Les détecteur « AdBlockers » sont-ils illégaux ?

Les « AdBlockers » permettent de bloquer l’affichage de publicité sur un site Internet. Les détecteurs d’ « Adblockers » permettent de détecter les utilisateurs de ces « AdBlockers » et interdisent (le plus souvent) la navigation en cas de détection positive.

Mais est-ce bien légal ?


Tube with AdBlock installed (cc Yuriy Akopov)

Tube with AdBlock installed (cc Yuriy Akopov)

Chapitre 1. Pourquoi cette question ?

En me baladant sur Twitter, je suis tombé sur cet article : Les éditeurs hors-la-loi lorsqu’ils ciblent les utilisateurs d’adblockers ?1

Section 1.1. Le contenu de cet article

Cet article cite Alexander Hanff, consultant en protection de la vie privée et militant pour le mouvement Think Privacy :

Détecter qu’un internaute en utilise un est une infraction à la loi européenne. J’ai passé cette dernière année à discuter avec des régulateurs à travers l’Europe qui me l’ont tous confirmé, affirme-t-il. La détection d’un adblocker est techniquement illégale. Tous ces sites qui postent des messages d’avertissement aux utilisateurs, tel que The Guardian, sont techniquement dans l’illégalité s’ils ont pour cela recours à des scripts.

Diable…

Mais quelle serait la base légale d’une telle affirmation ?

Section 1.2. Faut-il croire cet article ?

Pour moi, en l’état, cette affirmation a autant de valeur que « l’utilisation de spaghettis est illégale, c’est mon cousin qui me l’a dit » .

Être juriste, c’est justifier ce que l’on dit et, à défaut, nos développements n’ont aucune valeur.

Je ne dis pas que cette affirmation est forcément fausse, je dis simplement qu’elle n’a aucun poids, car non étayée.

Chapitre 2. Le fonctionnement des Adblockers et des détecteurs d’AdBlockers

Pour bien comprendre les développements juridiques qui vont suivre, il convient de comprendre comment techniquement cela fonctionne.

La grande majorité des Adblockers sont des plugins de navigateursWeb (comme Adblocker plus) et supprime des pages web affichées dans votre navigateur les balises HTML contenant un contenu qu’ils identifient comme étant des publicités.

Par exemple, un contenu comme celui-ci pourra être supprimé de la page Web :

<div class="zone-publicite">
 <img src="http://publicite.com/pub1.html" />
</div>

À l’inverse, la grande majorité des détecteurs d’Adblockers sont des scripts JavaScript (contenus dans la page que vous visualisez) et vont vérifier que les balises en question n’ont pas de supprimées ou masquées.

<script>
if (jQuery(".zone-publicite").length>0){
 // L'élément contenant de la publicité n'existe plus 
 // donc un adblocker a probablement supprimé le contenu
 alert("Adblocker détecté") ; 
}
</script>

Bien entendu, je ne prononce pas pour l’ensemble des Adblockers ou pour l’ensemble des détecteurs d’Adblockers de la planète, mais je suis allé regarder le code source de certains « bien connus » (Comme Adblock Plus2) et c’est comme cela qu’ils fonctionnent.

Pour plus de clarté, je précise que les codes JavaScript sont exécutés en local au navigateur et que l’envoi d’information au serveur source n’est pas nécessaire.

Fonctionnement des détecteurs d'Adblockers

Fonctionnement des détecteurs d’Adblockers

Les scripts JavaScript sont très courants sur Internet et il n’est pas rare qu’une page Web contienne entre 10 à 50 scripts pour pouvoir correctement s’afficher.

Chapitre 3. Des pistes de réflexion

En discutant sur Twitter, on m’a évoqué deux pistes que nous allons creuser ensemble.

Section 3.1. La loi informatique et liberté

Certains ont évoqué le fait que ces outils (i.e. les détecteurs d’Adblockers) seraient illégaux pour défaut de consentement de l’utilisateur au regard du traitement de ses données personnelles.

Je ne partage pas cet avis pour au moins deux raisons majeures.

3.1.1. Données personnelles ?

Tout d’abord, je ne pense pas qu’un tel traitement manipule des données personnelles.

Une donnée personnelle est définie par l’article 2 de la loi 78-173 :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Ici, la seule donnée qui est normalement traitée est la configuration du navigateur : comporte-t-il un outil qui supprime les publicités ?

À mon sens, détecter la présence d’un outil Adblocker ne permet pas d’identifier une personne physique, directement ou indirectement.

Pour la CNIL4, une donnée devient personnelle lorsque l’identification d’une personne devient possible (éventuellement après recoupement) : nom, prénom, photos, adresse IP, etc.

