Le catastophisme de Giusepe est un peu exagéré : si vous installez le module « No Script » de Firefox, vous pouvez voir à quoi pourrait ressembler une navigation Web « opt-in » pour les cookies (même si, dans le cas de NoScript, cela concerne les Javascript). C’est vrai que c’est un peu plus chiant (il faut cliquer en bas pour autoriser les éléments) mais ce n’est pas non plus « l’écran couvert de messages d’alerte » qu’il prophétise… Mais c’est vrai que, à première vue, le mécanisme en place actuellement semble fonctionner, inutile d’y toucher pour l’instant.

[Guisepe de Martino – Co-directeur De Dailymotion – Slate.fr – 20/04/2009]

(…) dans le cadre des discussions sur la directive européenne «e-privacy» (données personnelles électroniques), les autorités françaises (l’exception pâtissière française?) ont introduit une proposition imposant pour l’utilisation de cookies une obligation d’«opt-in» (opt-in = devoir de demander l’autorisation avant d’en mettre en place). Cette proposition me semble inquiétante.

En premier lieu, il n’y a aucun élément justifiant un renversement aussi radical de l’approche «opt-out» (opt out = droit de refuser un cookie) qui a prévalu jusqu’à présent. Cette approche n’a pas été identifiée par le Contrôleur européen de la protection des données (si, si ça existe) comme une problématique nécessitant une initiative aussi radicale, à l’issue de sept ans d’observation et de recueil des pratiques en matière d’utilisation des cookies.

Dans le cadre réglementaire européen actuel, les utilisateurs doivent être informés de l’utilisation des cookies et doivent avoir le droit de «refuser» ces cookies (opt-out). Cette approche a fonctionné et a permis le développement de l’économie numérique que l’on sait. Je n’ai pas connaissance d’étude justifiant une modification de la réglementation actuelle aussi radicale: un revirement à 180° pour imposer un consentement préalable à l’utilisation de cookies.

Un renversement vers une approche basée sur l’«opt-in» constituerait une rupture dans le fonctionnement de l’Internet et nécessiterait de reconcevoir et redéployer une multitude d’applications aujourd’hui largement utilisées et appréciées par les internautes. L’approche «opt-in» avait été soigneusement considérée et débattue en 2002 lors de l’adoption de la directive qui régit cette question, et au final avait été rejetée car irréaliste à mettre en œuvre. Sept ans plus tard, cela paraît encore moins réaliste. Un tel revirement aurait des conséquences considérables.

Aujourd’hui les cookies sont une composante essentielle dans le fonctionnement fluide du Net. Si les cookies ne peuvent être déployés facilement, cela posera un sérieux défi aux sites pour fournir des services rapides et fiables tels qu’attendus par les internautes. Requérir un consentement préalable ou, comme le fait la proposition française, une notification spécifique – pour parler clairement: un pop-up, ces fenêtres intrusives qui vous explosent à la figure ! – et un mécanisme de choix à l’utilisation des cookies pour chaque service et/ou page web perturberait gravement le fonctionnement fluide du Net en nécessitant des actions multiples de l’utilisateur et ralentirait l’accès aux services et contenus en ligne. Tout ceci sans justification.

Les cookies ne doivent pas être confondus avec les «spywares» (logiciels espions) ou les «virus» qui sont illégaux dans la mesure où ils peuvent endommager l’ordinateur de l’utilisateur. La proposition envisagée ne serait naturellement d’aucun effet pour les utilisateurs face à des usages malveillants et illégaux tels que virus et spywares qui n’ont guère le souci de respecter le cadre réglementaire…

La proposition française revient donc concrètement à afficher une sorte de message pop-up pour informer l’utilisateur qu’un cookie a été placé, que ce cookie collecte des données à telle ou telle fin et que l’utilisateur peut refuser ce cookie. Un site web standard aujourd’hui peut utiliser jusqu’à une douzaine de cookies, en particulier s’il intègre des contenus tiers provenant d’autres sites comme c’est de plus en plus le cas avec le web 2.0.

Dans ce scénario tout à fait commun, l’écran de l’utilisateur pourrait être entièrement couvert de messages relatifs à l’utilisation d’un cookie, et l’expérience utilisateur pourrait s’en trouver gravement atteinte. Cette obligation de message intrusif auprès des utilisateurs divergerait nettement des pratiques actuelles où l’information relative aux cookies est fournie dans la charte de protection des données personnelles du responsable de traitement.

Plusieurs méthodes et solutions technologiques innovantes ont vu le jour ces derniers mois en matière de transparence et d’information des utilisateurs — par exemple utilisation de la vidéo — ou en matière de contrôle — par exemple, la facilité d’opt-out. La proposition française n’a fait l’objet d’aucune consultation du secteur. Une manie française ? Mais on ne va pas se laisser faire.

http://www.slate.fr/story/4373/la-guerre-des-cookies