Le fingerprinting de navigateur et le consentement : guide de l'éditeur sur une technique de suivi surveillée par les régulateurs
Pour la majeure partie de la discussion sur le suivi en ligne à l'ère des cookies, la surface technique qui comptait était la couche de stockage : les cookies dans le navigateur, les entrées localStorage, les bases de données IndexedDB, les éléments qu'un développeur pouvait voir et qu'un régulateur pouvait pointer du doigt. L'empreinte digitale fonctionne différemment. Elle ne demande pas au navigateur de stocker quoi que ce soit. Au lieu de cela, elle pose des questions au navigateur — quelles polices avez-vous installées, à quoi ressemble le rendu de ce canvas, comment le contexte audio traite-t-il ce signal — et combine les réponses en un identifiant qui persiste à travers les sessions, les appareils et même les fenêtres de navigation privée. Pour les éditeurs et les fournisseurs d'ad-tech, l'empreinte digitale a été un moyen attrayant de contourner la dépréciation des cookies tiers. Pour les régulateurs, elle est devenue l'une des techniques de suivi les plus agressivement poursuivies car, par conception, elle identifie les utilisateurs sans leur coopération. La CNIL, l'EDPB, l'ICO du UK et le Garante italien ont tous émis des décisions d'application ou des orientations ciblant spécifiquement l'empreinte digitale au cours des 24 derniers mois. Ce guide explique ce qu'est réellement l'empreinte digitale, ce qui compte comme empreinte digitale en vertu de la loi, et comment un éditeur devrait la gérer dans un cadre de gestion du consentement.
Qu'est-ce que l'empreinte digitale du navigateur
Une empreinte digitale de navigateur est un identifiant à haute entropie construit à partir de propriétés que le navigateur expose à tout JavaScript en cours d'exécution. Les techniques de base se divisent en plusieurs familles, chacune contribuant à l'entropie de l'empreinte combinée.
Empreinte digitale canvas
L'élément canvas HTML5 rend les graphiques de manière légèrement différente selon le GPU sous-jacent, le pilote, le système d'exploitation et le sous-système de polices. Dessiner une chaîne fixe avec une police spécifique, puis hacher les données de pixels résultantes, produit un identifiant qui varie d'un appareil à l'autre mais reste stable à travers les sessions sur le même appareil. L'empreinte digitale canvas est l'exemple canonique et la technique la plus citée dans les actions d'application.
Empreinte digitale audio
L'API AudioContext traite les signaux audio à travers le même type de pipeline matériel et logiciel que les graphiques, et la sortie résultante varie d'une manière qui crée de l'entropie. Faire passer un oscillateur connu à travers un compresseur et hacher le résultat produit un identifiant stable par appareil.
Énumération des polices
Différents systèmes d'exploitation et profils utilisateur ont différents ensembles de polices installées. Sonder la présence ou l'absence de polices — en mesurant les métriques de texte pour une liste de polices candidates — produit un identifiant particulièrement distinctif pour les utilisateurs qui ont personnalisé leur ensemble de polices.
Empreinte digitale WebGL
WebGL expose les capacités du GPU et le comportement de rendu. La combinaison de la chaîne du fournisseur, de la chaîne du moteur de rendu et du rendu d'une scène fixe produit un autre identifiant à haute entropie.
Métadonnées réseau et appareil
Au-delà des techniques de sondage actif, les empreintes digitales incorporent généralement des métadonnées passives : chaîne User-Agent, préférences linguistiques, fuseau horaire, résolution d'écran, profondeur de couleur, mémoire disponible, processeurs disponibles, état de la batterie et empreinte digitale TLS au niveau de la couche de connexion. Chaque élément ajoute de l'entropie par lui-même et se combine de manière multiplicative avec les autres.
