Qu’est-ce qu’une empreinte digitale numérique ?
Le Groupe de travail article 29 la définit comme un ensemble de caractéristiques techniques permettant d’identifier une machine ou un programme, comme par exemple :
• les feuilles de style en cascade CSS qui peuvent être différentes selon le type de terminal utilisé (ex : écran ou mobile),
• les données issues de l’utilisation du langage JavaScript sur le terminal de l’utilisateur (ex : résolution d’écran, langue utilisée),
• les informations contenues dans l’entête HTTP (ex : le user agent, l’ordre des informations contenues dans l’entête),
• les polices de caractères installées sur le système d’exploitation de l’utilisateur,
• les plugins installés (paramètres utilisés et numéro de version).
Quel risque pour la vie privée des individus ?
L’avis indique que les éléments d’informations contenues dans l’entête HTTP n’ont pas de caractère unique, et ne permettent que rarement l’identification des utilisateurs. Exemple : on retrouve souvent les mêmes formats de médias supportés par un navigateur chez plusieurs utilisateurs ayant recours à la même version d’un navigateur.
En revanche, plusieurs informations combinées entre elles peuvent constituer un ensemble suffisamment unique pour constituer l’empreinte d’une machine ou d’un programme et permettent ainsi l’identification des individus.
Le risque d’atteinte à la vie privée est d’autant plus grand que cet ensemble unique d’informations n’est pas uniquement accessible à l’éditeur d’un site internet déterminé, comme c’est le cas pour les cookies, mais également à des tiers participant au contenu d’une page web. En effet, lorsqu’une page web est générée, il est courant que des contenus soient demandés à d’autres sources. Chacune de ces ressources générant ses propres requêtes HTTP.
De plus, beaucoup de sites contiennent également des pixels espions et des programmes de tracking susceptibles de générer eux aussi des requêtes HTTP.
Il est à noter que contrairement aux cookies, le système de traçage via l’empreinte numérique s’opère secrètement. Il n’existe pas de moyens simples permettant à l’utilisateur de s’y opposer. De plus, les possibilités de réinitialiser ou de modifier une information, utilisée aux fins de générer une empreinte digitale, sont limitées.
Quel est le cadre juridique applicable ?
Eu égard au risque que représente ce système pour la vie privée des individus, le Groupe de travail article 29, dans son avis du 25 novembre 2014 est venu affirmer que la directive « vie privée et communications électroniques » du 12 juillet 2002 couvre toutes les « technologies similaires » aux cookies, et qu’elle s’applique donc à « l’empreinte digitale numérique ».
Cela implique que le recours à ce système d’empreinte est également soumis à l’obligation de consentement informée posée à l’article 5 (3) de cette directive.
Il est à préciser que cet article permet d’exempter certains cookies de l’obligation de consentement informé s’ils satisfont à l’un des critères suivants :
CRITÈRE A : le cookie « [vise] exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques ».
CRITÈRE B : le cookie est « strictement [nécessaire] au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
Par conséquent le Groupe de travail article 29 considère que sont exemptées de l’obligation de consentement informé les entités ayant recours au système de l’empreinte digitale numérique pour les finalités suivantes :
La fourniture d’un réseau : si le traitement est réalisé uniquement afin d’assurer le fonctionnement normal du réseau alors il tombe sous l’exception visée au CRITÈRE A.
Le renforcement de la sécurité du service : le Groupe de travail article 29 a indiqué dans son avis 04/2012 que « l’exemption applicable aux cookies d’authentification au titre du CRITÈRE B peut s’étendre à d’autres cookies mis en place dans le but spécifique de renforcer la sécurité du service expressément demandé par l’utilisateur ».
L’adaptation du contenu (ex : format de vidéo) aux caractéristiques du terminal de l’utilisateur : ce cas tombe sous l’exception visée au CRITERE B.
En revanche, il sera nécessaire d’obtenir le consentement informé des personnes en cas de recours au système de l’empreinte numérique pour satisfaire à d’autres finalités telles que :
L’analyse de l’audience des sites internet.
La publicité comportementale en ligne.
Le renforcement de l’authentification de l’utilisateur : lorsqu’un un service en ligne a recours au système de l’empreinte digitale comme second moyen d’authentification (en plus de l’identifiant et du mot de passe) pour s’assurer qu’un compte est lié à un terminal précis.