Méthodologie

Liste des indicateurs analysés :

• Nombre de trackers en place sur le site web ;
• Outil statistique utilisé ;
• Liste des mouchards publicitaires identifiables ;
• Mise en place du HTTPS ;
• Affichage d’un bandeau de configuration des cookies ;
• Possibilité de refuser les cookies sur le site ;
• Possibilité de refuser les cookies aussi simplement que l’acceptation ;
• Le site attend l’acceptation de l’utilisateur pour déposer les cookies ;

Liste des outils utilisés :

• Plugin pour navigateur Ghostery ;

Le respect de la vie privée des internautes est un élément central de la responsabilité numérique. Depuis 2018, le principal cadre législatif l’encadrant est le Règlement Général de Protection des Données, le fameux RGPD européen.

Il n’existe pas d’évaluation globale du respect de la vie privée par un service numérique, que ce soit d’un point de vue méthodologique (comme le WCAG ou le RGAA en accessibilité) ou d’un point de vue d’outil de notation automatique.

Notre analyse se base donc sur 4 critères simples, présents sur la totalité des sites web et qui nous semblent indiquer de façon objective une tendance au respect - ou pas - de la vie privée de l’internaute :

• L’activation du protocole HTTPS ;
• Le type d’outil statistique utilisé ;
• La présence de mouchards et pisteurs ;
• La présence et conformité du bandeau RGPD.

HTTPS largement activé

85,5% des sites mettent en œuvre le protocole sécurisé HTTPS. La mise en place est donc massive. Mais nous constatons avec surprise que cette mise en œuvre ne semble pas liée à la taille de l’institution. En effet, trois des quinze plus grands musées ne le mettent pas en œuvre : le château de Versailles, le Quai Branly et le musée Rodin.

Outils statistiques : Google Analytics omniprésent

Nous avons cherché à savoir quel outil statistique les sites web utilisaient. L'interrogation n'est pas innocente : l’outil statistique le plus utilisé dans le monde est Google Analytics, mais son usage - sauf configuration spécifique - nécessite le consentement libre et éclairé de l’utilisateur à la collecte de ses données à travers un bandeau d’acceptation. En effet, Google Analytics collecte par défaut de nombreuses informations sur l’utilisateur et dépose des cookies tiers, permettant de tracer l’utilisateur de sites en sites.

Pourtant, l’utilisation de Google Analytics reste largement dominante sur les sites des musées français (61,8%).

Notons également que 25% des sites utilisent Google Tag Manager. Google Tag Manager est un gestionnaire de balises permettant d’insérer des morceaux de code sur le site sans modifier ce dernier. Google Tag Manager peut ainsi être utilisé pour mettre en œuvre des outils d’analyse statistique comme Google Analytics, sans que cela soit visible par l’utilisateur.

À l’inverse, seuls 6,6% des sites utilisent Matomo¹, l’alternative libre à Google Analytics et seulement 5,3% des sites n’utilisent aucun outil statistique².

In fine, nous constatons que les services d’analytics et de traçage de Google sont utilisés sur quasiment 90% des sites de musées.

Des mouchards publicitaires très présents

Méthodologie

Pour identifier le nombre de mouchards, nous avons utilisé le plugin Ghostery, qui liste les mouchards présents sur une page. Nous l’avons appliqué aux pages d’accueil des sites.

Les valeurs récoltées sont donc incomplètes puisque certains mouchards ne s’appliquent que sur des pages spécifiques. Qui plus est, le plugin Ghostery a parfois tendance à ne pas afficher du premier coup tous les mouchards d’une page, et il est nécessaire de recharger plusieurs fois la page.

Mais il permet tout de même d’obtenir une vue d’ensemble de la situation, tout en prenant en compte le blocage de ces mouchards lors de l’interaction avec les bandeaux RGPD.

L'une des principales surprises de cette étude concerne la présence d’un nombre important de mouchards publicitaires sur les sites de ces institutions, qui sont pourtant pour la plupart des institutions publiques.

Tous mouchards confondus, chaque site installe en moyenne 2 mouchards³. Seul un site ne met en oeuvre aucun mouchard⁴. Pour la plupart, nous trouvons 1, 2 ou 3 mouchards (respectivement 29, 27 et 19 sites). Mais sur quelques sites de musées, ce nombre peut monter entre 4 et 6 mouchards.

Parmi les mouchards mis en œuvre, nous retrouvons les outils d’analyse statistique décrits ci-dessous. Nous retrouvons également massivement des mouchards de médias sociaux (Facebook et Twitter notamment). Leur présence s’explique par les widgets de partage que l’on trouve régulièrement sur les sites.

