Les lois européennes sur les données ont-elles vraiment freiné le traçage en ligne ?

Lorsque le Règlement général sur la protection des données (RGPD) est entré en vigueur en 2018, il a été salué comme un tournant majeur pour la vie privée numérique. Mais près de sept ans plus tard, le monde en ligne ressemble davantage à un système réajusté qu’à un système réformé. 

Dans notre étude coécrite avec Karlo Lukic et Bernd Skiera, nous avons analysé la manière dont les sites web ont réellement réagi - et constaté que, si les traceurs les plus intrusifs ont reculé, le volume global de scripts de suivi a, lui, continué de croître. Le RGPD n’a pas démantelé l’infrastructure de surveillance : il en a simplement rendu certaines parties plus visibles, et, d’une certaine manière, plus “consenties”.

La plupart des internautes connaissent les traces évidentes qu’ils laissent en ligne : connexions, inscriptions à des newsletters… Mais à chaque chargement de page, une armée de “traceurs” (dont les fameux cookies) se met en marche. Utilisés par les éditeurs, les annonceurs et les plateformes, ces scripts enregistrent les comportements, recoupent les identités et bâtissent des profils d’utilisateurs détaillés, souvent à l’insu des intéressés.

Certains traceurs ont des usages légitimes, comme la sécurité du site ou la mémorisation des préférences linguistiques. D’autres, en revanche, partagent les données entre plateformes et annonceurs, permettant presque tout, des publicités ultra-ciblées aux recommandations troublantes de justesse.
Ce type de suivi soulève d’importantes questions de protection de la vie privée : imaginez, par exemple, que les données de votre géolocalisation soient corrélées à des visites sur le site des Alcooliques anonymes.

L’Union européenne a alors adopté le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Le RGPD a défini quelles données personnelles peuvent être collectées et dans quelles conditions. En principe, les traceurs non essentiels (ceux qui ne sont pas indispensables au fonctionnement du site) doivent désormais faire l’objet d’un consentement explicite.

Près de sept ans plus tard, mes collègues et moi nous sommes demandé ce qui avait réellement changé.
Dans notre article « The Impact of the General Data Protection Regulation (GDPR) on Online Tracking », nous ne cherchions pas tant à savoir si le traçage avait disparu après l’entrée en vigueur du règlement (ce n’est pas le cas), mais plutôt si les formes les plus intrusives de suivi avaient diminué.

Pour mesurer l’impact réel du RGPD, nous avons suivi les traceurs eux-mêmes, en analysant le traçage sur des sites web situés à l’intérieur et à l’extérieur de l’Union européenne, avant et après l’entrée en vigueur du règlement.

Contrairement à l’intuition selon laquelle le RGPD aurait pu réduire le traçage, le nombre total de traceurs a en réalité augmenté sur la période observée. Cependant, les éditeurs européens ont enregistré une hausse inférieure de 14,8 % à celle de leurs homologues hors UE, soit en moyenne quatre traceurs de moins par site.

Fait essentiel : les types de traceurs qui ont reculé sont précisément ceux que le RGPD visait - ceux qui collectent et partagent des informations personnellement identifiables (PII). Leur nombre a diminué de 2,2 traceurs par éditeur en moyenne. En revanche, les traceurs publicitaires n’ont été que marginalement affectés.

Les traceurs essentiels, nécessaires au chargement d’un site, à l’affichage des polices ou à la vérification que vous n’êtes pas un robot, ont peu évolué. Rien d’étonnant, puisqu'ils ne nécessitent pas de consentement en vertu du RGPD.

Les traceurs non essentiels, notamment ceux liés à la publicité et au profilage des utilisateurs, ont été davantage touchés, sans pour autant disparaître. Les traceurs publicitaires n’ont reculé que légèrement, tandis que les outils d’analyse sont restés largement utilisés. Les bannières de consentement aux cookies ont fleuri partout, mais le comportement des internautes a peu changé. La plupart cliquent encore sur « tout accepter ».