Comment les régulateurs traitent l'empreinte digitale
L'analyse juridique est simple dans les grandes lignes mais plus difficile en pratique. L'empreinte digitale qui identifie un utilisateur produit des données personnelles selon la définition du GDPR, et la lecture ou l'accès à des informations déjà stockées sur un appareil relève de l'Article 5(3) de la directive ePrivacy — la même disposition qui régit les cookies. L'Article 5(3) et le GDPR exigent tous deux un consentement préalable pour le suivi non essentiel. Là où la loi va au-delà des cookies, c'est que l'ePrivacy 5(3) couvre « le stockage d'informations, ou l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur » — un langage suffisamment large pour couvrir le sondage de l'état de l'appareil dont dépend l'empreinte digitale.
L'EDPB a confirmé cette lecture dans ses lignes directrices de 2023 sur l'application de l'Article 5(3) au suivi non-cookie, et la CNIL a été l'exécuteur le plus agressif : un certain nombre d'amendes en 2024 ont cité les bibliothèques d'empreintes digitales fonctionnant avant le consentement comme une violation primaire. La déclaration de 2024 de l'ICO du UK sur le suivi est encore plus directe en cadrant les empreintes canvas, audio et similaires comme nécessitant un consentement opt-in au même titre que les cookies.
La zone grise : prévention de la fraude contre suivi
Le cas d'utilisation d'empreinte digitale le plus contesté est la prévention de la fraude. La détection de bots, la défense contre la prise de contrôle de compte et le filtrage de fraude aux paiements reposent tous sur l'empreinte digitale de l'appareil comme signal principal. Les régulateurs ont reconnu qu'une partie de ce traitement peut être justifiée par un intérêt légitime plutôt que par le consentement — mais la barre est haute et la portée est étroite. La position de la CNIL, reprise par d'autres autorités de protection des données, est que :
- La prévention strictement nécessaire de la fraude sur les propriétés de première partie peut procéder sous intérêt légitime, avec une documentation appropriée dans une évaluation d'intérêt légitime (LIA).
- L'utilisation comportementale ou publicitaire de la même empreinte digitale nécessite un consentement et ne peut pas se fonder sur la base de la prévention de la fraude.
- Le partage de l'empreinte digitale avec des tiers à quelque fin que ce soit sort généralement du cadre de l'intérêt légitime et nécessite un consentement.
- Le stockage persistant de l'empreinte digitale au-delà du contrôle immédiat de fraude nécessite généralement soit un consentement, soit une position d'intérêt légitime très étroitement rédigée.
L'implication pratique est qu'un éditeur exécutant à la fois l'empreinte digitale de prévention de la fraude et l'empreinte digitale ad-tech ne peut pas s'appuyer sur la base de fraude pour couvrir les deux. Les deux flux doivent être architecturalement séparés, le flux ad-tech étant contrôlé par le consentement et le flux de prévention de la fraude étant limité à son objectif documenté.
Comment gérer l'empreinte digitale dans un CMP
Le modèle d'intégration pour l'empreinte digitale est similaire à d'autres techniques de suivi mais avec une attention supplémentaire car l'absence de stockage évident rend la frontière du consentement plus facile à manquer.
1. Inventorier la surface d'empreinte digitale
Auditer le site pour tout script qui appelle canvas toDataURL(), traitement basé sur AudioContext, sondage de polices par mesure de métriques de texte, ou requêtes de moteur de rendu WebGL. Ces appels sont souvent enfouis dans des bibliothèques tierces — SDK ad-tech, fournisseurs anti-fraude, outils de test A/B — et ne sont pas immédiatement visibles.
2. Catégoriser chaque utilisation d'empreinte digitale
Pour chaque bibliothèque qui effectue une empreinte digitale, documenter si elle est (a) strictement nécessaire au fonctionnement du site, (b) une mesure de prévention de la fraude sous intérêt légitime, ou (c) pour le suivi, l'analyse ou la publicité. Les catégories (a) et (b) peuvent procéder sans consentement explicite sous des bases documentées ; la catégorie (c) nécessite un opt-in.
