Le CCPA est ignoré à grande échelle : ce que vous pouvez faire

La loi californienne sur la vie privée souffre d'un problème de conformité

Le California Consumer Privacy Act était censé donner aux résidents un contrôle réel sur leurs données personnelles. Mais un vaste audit portant sur plus de 7 000 sites web populaires raconte une tout autre histoire. Des chercheurs ont découvert ce qu'ils ont décrit comme une « non-conformité à l'échelle industrielle » avec le CCPA, de nombreuses grandes entreprises technologiques ignorant systématiquement un signal de confidentialité reconnu par la loi et intégré directement dans les navigateurs.

Le signal en question s'appelle le Global Privacy Control (GPC). Lorsqu'il est activé, il envoie une instruction automatique à chaque site web que vous visitez pour lui indiquer de ne pas suivre ni vendre vos informations personnelles. En vertu du CCPA, respecter ce signal n'est pas facultatif pour les entreprises exerçant leurs activités en Californie. C'est une obligation légale. Et pourtant, l'audit a révélé que, dans certains cas, le suivi se poursuivait lors de 86 % des visites même lorsque le signal GPC était actif.

Ce chiffre mérite qu'on s'y arrête un instant. Un utilisateur pourrait faire tout ce qu'il faut — activer un paramètre de confidentialité protégé par la loi — et voir quand même son comportement suivi et ses données potentiellement vendues lors de la grande majorité de ses sessions de navigation.

Pourquoi les protections juridiques seules ne suffisent pas

Les lois sur la vie privée comme le CCPA représentent un progrès réel. Elles établissent des droits, créent des mécanismes d'application et font peser sur les entreprises la responsabilité de justifier leurs pratiques en matière de données. Mais cet audit illustre une lacune que les défenseurs de la vie privée alertent depuis longtemps : une loi n'est efficace que dans la mesure où elle est appliquée.

Lorsque la non-conformité est aussi répandue et aussi systématique, cela laisse penser que les entreprises ont calculé que le risque de sanctions réglementaires est inférieur à la valeur des données qu'elles collectent. C'est un problème structurel, pas individuel. Lire attentivement les bannières de cookies ou cliquer sur « tout refuser » ne corrige en rien un système où l'infrastructure de suivi continue de fonctionner en arrière-plan, quoi qu'il arrive.

Cela a également des implications au-delà de la Californie. Bien que le CCPA ne s'applique qu'aux résidents californiens, les sites web qui le violent desservent des utilisateurs partout dans le monde. Les mêmes technologies de suivi, réseaux publicitaires et courtiers en données opèrent à l'échelle mondiale. Si de grandes entreprises sont prêtes à ignorer une loi d'État dotée de véritables moyens d'application, la situation dans les juridictions aux protections plus faibles est probablement pire encore.

Ce que cela signifie pour vous

La conclusion pratique de cet audit est inconfortable mais importante : vous ne pouvez pas vous fier uniquement aux cadres juridiques pour protéger votre vie privée lors de votre navigation sur le web. La conformité des entreprises est inégale au mieux et, selon cette recherche, négligeable au pire lorsqu'il s'agit de respecter vos préférences déclarées.

Cela ne signifie pas que les lois sur la vie privée sont sans valeur. La pression réglementaire, les amendes et la responsabilité publique font évoluer les choses dans le temps. Mais en attendant, votre comportement de navigation réel est probablement suivi bien plus largement que ne le suggère n'importe quelle bannière de consentement ou option de désinscription.

Les outils qui offrent une protection plus fiable agissent au niveau technique plutôt qu'au niveau des politiques. Une extension de navigateur qui bloque les traceurs tiers ne demande pas à une entreprise de respecter vos préférences. Elle empêche simplement le code de suivi de se charger dès le départ. De même, un VPN chiffre votre connexion internet et masque votre adresse IP, qui est l'un des principaux identifiants utilisés pour construire des profils de votre comportement sur différents sites web. Aucune de ces deux approches ne dépend de la bonne volonté des entreprises ni de l'application de la réglementation.

Les contrôles de confidentialité au niveau du navigateur sont également devenus plus sophistiqués. Firefox et les navigateurs fondés sur des principes axés sur la vie privée bloquent par défaut de nombreux scripts de suivi. Le signal GPC lui-même est un paramètre de navigateur qu'il vaut la peine d'activer — non pas parce que les entreprises le respectent de manière fiable (cet audit le montre clairement), mais parce qu'il crée un enregistrement documenté de vos préférences déclarées, ce qui peut avoir son importance dans les actions d'application.

Mesures concrètes pour protéger votre vie privée dès maintenant

Au vu de ce que révèle cet audit, voici des actions concrètes qui offrent une protection réelle plutôt que des promesses dépendantes des politiques :

• Activez le Global Privacy Control dans les paramètres de votre navigateur. Il n'est pas toujours respecté, mais il ajoute une couche de base juridique et est de plus en plus pris en charge par les navigateurs axés sur la vie privée.
• Utilisez une extension de navigateur bloquant les traceurs, telle que uBlock Origin, ou un navigateur axé sur la vie privée qui bloque par défaut les scripts tiers. Ces outils fonctionnent indépendamment du fait qu'un site respecte ou non vos préférences de désinscription.
• Envisagez un VPN pour la navigation générale, en particulier sur des réseaux que vous ne contrôlez pas. Un VPN ne bloque pas directement les traceurs, mais il empêche votre fournisseur d'accès à internet et les observateurs au niveau du réseau de dresser un tableau de votre activité, et il masque l'adresse IP qui relie vos sessions sur différents sites.
• Vérifiez périodiquement les paramètres de confidentialité de votre navigateur. Les cookies tiers, les protections contre le fingerprinting et le blocage des traceurs sont souvent désactivés par défaut dans les navigateurs grand public.
• Méfiez-vous des bannières de consentement aux cookies. Des études montrent régulièrement que de nombreux sites continuent à effectuer des suivis quelle que soit l'option sélectionnée.

Le CCPA a constitué une étape significative vers la responsabilisation des entreprises quant à la manière dont elles traitent les données personnelles. Mais cet audit confirme ce que de nombreux chercheurs en matière de vie privée soutiennent depuis des années : les droits légaux et les réalités techniques sont deux choses très différentes. Comprendre cet écart — et prendre des mesures pour le combler avec les outils à votre disposition — est la voie la plus fiable vers une protection réelle de la vie privée à l'heure actuelle.