Cela s’explique par le « paradoxe de la vie privée », comme nous l’expliquons : 99 % des utilisateurs refusent de payer pour leur vie privée (dans les modèles « payer ou être suivi »), tout en affirmant y tenir. En réalité, les internautes paient avec leur attention et leurs données, c’est pourquoi le traçage est voué à perdurer.

L’étude a également examiné la réaction des différents types de sites web. Sans surprise, les sites d’actualité sont ceux qui recourent le plus au traçage : en moyenne 29 traceurs par site, bien au-dessus des sites gouvernementaux (7 traceurs) ou des pages de référence.

Pourquoi ? Parce que les éditeurs de presse dépendent largement des revenus publicitaires, et que ces revenus reposent encore en grande partie sur les données de tiers. Ces sites se montrent donc plus réticents à se conformer pleinement aux règles — une question de survie économique.

Mais il faut rester prudent. Ces éditeurs n’étaient peut-être déjà pas en conformité avant la période étudiée. Et cela n’est pas toujours intentionnel : les annonceurs peuvent glisser des cookies dans les publicités diffusées sur le site à l’insu des éditeurs. Le marché est complexe, et seuls les grands médias techniquement avancés, comme Le Monde ou Der Spiegel, disposent des moyens nécessaires pour maîtriser pleinement ces mécanismes.

Quoi qu’il en soit, tous les éditeurs n’ont pas interprété — ni appliqué — le RGPD de la même manière. Il est d’ailleurs de notoriété publique que le RGPD est insuffisamment appliqué.

Pour les utilisateurs, le paysage numérique reste imparfait. Leur consentement est bien sollicité, mais il demeure souvent superficiel, voire contraint : après tout, lorsque aucune option alternative — comme un suivi analytique moins intrusif — n’est proposée, les internautes continuent inévitablement de cliquer sur « tout accepter ».

L’une des solutions proposées dans l’article consiste à dissocier certaines fonctions qui sont habituellement liées entre elles. Prenons l’exemple de YouTube : le visionnage des vidéos est indissociable du traçage, ce qui permet à Google, son propriétaire, de monétiser les données des utilisateurs. Mais si ces deux fonctions étaient séparées, qui accepterait de payer pour accéder au service, c’est-à-dire simplement regarder une vidéo ?

En conclusion, le RGPD n’a pas tué le cookie — il en a simplement modifié la recette : l’infrastructure de collecte, de conservation et de partage des données demeure en grande partie intacte. Les utilisateurs ont certes gagné un semblant de protection de leur vie privée, ou du moins une meilleure conscience du moment où ils y renoncent.

Applications

Une solution pour équilibrer les avantages du traçage et la protection de la vie privée consisterait à séparer la fonction du traceur de la collecte de données. Cela permettrait de préserver certaines fonctionnalités de contenu (comme les vidéos intégrées) sans créer de surveillance, mais le coût de cette fonctionnalité serait alors reporté sur les éditeurs, les annonceurs, les fournisseurs de traceurs ou les utilisateurs.

Le RGPD souffre également d’un problème d’application : les autorités de protection des données manquent de ressources et se concentrent souvent sur les grands acteurs du web. Cependant, les amendes ont un effet dissuasif : Klaus Miller a observé une baisse du nombre de traceurs après que Google a été condamné à une amende de 50 millions d’euros en 2019, même si le traçage a ensuite rebondi.

Méthodologie

Les chercheurs ont analysé un échantillon de 29 735 sites web sur une période de 32 mois, couvrant 12 mois avant et 20 mois après l’entrée en vigueur du règlement. Ils ont comparé les tendances d’utilisation des traceurs entre les éditeurs européens (soumis au RGPD) et les éditeurs non européens (non soumis), en distinguant les différents types d’outils de traçage.

Traduction assistée par LLM.