De la théorie à la pratique il y a parfois (souvent) un gouffre. C'est typiquement le cas en ce qui concerne le réglement général sur la protection des données personnelles (RGPD) et plus spécifiquement sur les lignes directrices liées à l'usage des cookies par les sites web. La décision du Conseil d'Etat le 19 juin 2020, allant dans le sens des éditeurs de sites pour bloquer l'accès aux internautes refusant les cookies alors même que la CNIL considère le recours aux cookies walls contraire au RGPD, a sonné comme un coup de tonnerre. « La CNIL poursuit son travail sur le projet de recommandation et lignes directrices relatives aux cookies et autres traceurs. Les lignes directrices seront ainsi ajustées afin de tirer les conséquences de cette décision [du Conseil d'Etat]. Cet ajustement et l’adoption de cette recommandation par le collège de la CNIL devrait intervenir après la rentrée de septembre 2020, selon un calendrier qui reste à préciser », nous a expliqué la commission.

Dans ce contexte juridique encore flottant, les sites web font tant bien que mal - ou pas - des efforts pour appliquer le réglement en attendant un cadre législatif plus clair. En ce qui concerne Boursorama, il semble que les efforts mis en oeuvre en matière de gestion des cookies et de consentement sont loin d'avoir porté leurs fruits, au contraire. Pointés du doigt, les choix de la banque en ligne en la matière posent effectivement question. A commencer par le traçage de l'activité des utilisateurs et clients des services de Boursorama dans leur propre espace client. Afin de passer sous le radar de potentiels bloqueurs de publicité pouvant « perturber la bonne navigation » et empêcher une « consultation zéro risque » des comptes, Boursorama a adopté un sous-domaine personnalisé enregistré sous forme d'un champ CNAME dans le DNS (c0011.boursorama.com) pointant en réalité vers at-o.net dépendant d'AT Internet et permettant de contourner les protections des navigateurs et des adblockers.

Passer par un CNAME administré par un tiers, en l'occurrence AT Internet, peut par ailleurs engendrer un risque en termes de sécurité. En effet, un utilisateur malveillant chez le prestataire - voire un employé ciblé par du social engineering - peut accéder, sous réserve de disposer de compétences techniques et du niveau d'autorisation nécessaire, aux logs de sessions et potentiellement se connecter à la place de l'utilisateur. « C'est une source potentielle de faille de sécurité et l'encadrement contractuel nécessite à l'inverse une obligation de sécurité, à défaut Boursorama peut être accusé de négligence dans le recours aux partenaires », fait savoir Florence Bonnet, directrice associée Data au sein du cabinet TNP. « Le risque zéro n'existe pas mais il est en l'occurrence ici très théorique, il faut une succession de facteurs pour y arriver et, quand bien même ce serait le cas, la personne malveillante ne pourrait rien faire car toutes les opérations sensibles sont protégées », nous a indiqué Aurore Gaspar, directrice générale adjointe de Boursorama.

Boursorama loin d'être un cas isolé

« Un CNAME permet la création de sous domaines et d'URL factices pour passer sous les fourches caudines des ad blockers embarqués, grâce à des données marketing et publicitaires qui sont identifiées comme des données propriétaires mais pas tierces », nous a indiqué un expert en digital marketing qui a préféré garder l'anonymat. « L'objectif, c'est de déguiser un peu les cookies tiers en les faisant passer pour des cookies propriétaires », nous a indiqué Florence Bonnet. « Cela permet de contourner les mesures prises pour les navigateurs qui cherchent à les contourner. » Du côté de Boursorama, il n'y a au contraire pas de volonté de cacher quoi que ce soit. « Quand les clients arrivent sur les espaces, ils ne sont pas traqués avant de faire un consentement, en acceptant la pose des cookies ou sinon en les paramétrant sur la console de gestion des cookies », nous a indiqué Aurore Gaspar. 

