Chaque connexion à un site web génère des données techniques qui transitent par plusieurs intermédiaires avant d’atteindre votre écran. Ces intermédiaires, du fournisseur d’accès à Internet jusqu’au navigateur installé sur votre appareil, conservent des traces plus ou moins détaillées de votre parcours. Le cadre réglementaire européen, notamment le RGPD, encadre la collecte et l’exploitation de ces données, mais la réalité technique laisse subsister des zones grises que la plupart des utilisateurs ignorent.
Données de navigation et couches d’interception technique
Lorsque vous saisissez une adresse dans votre navigateur, la requête passe d’abord par un résolveur DNS, souvent celui de votre fournisseur d’accès à Internet (FAI). Ce résolveur traduit le nom de domaine en adresse IP et conserve un journal de ces traductions. Même si le site visité utilise le protocole HTTPS, le FAI voit les noms de domaine que vous consultez, pas le contenu des pages.
A lire également : Les meilleures astuces pour booster la vente de votre voiture d'occasion en ligne
Le navigateur lui-même stocke localement l’historique, les cookies et les données de formulaires. Google Chrome, par exemple, synchronise ces informations avec votre compte Google si la fonction est activée. Firefox propose une synchronisation similaire via un compte Mozilla. Ces données restent accessibles à quiconque dispose d’un accès physique ou distant à votre session.
Pour comprendre précisément qui peut voir votre activité en ligne, il faut distinguer trois niveaux : le réseau (FAI, administrateur Wi-Fi), le logiciel (navigateur, moteur de recherche) et l’appareil (toute personne ayant un accès direct).
A lire également : Découvrez les secrets de la mutuelle santé : votre allié incontournable
Surveillance au travail : ce que le droit européen autorise et limite
Le Comité européen de la protection des données (CEPD) a finalisé le 18 mai 2024 une révision de ses Lignes directrices 3/2019 portant sur le traitement des données personnelles dans le cadre professionnel. Ce texte précise que la surveillance systématique et à grande échelle de l’activité en ligne des salariés est en principe disproportionnée au regard du RGPD.
Les employeurs qui déploient des outils de filtrage DNS, des proxys ou des solutions de prévention de fuite de données (DLP) doivent informer les salariés de manière claire, complète et compréhensible. Cette obligation s’applique aussi lorsque la surveillance passe par des services tiers comme Google Workspace ou Microsoft 365.
Jurisprudence française récente
La Cour de cassation a rappelé, dans des arrêts de septembre 2022 et mars 2023, que l’employeur ne peut consulter les fichiers ou historiques de navigation identifiés comme personnels sur un appareil professionnel qu’en respectant strictement le droit au respect de la vie privée. En pratique, un dossier nommé « personnel » sur un ordinateur de bureau bénéficie d’une protection juridique, même si l’appareil appartient à l’entreprise.
Le mode navigation privée ne protège pas contre la surveillance réseau de l’employeur. Ce mode empêche le navigateur de stocker localement l’historique et les cookies, mais les requêtes DNS et le trafic réseau restent visibles pour l’administrateur du réseau d’entreprise.
Mode incognito et VPN : deux outils aux périmètres très différents
La confusion entre navigation privée et anonymat en ligne reste fréquente. Le mode incognito agit uniquement au niveau du navigateur :
- Il empêche l’enregistrement local de l’historique, des cookies et des données de formulaires à la fermeture de l’onglet
- Il ne masque pas votre adresse IP auprès des sites visités, du FAI ou de l’administrateur réseau
- Il ne chiffre pas le trafic entre votre appareil et le serveur de destination au-delà du HTTPS standard
Un VPN (réseau privé virtuel) opère à un niveau différent. Il crée un tunnel chiffré entre votre appareil et un serveur intermédiaire, ce qui masque votre adresse IP réelle aux sites que vous visitez et empêche le FAI de voir les noms de domaine consultés. Le FAI voit uniquement que vous êtes connecté à un serveur VPN, sans pouvoir identifier les sites visités.
En revanche, le fournisseur du VPN lui-même peut potentiellement observer votre trafic. Le choix d’un service appliquant une politique stricte de non-conservation des journaux (no-log) devient alors un critère déterminant. Les données disponibles ne permettent pas de vérifier de manière indépendante toutes les politiques no-log annoncées par les fournisseurs.
Paramètres de confidentialité du navigateur : les réglages qui changent réellement la donne
Au-delà du VPN, plusieurs réglages accessibles directement dans votre navigateur réduisent l’exposition de vos données. Tous ne se valent pas.
- Activer la suppression automatique des cookies à la fermeture du navigateur limite le pistage publicitaire entre sessions, mais n’affecte pas le fingerprinting (empreinte numérique de votre appareil)
- Configurer un résolveur DNS chiffré (DNS over HTTPS) empêche votre FAI de lire vos requêtes DNS en clair, à condition que le navigateur et le résolveur choisi le prennent en charge
- Désactiver la synchronisation de l’historique avec un compte en ligne (Google, Microsoft, Mozilla) supprime une copie distante de votre activité, mais vous perdez aussi la continuité entre appareils
- Utiliser des extensions de blocage de traqueurs réduit le nombre de tiers qui collectent des données lors de votre navigation, sans toutefois garantir une protection totale
Aucun réglage isolé ne suffit à rendre votre navigation invisible. La combinaison d’un DNS chiffré, d’un VPN fiable et d’un navigateur correctement paramétré couvre la majorité des vecteurs de fuite, sans atteindre l’anonymat complet.
Suppression de l’historique Google
Google permet de configurer la suppression automatique de l’historique des recherches et de l’activité web après trois, dix-huit ou trente-six mois. Ce paramètre se trouve dans les réglages du compte Google, rubrique « Données et confidentialité ». La suppression côté utilisateur n’efface pas nécessairement toutes les traces côté serveur, Google conservant certaines données agrégées à des fins d’amélioration de ses services.
La CNIL recommande par ailleurs de vérifier régulièrement les autorisations accordées aux applications et extensions du navigateur, qui constituent un canal de collecte souvent sous-estimé. Chaque extension installée peut potentiellement accéder à l’ensemble de votre historique de navigation si ses permissions le permettent.
La protection de la vie privée en ligne repose sur une superposition de mesures techniques et de choix d’outils, pas sur une solution unique. Comprendre à quel niveau chaque intermédiaire intervient reste le préalable pour décider quels réglages activer et quels services adopter.