Ce n’est pas le cas ici, car tout au plus, vous pouvez diviser la population de la planète en deux catégories : ceux qui utilisent un Adblocker et ceux qui ne l’utilisent pas… Je ne vois pas comment on pourrait alors identifier une personne.

À titre d’illustration, la CNIL considère que ne constitue pas une donnée personnelle (et donc est dispensé de consentement) une géolocalisation d’un utilisateur5 d’un site web « pas plus précise que l’échelle d’une ville » .

Comment le fait de connaitre une information binaire sur une personne (Adblocker ou non) serait une donnée personnelle tandis le fait de connaitre la ville d’une personne ne le serait pas ?

De plus, sous cette hypothèse, nous arriverions à une situation ubuesque. Si la détermination de la présence d’un Adblocker était un traitement de données à caractère personnel, l’ensemble de ces actions courantes réalisées sur Internet par les développeurs Web devraient également recueillir le consentement de l’utilisateur :

  • changer dynamiquement l’affichage d’un site web pour l’adapter l’écran d’un téléphone ou d’une tablette ;
  • changer dynamiquement la langue d’un site web en fonction de la langue du navigateur de l’utilisateur ;
  • déterminer la version d’un navigateur pour lui envoyer un site Web le « plus compatible possible » ;

3.1.2. Responsable du traitement

Quand bien même la détermination de la présence d’un Adblocker serait un traitement de données à caractère personnel, je ne pense pas que le consentement de l’utilisateur soit nécessaire.

Il faut bien comprendre que la loi informatique et liberté 78-176 a été pensée pour encadrer l’utilisation qu’un tiers pourrait faire de nos données personnelles.

En l’espèce, et si le script JavaScript ne fait que déterminer la présence de l’Adblocker, la personne qui effectue le traitement n’est pas un tiers : c’est vous au travers de votre navigateur (oui, je sais… c’est vicieux, mais c’est techniquement juste).

Vous gardez alors la complète possession de vos données : dans le cas d’un détecteur d’Adblockers classique, aucune donnée n’est transmise au serveur.

Donc de deux choses l’une :

  • soit le responsable du traitement (au sens de la loi 78-176) est l’utilisateur (i.e.vous) : je ne vois pas trop pourquoi un consentement devrait être recueilli ;
  • soit le responsable du traitement (au sens de la loi 78-176) est au niveau du « serveur » : la « donnée personnelle » ne permet pas une identification puisqu’elle n’est pas transmise au responsable de traitement (voir l’article 2 de la loi 78-173) :

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Section 3.2. La directive 2002/58, article 5(3)

Dans notre réflexion sur Twitter, on a également évoqué l’article 5(3) de la Directive 2002/58/CE7 :

Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

Sous cette formulation se cache le consentement de l’utilisateur lors de l’utilisation de cookies.

Néanmoins, il faut souligner qu’un détecteur d’Adblocker et un cookie fonctionnent de manière très différente.

Un « cookie » informatique est une sorte de petit fichier qui va stocker des informations (par exemple, sur l’utilisateur) et va les transmettre au serveur Web lors de la navigation.

Fonctionnement des cookies

Fonctionnement des cookies

Dès lors, les informations stockées dans les cookies sont transmises au serveur tout au long de la navigation de l’utilisateur : cette technique permet notamment de suivre / de pister un utilisateur.

C’est pour cette raison que le législateur a souhaité encadrer cette pratique afin d’éviter un pistage généralisé des utilisateurs d’Internet.

Dans le cas qui nous intéresse (i.e. celui des Adblockers), tous les traitements sont normalement effectués en local. Dès lors, aucune transmission n’est effectuée et l’analogie du cookie ne peut pas s’appliquer selon moi.

D’ailleurs, pour s’en convaincre, il suffit de lire attentivement l’article 5(3) de la Directive 2002/58/CE7 : « en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ». Aucun stockage n’est effectué sur le navigateur (tout est dynamique), aucune donnée n’est accédée par un tiers.

Chapitre 4. Conclusion sur la légalité

Vous l’aurez compris, je ne partage pas l’avis de certains concernant l’illégalité de tels détecteurs classiques au regard des textes sur la vie privée et sur les cookies.

Néanmoins, mon analyse ne vas pas au-delà :

  • je ne me prononce pas sur l’existence de détecteur d’Adblocker qui irait au-delà de ce qui est techniquement nécessaire (ex. transmission au serveur de données véritablement personnelles, stockage d’information dans un cookie, etc.)
  • je ne sais pas si un autre texte (par exemple, en droit de la consommation ou droit de la concurrence) ne rendrait pas les détecteurs d’Adblockers classiques illégaux.

Chapitre 5. [Mise à jour] L’interprétation de la Commission Européenne ?