Mais pourquoi se donner tant de mal pour camoufler un cookie tiers en propriétaire ? « Chrome va supprimer les cookies tiers mais pas propriétaires, ce qui va permettre à Boursorama de continuer à traquer l'individu à partir du moment où l'individu donne son consentement », poursuit l'expert en digital marketing anonyme. « Malheureusement Boursorama n'est pas un cas isolé, c'est encore très fréquent en France aujourd'hui ». Et Florence Bonnet de lancer : « Pour nous Boursorama est un mauvais élève. On voit que les entreprises se mettent en conformité clairement, on ne peut pas dire ce soit le cas dès lors qu'il y a mauvaise qualification des cookies tiers qui vont tracer et, donc, qu'il n'y a pas un consentement valide. C'est à la personne de se manifester, c'est une pratique abusive mais il n'y a pas que Boursorama dans ce cas ».

Des espaces autopromos aux publicités monétisées 

Parmi les choix effectués par Boursorama en matière de cookies, certains peuvent s'avérer troublants. C'est le cas par exemple pour le cookie wall où les choix d'acceptation par défaut pour 5 catégories de traitements (conservation et accès aux informations, personnalisation, sélection, diffusion et mesure de publicités, sélection, diffusion et mesures de contenu, et statistiques) sont cochés sur « On ». De plus, lorsque l'utilisateur décoche manuellement ces cases, aucun historique des préférences n'est effectué. Résultat : l'utilisateur/client doit recommencer la procédure de refus des cookies à chaque connexion. Au final, à quoi servent les traceurs de navigation mis en place dans l'espace client Boursorama ? Pour l'instant, à pousser des autopromos, c'est à dire des produits et services internes mais à l'avenir il n'est pas exclu que de la monétisation de ces espaces publicitaires soit réalisé. « Il n'y a pas de publicité de tiers dans l'espace client, on est une entreprise assez innovante et si un jour cela se faisait, ce serait bien entendu dans le respect des consentements », assure Aurore Gaspar.

« Les CMP [plate-forme de gestion des consentements] prévoient bien les finalités sauf qu'elles ne sont pas clairement définies et ne répondent pas aux exigences de la réglementation européenne », explique Florence Bonnet. « Elles prévoient qu'on peut choisir autre chose que le consentement comme l'intérêt légitime permettant à Boursorama de se mettre en opt out. C'est peut-être pour cela que certains ont déjà, par défaut, paramétré la CMP pour qu'il y ait dépôt de cookies même si cela n'est pas conforme au RGPD ». D’après sa politique de confidentialité, Boursorama fonde le profilage à des fins publicitaires - et donc le tracking - sur l’intérêt légitime. Il l’inclut dans la prospection commerciale. « Sur ce point il peut y avoir discussion sur le choix de la base juridique mais les finalités ne sont pas suffisamment précises », admet Florence Bonnet.

Une saisie de la CNIL en cas de consentement requis pas recueilli en conformité avec le RGPD

Et la CNIL de préciser de son coté : « le dépôt et la lecture de cookies impliquent, par principe, un consentement libre, spécifique, éclairé et univoque après que l’utilisateur ait été informé des finalités des traceurs et des moyens de refuser. Les seules exceptions, à ce stade, sont fixées par l’article 82 de la loi informatique et libertés ; l’article 15 de la directive « ePrivacy » laissant la possibilité pour les états membres de prévoir des limitations à cette obligation (celle de l’article 5(3) de la directive « ePrivacy ») pour certains objectifs. Le caractère univoque implique notamment que l’acceptation des cookies ne peut pas être le mode par défaut ou résulter d’une inaction ou encore de cases pré-cochées par défaut, etc. [...] Si le consentement est requis et qu’il n’est pas recueilli conformément aux exigences de la réglementation (de manière préalable, libre, spécifique, éclairé et univoque), les utilisateurs peuvent saisir la CNIL ». Reste maintenant à savoir si Boursorama consentira à modifier sa gestion des cookies pour éviter de se retrouver devant pareille situation.