Mais - et c’est plus étonnant - les sites des musées étudiés contiennent régulièrement des mouchards de régie publicitaire. Ainsi, nous avons détecté la présence de DoubleClick, la régie publicitaire de Google, sur 9 sites (10%). Le data booker Weborama est présent sur 3 sites (4%). Le service AddThis, spécialisé dans le marketing social et le profilage, est présent sur 12 sites (14%). Nous avons détecté la présence d’au moins un mouchard publicitaire ou de captation des données sur 31% des sites étudiés (soit 28 sites).

Ce résultat est d’autant plus étonnant qu’aucun site étudié n’affiche pourtant de publicité, et qu’aucun des musées étudiés ne se situe dans une situation d’économie de l’attention. Nous faisons l’hypothèse que les mouchards sont mis en place soit par facilité de conception (notamment pour les mouchards sociaux comme AddThis), soit sans que les équipes de conception s’en rendent compte (pour ce qui est des régies publicitaires).

Des bandeaux RGPD aléatoires et largement décoratifs

La réglementation en vigueur impose à chaque site collectant des données sur un utilisateur ou déposant des cookies sur son ordinateur doit recueillir le consentement explicite et éclairé de ce dernier au préalable. On retrouve ainsi dans les préconisations de la CNIL :

• L’information de la collecte de données à l’utilisateur ;
• Le recueil d’un consentement pour cette collecte ;
• Un choix distinct par finalité ;
• Un refus exercé avec la même simplicité qu’une acceptation ;
• La possibilité de revenir sur ses choix à tout moment.

Pour évaluer la conformité des sites aux recommandations exprimées par la CNIL, nous avons noté pour chaque site collectant des données (c’est-à-dire quasiment tous) :

• La présence d’un bandeau RGPD ;
• La possibilité de refuser la collecte ;
• La simplicité du refus ;
• La prise en compte du refus, c’est-à-dire le blocage effectif des mouchards.

Nous constatons que 21 sites mettant en place des mouchards n’affichent pas de bandeau RGPD, comme l’illustre le graphique suivant. Il s’agit le plus souvent de sites ne mettant en œuvre qu’un seul tracker (leur outil statistique), parfois complété d’autres mouchards, le plus souvent pour des médias sociaux. Fort heureusement, plus le nombre de mouchards augmente, plus les bandeaux RGPD tendent à devenir systématique.

Mais la plupart de ces bandeaux RGPD ne respectent pas les principes énoncés ci-dessus. Ainsi, parmi les sites affichant des bandeaux RGPD, 62% des sites ne laissent pas la possibilité à l’utilisateur de refuser le dépôt de cookies et la mise en place de mouchards, que ce soit partiellement ou complètement. Sur les 25% de sites laissant la possibilité à l’utilisateur de refuser les cookies, 12,5% ignorent totalement ou partiellement la demande de l’utilisateur.

In fine, seuls 15,5% des sites présentent un bandeau RGPD tenant compte des préférences des utilisateurs.

Méthodologie

Afin de définir si un site prend en compte les choix de l’utilisateur au sein d’une interface de paramétrage de cookies et mouchards, nous avons utilisé l’extension pour navigateur Ghostery. Lorsqu’un site prend effectivement en compte les préférences de l’utilisateur, les mouchards refusés disparaissent de la liste de mouchards détectés par Ghostery.

Nous avons considéré que les sites activant des mouchards avant la validation de l’utilisateur, ainsi que ceux qui ne les désactivent pas après le refus de l’utilisateur, ne prenaient pas effectivement en compte ses préférences.

Enfin, parmi les sites web présentant un dispositif d’information de la collecte des données, seuls 24,2% disposent d’un bouton de refus aussi visible que le bouton d’acceptation de la collecte des données. Pour les autres sites (18,2%), il est nécessaire de décocher un à un les mouchards que l’on souhaite refuser.

Quelles pistes d’amélioration ?

L’étude montre que les sites étudiés sont extrêmement dépendants de Google et de ses outils d’analyse, et que seule une minorité de sites recueille correctement le consentement des utilisateurs sur son dispositif RGPD.

En ce sens, il nous semble que la question du respect des données personnelles des utilisateurs est trop peu prise en considération par ces sites. Un travail de mise à jour de ces derniers au regard des réglementations en vigueur depuis 2018 est impératif. Rappelons qu’un durcissement des sanctions de la CNIL est à attendre à partir du mois de mars 2021.

Nous invitons à ce titre les institutions culturelles à se tourner vers les ressources proposées par la CNIL à ce sujet :

• Cookies et traceurs : comment mettre mon site web en conformité ?
• Cookies et traceurs : que dit la loi ?
• Cookies & traceurs : outils et codes sources