Section 5.1. La lettre de la Commission

Après la première publication de mon article, Alexander Hanff a publié sur Twitter un extrait d’un avis de la Commission européenne que je reproduis ici.

Page 1 de l'avis de la Commission Européenne concernant les détecteurs d'Ad-Blockers

Page 1 de l’avis de la Commission européenne concernant les détecteurs d’Ad-Blockers

Page 2 de l'avis de la Commission Européenne concernant les détecteurs d'Ad-Blockers

Page 2 de l’avis de la Commission européenne concernant les détecteurs d’Ad-Blockers

En substance, le rédacteur de l’avis indique que les détecteurs d’Adblockers doivent recueillir le consentement de l’utilisateur au regard de l’article 5(3) de la Directive 2002/58/CE7. La raison à cela est le fait que les scripts seraient enregistrés dans le navigateur et que la lettre de l’article 5(3) couvre « toute information » qui serait stockée.

Donc pour faire simple, la Commission européenne ne semble pas d’accord avec moi…

Section 5.2. Mon analyse

Mais tâchons de vous expliquer pourquoi je maintiens ma position.

En effet, si nous devions retenir l’interprétation de la Commission ou de M. Alexander Hanff, il faudrait recueillir le consentement de l’utilisateur dès qu’il affiche une simple page Web : en effet, chaque page est également stockée (temporairement) dans le navigateur pour affichage.

Mais cela ne serait pas très pratique.

On m’a alors répondu que l’utilisateur avait déjà donné son consentement implicite puisqu’il voulait l’affichage de cette page Web. Cela est vrai…

Pourtant, le script détecteur d’Adblocker fait bien parti intégrante de la page Web elle-même : est-ce que l’utilisateur n’aurait donné qu’un consentement partiel : « Je veux la page Web mais pas les scripts JavaScript » ?

Dès qu’un script existe dans une page, faudrait-il un accord de l’utilisateur supplémentaire (rappel, chaque page Web contient des dizaines et des dizaines de scripts pour faire fonctionner les menus déroulants, pour faire des animations, etc.) ?

Nous comprenons que cela ne serait pas viable…

Faudrait-il alors un accord de l’utilisateur lorsque la page contient un script que l’utilisateur « ne veut pas » (i.e. en l’espèce ce fameux détecteur) ?

Nous touchons là alors un débat philosophique et non technique ou juridique : un a priori sur le souhait de l’utilisateur…

(D’ailleurs, maintenant que vous me le faites remarquer, est-ce que l’utilisateur veut l’affichage de la colonne de gauche de la page Web… parce que peut-être que non !! Je vais lui demander son consentement… ).

Je ne pense pas que cette interprétation puisse aboutir à une solution raisonnable.

Pour faire simple :

  • soit l’article 5(3) de la Directive 2002/58/CE7 doit être interprétée strictement et un consentement de l’utilisateur doit être requis pour tout contenu qui est transmis (car stocké temporairement) depuis le serveur (arg… ).
  • soit l’article 5(3) de la Directive 2002/58/CE7 doit être interprétée afin de correspondre aux considérants de cette directive (et notamment son considérant (24) qui correspond à la protection de la vie privée) et seuls les utilisations de « traçage » transmettant des données personnelles à un tiers doivent être encadrés.

Je vous laisse vous faire votre propre opinion !

L'URL courte pour partager cet article est: https://sedlex.fr/pliiA

6 commentaires

  1. Personnellement, je suis contre ces détecteurs d’adblockers. On est dans notre droit de ne pas vouloir voir des publicités tout le temps quand on va sur n’importe quel site. Alors à quoi cela sert de savoir qui ne veut pas de leur publicité ? Je trouve que c’est une violation de la liberté d’agir de l’internaute qui a le droit de vouloir voir ou non des publicités.

    • Bonjour,

      Je ne dis pas le contraire : je parle simplement de droit. « Existe-il une base légale rendant les ad-blocker illégaux? » C’est tout …

      J’entends le principe de liberté, mais il ne faut pas oublier le droit des éditeurs de contenu de fournir un contenu contenant des publicités : aujourd’hui cela n’est pas interdit. Dès lors, comment leur interdire de vérifier la présence d’adblocker ?

  2. Ping :Anti-adblocks : la Commission européenne met son grain de sel « Bannieres Pub

  3. Toute cette belle démonstration tombe à l’eau quand on prend l’exemple du site lemonde.fr qui utilise une solution basé sur des cookies pour l’anti adblock.

  4. et une personne publique comme la CNIL peut-elle légalement recommander l’utilisation d’un logiciel « gratuit » d’une personne privée ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

CAPTCHA*

Merci de taper les caractères de l'image Captcha dans le champ