3. Contrôler l'empreinte digitale à finalité de suivi
Pour les bibliothèques relevant de la catégorie (c), le CMP doit les traiter de manière identique aux cookies marketing : le script est dans le DOM mais inerte jusqu'à ce que le visiteur accepte la catégorie marketing. La plupart des CMP modernes prennent déjà en charge cela via le modèle standard type="text/plain" + attribut de catégorie.
4. Documenter la base d'intérêt légitime pour l'empreinte digitale de prévention de la fraude
Lorsque l'empreinte digitale procède sous intérêt légitime, la LIA doit être spécifique, actuelle et refléter la portée réelle du traitement. Une « prévention de la fraude » générique ne suffit pas — la LIA doit identifier quelles données sont traitées, combien de temps elles sont conservées, quelles protections s'appliquent et quelles sont les attentes réalistes de l'utilisateur.
5. Fournir un opt-out significatif pour les flux d'intérêt légitime
Même lorsque l'empreinte digitale de prévention de la fraude procède sans consentement, l'Article 21 du GDPR accorde à l'utilisateur le droit de s'opposer au traitement basé sur l'intérêt légitime. Le CMP doit faire apparaître ce droit, et l'implémentation technique doit effectivement arrêter l'empreinte digitale lorsque le droit est exercé — pas seulement enregistrer l'objection tout en continuant à effectuer l'empreinte digitale.
Liste de contrôle d'audit
Six questions concrètes auxquelles répondre pour tout site exposant potentiellement des surfaces d'empreinte digitale.
1. Exhaustivité de l'inventaire
L'équipe de sécurité a-t-elle produit une liste actuelle de chaque bibliothèque qui effectue un sondage canvas, audio, de polices, WebGL ou de métadonnées d'appareil ? Si la réponse est « nous ne sommes pas sûrs », l'audit ne peut pas procéder.
2. Classification de la base
Pour chaque bibliothèque, existe-t-il une base légale documentée (consentement, intérêt légitime avec LIA, nécessité contractuelle) ? Les bases non documentées sont de facto absentes sous la responsabilité.
3. Contrôle par consentement
Les bibliothèques d'empreintes digitales à finalité de suivi sont-elles contrôlées par la catégorie de consentement marketing, le script étant incapable de s'exécuter avant l'acceptation ?
4. Actualité de la LIA
Les évaluations d'intérêt légitime sont-elles datées de moins de 12 mois et reflètent-elles la portée réelle du traitement actuel plutôt que des descriptions héritées ?
5. Application de l'opt-out
Lorsqu'un utilisateur exerce l'Article 21, le système arrête-t-il effectivement l'empreinte digitale d'intérêt légitime, ou enregistre-t-il seulement l'objection ?
6. Nettoyage inter-fournisseurs
Si une empreinte digitale est partagée avec un tiers (un réseau publicitaire, un fournisseur d'attribution, un fournisseur d'identité), ce partage est-il couvert par un consentement séparé et divulgué dans l'avis de confidentialité ?
Où se situe l'empreinte digitale dans l'avenir du suivi
Les fournisseurs de navigateurs travaillent activement à réduire l'entropie disponible pour les bibliothèques d'empreintes digitales. L'ITP d'Apple, la protection intégrée de Firefox et les propositions Google Privacy Sandbox grignotent tous la surface sous-jacente. Aucune de ces interventions ne supprime cependant la question réglementaire — même une empreinte digitale avec une entropie réduite reste une donnée personnelle lorsqu'elle réussit à identifier un utilisateur, et réduire le taux de réussite ne change pas l'analyse juridique lorsqu'elle fonctionne. Pour les éditeurs, l'hypothèse la plus sûre est que l'empreinte digitale continuera d'être une technique réelle et pertinente pour l'audit pendant les 24 prochains mois, que les régulateurs continueront de la considérer comme équivalente aux cookies à des fins de consentement, et que la bonne réponse opérationnelle est de traiter l'empreinte digitale comme toute autre surface de suivi : inventoriée, catégorisée par objectif, contrôlée par le consentement lorsque nécessaire, et documentée de manière approfondie lorsqu'elle procède sous une autre base.