L'anonymat des internautes a fait long feu. Une batterie de moyens techniques permet aujourd'hui à certains acteurs du réseau d'établir - avec plus ou moins de précision - l'identité ou le profil des adeptes du surf sur Internet. Du simple "cookie" au "spyware", en passant par la conservation des données de connexion par les fournisseurs d'accès, les nouveaux canons de la navigation sur le réseau font le bonheur des forces de l'ordre ou des sites marchands et suscitent la colère des associations de défense de la vie privée.

Vendredi 29 mars 2002, celles-ci ont obtenu de DoubleClick, le leader mondial de la publicité en ligne, qu'il détruise une part des informations personnelles collectées sur les sites faisant appel à ses services. La société américaine n'en est pas à ses premiers démêlés avec des associations comme l'EPIC (Electronic Privacy Information Center) ou l'EFF (Electronic Frontier Foundation). Sous leur pression, DoubleClick avait déjà dû renoncer en 1999 à croiser ses fichiers avec ceux d'Abacus, l'entreprise de marketing direct qu'elle venait d'acquérir.

"Sur Internet, on perd le face-à-face avec le client, explique Laurent Hénault, directeur Europe du Sud de Brio Software, un éditeur de logiciels d'analyse de données. Il est donc naturel de chercher à pallier ce manque." La plupart des sites stockent ainsi sur l'ordinateur de leurs internautes un "cookie". Lors de visites ultérieures sur le site, ce fichier, sorte de code-barre informatique, est lu par le serveur et permet l'identification du visiteur grâce aux données personnelles communiquées lors de l'enregistrement : nom, âge, catégorie socio-professionnelle, etc. Dans ce cas, le "profilage" s'opère sur la base du volontariat et s'inscrit dans une relation établie entre un client et une société.

Mais il n'en va pas toujours ainsi. Des données personnelles sont souvent collectées et stockées à l'insu des internautes. Trois éléments techniques sont au centre de ce que Jean-Marc Dinant, chercheur au Centre de recherche informatique et droit (Crid) de l'université de Namur (Belgique), appelle le"traitement invisible de l'information". "Les trois facteurs qui interviennent, explique-t-il, sont le cookie, le "bavardage" du navigateur et l'hyperlien invisible." Lorsqu'un navigateur (Internet Explorer ou Netscape, par exemple) se connecte à un site, il "bavarde" avec le serveur, lui livrant, explique M. Dinant, "des informations sur la langue de l'utilisateur, son environnement informatique, et surtout la page référente, c'est-à-dire la page d'où il vient. Si cette page est un moteur de recherche, les mots-clés de la dernière requête sont également transmis".

L'hyperlien invisible permet, lui, de rediriger la connexion d'un site vers un autre sans que l'internaute en soit averti. Les bannières de publicité, par exemple, sont généralement stockées sur les serveurs de régies publicitaires. Apparemment connecté à un seul site, l'internaute est en réalité en relation avec deux serveurs qui peuvent chacun lui attribuer un cookie. Les grandes régies publicitaires en ligne comptant de très nombreux sites dans leur portefeuille peuvent ainsi "profiler" les internautes à leur insu, en listant les mots-clés les plus souvent recherchés par un individu, les sites qu'il visite le plus souvent, pour en déduire les bannières sur lesquelles il cliquera avec une plus grande probabilité.

Certaines sociétés, notamment en France, se sont engouffrées sur le marché des services de "profilage". Avec des moyens toujours plus sophistiqués. Profile for you, par exemple, a placé des marqueurs sur les pages de quelque 11 500 sites partenaires. Lorsque l'internaute se connecte sur l'une de ces pages, le marqueur, un programme Java, envoie à Profile for you l'adresse de la page visitée et les informations sur l'internaute contenues dans le cookie. Ensuite, Profile for you procède à une analyse sémantique de cette page (par occurrence de mots-clés dans les titres et le corps du texte), ce qui enrichit le profil de l'internaute stocké dans les bases de données de la société. Cela permet de mettre en lumière les centres d'intérêt de l'internaute classés dans une arborescence de trois niveaux comportant 800 branches différentes. La société assure détenir le profil d'environ un tiers des internautes français.

"En premier niveau d'analyse, tel internaute sera profilé comme ayant 70 % d'intérêt pour la Bourse en ligne, 20 % pour le sport et 10 % pour l'immobilier. En deuxième niveau, les thèmes des pages Web qu'il visite permettront de le classer par exemple à 80 % passionné par les forums de discussion boursiers. Au final, nous pourrons dire que l'internaute en question a, par exemple, 90 % de chances d'être un jeune cadre entre 25 et 35 ans susceptible d'être intéressé par des offres de PEA", explique Fabrice Wilthien, statisticien chez Profile for you.

Ces méthodes de profilage commercial restent toutefois sommaires au regard du pouvoir des forces de l'ordre de perquisitionner, sur commission rogatoire, les fournisseurs d'accès à Internet. En France, la loi contraint ceux-ci à conserver les données de connexion de leurs clients pendant un an. Un délai pendant lequel tous les parcours dans le cyberespace restent enregistrés et tenus à la disposition de la justice en cas d'enquête. Selon M. Dinant, l'arrivée du protocole IPv6 (Le Monde du 23 mars), qui multipliera le nombre d'adresses des machines se connectant à Internet, ne fera qu'amplifier la tendance d'une Toile sous surveillance.

L'adresse IP ne sera plus en effet attribuée aléatoirement par le fournisseur d'accès mais sera constituée, pour une part, du numéro de série de l'ordinateur. A chaque machine sera affecté un identifiant unique, qui pourra être croisé avec d'autres données comportementales. Les promoteurs d'IPv6 assurent que cette particularité du nouveau protocole n'est pas destinée à renforcer la surveillance. Citant un proverbe basque, Jean-Marc Dinant leur rétorque pourtant que "l'arbre tombe toujours du côté où il penche".

Auteurs de l'article Cécile Ducourtieux et Stéphane Foucart