Les sites Web les plus visités ne respectent pas correctement les lois sur la confidentialité et suivent activement leurs utilisateurs, selon une étude espagnole

Seul un petit pourcentage des 500 sites Web les plus visités en Espagne (qui incluent tout, des sites gouvernementaux aux plateformes de streaming et de contenu pour adultes) remplissent correctement les exigences énoncées dans le Règlement général sur la protection des données (RGPD). C’est l’une des principales conclusions d’une étude impliquant des chercheurs de l’Universitat Oberta de Catalunya (UOC), de l’Université de Gérone et du Centre de recherche sur la cybersécurité de Catalogne (CYBERCAT).

Les résultats, qui sont publiés dans Informatique et sécurité sous licence Creative Commons, ont été atteints à l’aide de nouvelles méthodes automatisées d’analyse des techniques de suivi Web et de la conformité aux réglementations sur la confidentialité d’Internet.

Outre l’utilisation incorrecte et non consensuelle des cookies, ces algorithmes d’analyse ont détecté l’utilisation de techniques de suivi Web peu connues de l’utilisateur moyen, telles que les balises Web et les technologies basées sur l’empreinte numérique du navigateur.

Non-conformité généralisée aux lois sur la protection de la vie privée

L’approbation par le Parlement européen du règlement général sur la protection des données en 2016 devait changer à jamais la façon dont les entreprises, les sites Web et les plateformes numériques gèrent les données personnelles des utilisateurs. Le règlement européen, qui a été transposé en Espagne en tant que loi organique sur la protection des données personnelles et la garantie des droits numériques en 2018, était censé marquer un tournant dans la protection de la vie privée des citoyens. Pourtant, six ans plus tard, la mise en œuvre effective de ce règlement progresse à un rythme hésitant.

“Nous avons constaté que les sites Web ont encore un long chemin à parcourir pour mettre en œuvre correctement les exigences énoncées dans le règlement général sur la protection des données”, a expliqué Cristina Pérez-Solà, qui a participé à l’analyse de cette question en tant que chercheuse à la Faculté d’informatique de l’UOC. , Multimédia et Télécommunications. Elle a déclaré: “De nombreux sites Web analysés informent les utilisateurs de l’utilisation de cookies, mais soit n’attendent pas leur consentement pour les utiliser, soit acquièrent ce consentement de manière inappropriée.”

Pour cette étude, l’équipe de chercheurs a développé plusieurs algorithmes pour analyser les 500 sites Web les plus visités en Espagne selon le classement Alexa. Les résultats ont révélé un pourcentage élevé de sites qui ne disposaient pas d’un formulaire approprié pour obtenir le consentement des utilisateurs pour l’utilisation de cookies et d’autres outils de collecte de données.

Les outils d’analyse ont également détecté l’utilisation de près de 7 cookies de suivi en moyenne par site Web et de 11 balises Web, qui sont de petits morceaux de code intégrés au site pour collecter de manière invisible certains types d’informations à partir du trafic Web. De plus, 10% des sites analysés dans l’étude utilisent des techniques d’empreintes digitales du navigateur, qui sont également difficiles à détecter.

Selon Pérez-Solà, expert en sécurité et confidentialité sur le Web, “Le but de toutes ces techniques est généralement de suivre le comportement en ligne des internautes afin de créer des profils qui peuvent ensuite être utilisés pour ajuster la publicité qui sera affichée ou les prix qui seront proposés pour les services ou les produits. » L’analyse réalisée par les chercheurs de l’UOC (Pérez-Solà et Albert Jové) et de l’Université de Gérone (David Martínez et Eusebi Calle) montre que seulement 8,91% des sites Web qui obtiennent le consentement des utilisateurs comme requis appliquent ce consentement avec succès dans la pratique .

De nouveaux algorithmes pour analyser la conformité au RGPD

Au-delà des résultats d’analyse, l’importance de cette recherche réside dans les algorithmes utilisés pour étudier la conformité aux lois sur la confidentialité en ligne. Le grand nombre de pages et de plates-formes sur Internet rend impératif l’automatisation du processus, car l’étude manuelle de chaque cas serait impossible.

De plus, certaines des techniques de suivi Web utilisées sont extrêmement difficiles à détecter, sans marqueurs clairs pour indiquer leur présence. Pour surmonter ces défis, les chercheurs ont développé une méthode exclusive impliquant quatre algorithmes et une mesure – le niveau de confiance des sites Web – pour évaluer l’état de la conformité réglementaire.

“Notre méthode utilise une combinaison d’automatisation et d’inspection manuelle. Les algorithmes mis en œuvre parcourent automatiquement les sites Web analysés et prennent des captures d’écran qui sont ensuite inspectées manuellement”, a déclaré Pérez-Solà.

“Afin de détecter les techniques de suivi du Web, nous avons également utilisé un outil développé par le Contrôleur européen de la protection des données appelé Website Evidence Collector. Cet outil est conçu pour effectuer des inspections de confidentialité sur les sites Web et permet de détecter l’utilisation de cookies, balises et outils d’empreintes digitales du navigateur.”

• Chacun des algorithmes utilisés par les chercheurs a une fonction bien définie :
• L’algorithme de l’inspecteur du consentement (CIA) capture des images claires des bannières de cookies du site Web et identifie les boutons qui devraient permettre aux utilisateurs de personnaliser l’utilisation de ces éléments de suivi.
• Le Website Evidence Collector (WEC) rassemble des informations sur les différentes techniques de suivi Web utilisées sur chaque site Web.
• L’algorithme de détection de cookies (CDA) catégorise les cookies que les sites Web utilisent dans les navigateurs sans le consentement de l’utilisateur, sur la base des données fournies par le WEC.
• L’algorithme de détection des balises Web (BDA) extrait non seulement les balises Web détectées par le WEC, mais identifie également les techniques d’empreinte digitale du navigateur.

“Notre étude se concentre sur l’analyse du respect du règlement général sur la protection des données par les sites Web les plus visités en Espagne”, a ajouté Pérez-Solà. “Nous avons sélectionné les 500 sites Web les plus visités selon le classement Alexa et analysé leur utilisation de ces techniques de suivi Web ainsi que les informations qu’ils donnent aux utilisateurs et les options alternatives qu’ils leur proposent. Enfin, nous avons compilé les résultats de cette analyse. en une mesure, le Websites Level of Confidence, qui permet d’évaluer l’état actuel de la conformité.”

“Comprendre les détails des réglementations qui s’appliquent à un moment donné et savoir quelles techniques un site Web utilise sont hors de portée de la plupart des utilisateurs”, a-t-elle conclu ; “Notre proposition de mesure du niveau de confiance des sites Web (WLoC) fournit aux utilisateurs un aperçu de l’état de conformité des sites Web les plus populaires et leur permet de voir comment il évolue au fil du temps sans avoir besoin de connaissances juridiques ou techniques.”

Fourni par l’Université ouverte de Catalogne