Le fingerprinting : une arme à double tranchant pour la vie privée
Max-Myrtho Saint-Louis est étudiant dans le cadre du cours DRT6929E (Vie privée + numérique)
Une image vaut mille mots, mais une démonstration pratique est encore mieux. (Voir la démonstration du fingerprinting)
Le 18 décembre dernier, Google a annoncé qu’à partir du 16 février prochain il accorderait
Suite à cette déclaration, le 19 décembre (le lendemain), le “Information Commissioner’s Office” (ICO) du Royaume-Uni a réagi fermement en publiant une note s’opposant catégoriquement au fait que ce géant du web permette aux entreprises publicitaires d’avoir recours au fingerprinting. Dans son texte, nous lisons :
À propos de la décision de Google
La position de Google d’accorder plus de liberté à ses partenaires publicitaires est perçue comme un revirement. En août 2019, Google avait vigoureusement condamné la pratique du fingerprinting, le qualifiant de technique opaque qui sape le contrôle des utilisateurs sur leur vie privée en ligne. À l’heure actuelle (février 2025), Google utilise les cookies pour le suivi publicitaire. En accordant plus de liberté à ses partenaires, l’entreprise semble revenir sur sa décision initiale de combattre le fingerprinting.
Cette décision du géant du web est encore mieux comprise lorsqu’on prend en compte son projet de suppression des cookies tiers sur Chrome, initialement prévue pour 2022 et plusieurs fois repoussée, avec une nouvelle échéance fixée au début de l’année 2025. Toutefois, cette suppression ne signifie pas la fin du suivi des utilisateurs. Au lieu de les tracer de site en site grâce aux cookies tiers, Google et ses partenaires pourraient s’appuyer sur d’autres méthodes, dont le fingerprinting.
Mais, c’est quoi le Fingerprinting ?
Le fingerprinting, ou « prise d’empreinte » est
Au sujet de cette technique de traçage, le ICO nous dit, dans la note du 19 décembre :
Le fingerprinting se distingue principalement des autres types de traçage en ligne, telles que le traçage par les cookies et par l’adresse IP, en ce qu’il repose uniquement sur la collecte des informations relatives à l’appareil de l’utilisateur. Par exemple : la taille de l’écran, les polices de caractères installées, les informations relatives au navigateur, la mémoire vive(RAM), etc. Cette technique permet d’identifier un appareil, mais pas son utilisateur.
Son caractère furtif s’explique par le fait que les informations soient collectées automatiquement et instantanément lors de la connexion à un site internet. De ce fait, il n’y a pas de bannière de consentement, ni de termes et conditions à lire et à accepter, rendant cette méthode particulièrement discrète et difficile à détecter.
Parmi les différents types de traçage utilisés sur internet, le fingerprinting est l’un des plus difficiles à contrer. La raison majeure est que les sites internet ont besoin des informations de l’appareil pour fonctionner correctement. Il est également important de mentionner que le fingerprinting résiste au mode de navigation privée (incognito), a l’effacement des données de navigation (cookies, historique, cache, etc.) mais aussi a l’utilisation d’un VPN (Virtual Private Network). Toutefois, certaines méthodes et certains navigateurs offrent des solutions pour limiter son efficacité et mieux protéger la vie privée des utilisateurs.
Le fingerprinting : une des meilleures protections pour la vie privée en ligne ?
Comme expliqué précédemment, le fingerprinting, ou prise d’empreinte numérique, est une technique de traçage qui permet d’identifier de manière unique un appareil qui se connecte à un site internet. Cependant, il est important de noter qu’aucune des informations collectées ne permet d’identifier l’utilisateur. Autrement dit, les données exploitées dans le cadre du fingerprinting ne peuvent être qualifiées de “personnelles” au sens des législations actuelles en la matière, vu qu’elles ne permettront pas une identification directe ou indirecte d’une personne physique. Ainsi, un site internet qui utiliserait exclusivement cette méthode, sans recourir à des comptes utilisateurs ou à des cookies, garantirait une meilleure protection de la vie privée que celle qui utilise les autres formes de traçage basées sur la collecte des renseignements personnelles.
Du moment qu’il est question d’informations, de données ou de renseignements personnels, il est impératif de prendre en compte tout l’arsenal juridique qui les entourent. Par exemple, au Canada, toute entreprise qui traite des renseignements personnels est soumise à plusieurs obligations telles que : le consentement, la transparence, l’accès aux renseignements, etc. En cas de non-conformité aux lois en vigueur, l’entreprise s’expose à des sanctions judiciaires. Avec le fingerprinting qui ne collecte pas de renseignements qualifiés de “personnels”, l’entreprise identifie ses utilisateurs et elle leur offre une expérience moins intrusive et moins encombrante de sa plateforme. Une étude réalisée en 2024 a révélé que les européens ont passé plus de 500 millions d’heures à interagir avec les bannières de cookies.
Quant aux politiques de confidentialité, elles sont très souvent acceptées sans même être lues. De plus, la mise en conformité avec les réglementations relatives a la protection de vie privée peut parfois s’avérer complexe pour les entreprises. Par exemple, en février 2024, seulement 3% des entreprises canadiennes étaient conformes à la loi 25, relative à la protection des renseignements personnels.
En adoptant le fingerprinting comme seul moyen de traçage, un site internet pourrait offrir une expérience plus fluide, sans recourir à des bannières de consentement encombrantes. De plus, l’entreprise ne saurait pas exactement qui est derrière l’écran, préservant ainsi l’anonymat de ses utilisateurs tout en garantissant un certain niveau de sécurité.
Le fingerprinting : une menace pour la vie privée en ligne
Utiliser le fingerprinting comme unique moyen d’identification peut s’avérer avantageux aussi bien pour l’entreprise que pour l’utilisateur. Cependant, l’associer à d’autres moyens de traçage qui eux utilisent des renseignements personnels peut mettre du feu à la poudre. Le fingerprinting permet de recueillir un très grand nombre d’informations relatif l’appareil utilisé. Du moment que l’on identifie un utilisateur grâce à l’appareil qu’il utilise, sa vie privée est compromise. Si cette information est partagée avec d’autres entreprises, les activités de cet utilisateur peuvent être suivies de site en site et parfois à son insu compte tenu du caractère furtif du fingerprinting. C’est la raison pour laquelle, le ICO du Royaume-Uni a réagi d’entrée de jeu contre les nouveaux termes et conditions de Google. Dans son communiqué, il a mis l’accent sur le fait que le fingerprinting, une fois combinées, permettent d’identifier de manière unique un appareil et son utilisateur.
Cette réaction illustre bien les inquiétudes grandissantes autour de cette technologie. Si elle peut être utilisée de manière responsable pour des raisons de sécurité ou d’amélioration de l’expérience utilisateur, son potentiel abusif dans le domaine de la publicité ciblée et du suivi en ligne reste une menace sérieuse pour la vie privée. L’évolution des réglementations, notamment en Europe et au Canada, montre que les autorités de protection des données sont de plus en plus vigilantes face aux techniques de traçage par invisibles aux utilisateurs. L’enjeu principal reste donc de trouver un équilibre entre l’innovation et le respect des droits des internautes.
Mention : ChatGPT a été utilisé dans le but de corriger les fautes du texte. L’image a été générée par DeepAI
Ce contenu a été mis à jour le 13 février 2025 à 22 h 34 min.
Commentaires