internautes et leur proposer de la publicité ciblée. Autrement dit, de nouvelles technologies de ciblage et de flicage vont apparaitre (fingerprinting, par exemple), les cookies seront bientôt dépassés et bien sûr, le spam se porte comme un charme, merci.

Pour quels effets bénéfiques ?

Alors, que nous a apporté cette directive ? Des usagers qui savent ce que sont des cookies ? Non, pas vraiment, car pour les fracturés du numérique, les cookies sont toujours des gâteaux. Des pratiques marketing ou de ciblage qui sont maintenant sous contrôle ? Non plus. Un début de régulation d'Internet ? Non plus. La loi aurait même pu induire la possibilité pour les internautes qui refusent ou ne cliquent pas sur le bouton OK de naviguer sans cookies ? Même pas.

Non. Ce qui a vraiment changé, c'est que les personnes chargées de la régulation d'Internet au niveau européen peuvent dire qu'ils ont fait quelque chose de concret pour les utilisateurs. Ils peuvent le dire mais j'affirme que c'est faux. En fait, pour toutes les raisons que nous avons vues plus haut, je pense que c'est un désastre.

Ce qui a vraiment changé, c'est que les créateurs de sites aux pratiques douteuses peuvent dire qu’ils ont la conscience tranquille car ils ont pris soin d'obtenir l'accord éclairé des utilisateurs pour poser des cochonneries.

Si je caricature, la loi oblige des personnes généralement bien intentionnées à travailler moins bien et permettent à des personnes inutiles ou mal intentionnées d'ouvrir un très joli parapluie qui les met à l'abri de toute remise en cause ou de toute poursuite. Beau travail.

Alors que faire ?

Chez Temesis, nous sommes engagés pour la qualité du Web depuis 2000. Et la qualité Web c'est avant tout la défense des usagers. C'est pour cela que dès la première version du référentiel Opquast sortie en 2004, nous avions déjà proposé plusieurs bonnes pratiques sur les cookies. Vous allez voir, c'est instructif :

  • Les limitations de consultation ou d'utilisation inhérentes au refus des cookies sont indiquées.
  • La présence et l'objectif des cookies sont indiqués sur le site.
  • La durée de vie des cookies est indiquée sur le site.
  • Les cookies portent un nom explicite qui permet d'identifier sans équivoque le site sur lequel ils ont été émis.

Dans la deuxième version du référentiel (2010), nous n'avons gardé que la règle suivante :

Comme vous le voyez, nous n'avons pas attendu la loi pour demander l'application volontaire d'actions concrètes, pratiques, utiles, réalistes et vérifiables. Et nous continuerons.

Quant à nos propres pratiques, nous sommes réticents à dégrader l'expérience de nos utilisateurs. Voilà pourquoi nous n’avons pas encore mis en place de fenêtre de validation de cookies. Voilà pourquoi nous veillons à la mise à disposition d'informations sur les cookies. Car il est bien entendu fondamental d'expliquer ce que sont les cookies et à quoi il servent.

À ce propos, il me semble qu'au même titre que la page mentions légales, une page cookies ou plus largement protection des données personnelles ou vie privée devrait être rendue obligatoire sur tous les sites. Celle-ci devrait comporter au minimum les informations suivantes :

  • Qu'est-ce qu'un cookie ;
  • Objectif des cookies ;
  • Mode opératoire pour désactiver les cookies dans les navigateurs ;
  • Possibilité ou pas de naviguer sans cookie ;
  • Nature des données personnelles collectées ;
  • Conditions d'utilisation des données collectées ;
  • Droit de rectification et de suppression pour les données collectées.

Si le législateur s'ennuie, j'ai même des bonnes pratiques supplémentaires s'il veut vraiment rendre service aux internautes. En voici une belle :

Oui, oui, ce serait très utile. C'est ce qui vous permettrait de vous rendre sur n'importe quel site où vous avez ouvert un compte et de fermer ce compte aussi simplement que vous l'avez ouvert. Pas mal, non ? Et d'ailleurs, si vous ne connaissez pas encore les bonnes pratiques Opquast, c'est très bon, mangez-en, nous en avons plein d'autres comme ça, et c'est unique au monde ;)

En conclusion, je veillerai également à faire passer ce billet à la CNIL, ils me connaissent depuis longtemps et j'ai bon espoir que ce billet venant à l’évidence de professionnels soucieux de la qualité du Web les interpelle. Je ne suis pas sûr qu'ils puissent grand chose à la situation, mais sait-on jamais.

Pour aller plus loin :