FLoC, la fin des cookies tiers et le RGPD

C’est une déferlante qui fait déjà beaucoup parler d’elle et annonce un changement majeur dans la politique des cookies. En 2020, Google annonçait la fin des cookies tiers et par extension au tracking individuel. Un changement qui risque fortement de redessiner le marché de la publicité en ligne. Des bouleversements qui se font d’ores et déjà sentir, certains sites n’hésitant pas à faire payer l’internaute s’ils refusent l’acceptation de leurs cookies. Explications.

C’est annoncé ! Face à la mise en place dans différents pays d’une réglementation sur la protection des données – GPDR (ou RGPD) en Europe – Google a décidé de changer son fusil d’épaule et de repenser son modèle économique reposant essentiellement sur les revenus publicitaires ciblés grâce à l’usage de cookies tiers. Exit le tracking individuel, certains navigateurs Web proposant déjà de limiter drastiquement leurs usages tandis que Chrome va prochainement intégrer ces restrictions. Google prévoit la fin des cookies tiers (ou third-party) d’ici mars 2022 et commence, par ailleurs, à dévoiler son prochain système FLoC.

Vous avez dit cookies ?

Loin de ces petits biscuits agrémentés de pépites de chocolat, l’invention des cookies date de 1994 à l’initiative de John Giannandrea (actuellement vice-président senior de l’apprentissage automatique et de la stratégie d’intelligence artificielle d’Apple) et Lou Montulli, des employés de Netscape Communications. Dans un premier temps, les cookies sont intégrés au navigateur internet de Netscape, Netscape Navigator, pour déterminer si les internautes avaient bien visité le site web Netscape auparavant. Technologie brevetée en 1998, elle s’est progressivement diffusée dès 1995 dans les autres navigateurs tels qu’Internet Explorer. Leurs existences au grand public furent révélées le 12 février 1996 par le biais d’un article du Financial Times. Il existe différents types de cookies permettant des actions diverses telles que :

• La gestion des sessions qui permet d’enregistrer, par exemple, de se connecter à un site Web à l’aide de ses identifiants. À la base, ils servaient également à faire remonter les articles dans les paniers d’achats, ce n’est plus le cas aujourd’hui pour des raisons évidentes de sécurité ;
• La personnalisation afin d’enregistrer les informations d’un utilisateur sur un site afin de lui montrer par la suite des contenus plus appropriés à son profil. C’est ce qu’on appelle communément les préférences utilisateurs particulièrement utilisés dans les parcours d’achat ;
• Le pistage pour suivre les habitudes de navigation des internautes. C’est précisément là qu’interviennent les cookies third-party et les pixels espions déposés par des éléments (objets ou images) d’une page Web. Ceux-ci permettent, par exemple, d’afficher une publicité ciblée provenant d’une autre adresse Web que le site visité par l’utilisateur.

À l’origine, les cookies n’ont pas été créés pour réaliser des publicités commerciales, c’est leur utilisation par l’industrie publicitaire qui soulève, aujourd’hui, de nombreux débats, notamment sur la vie privée.

Les cookies sont donc des petits fichiers déposés par un site Web sur l’ordinateur de l’internaute pour récupérer puis conserver, différentes informations. On distingue deux types de cookies :

• Le cookie natif ou interne, exploité uniquement par le site Web que l’internaute visite et qui sert, la plupart du temps, à améliorer l’expérience utilisateur ;
• Le cookie tiers qui provient d’un partenaire au site Web visité qui peut être utilisé à des fins commerciales pour suivre le comportement de l’utilisateur et le tracer dans sa navigation afin de créer un profil type. Ce profil va être ensuite monétisé et aider les annonceurs à cibler plus facilement les internautes en personnalisant les publicités présentées.

Privacy Sandbox, un changement de paradigme

La raison d’être de Google étant d’agréger les données des utilisateurs pour aider les annonceurs à proposer des contenus publicitaires ultra ciblés, n’étant grosso modo, qu’une énorme régie publicitaire, la firme de Mountain View a revu sa pratique concernant les cookies tiers au vu des réglementations de plus en plus drastiques quant à la protection des données des internautes. Pour mieux contourner ces législations tout en restant dans la légalité, il a élaboré un concept : le Privacy Sandbox. L’idée sous-jacente consiste à proposer de nouvelles solutions technologiques visant à remplacer les mécanismes hérités et gourmands en données, comme les cookies tiers, pas des systèmes plus sûrs améliorant la confidentialité des utilisateurs. Toujours en développement actuellement, cette initiative datant de 2019 concerne trois objectifs clés :

• Empêcher le suivi durant la navigation Web ;
• Proposer des alternatives aux éditeurs pour les accompagner dans la construction de sites plus respectueux de la vie privée ;
• Maintenir un Web ouvert.

Cette initiative collaborative et open source se veut ouverte à toutes propositions des développeurs, annonceurs, navigateurs Web ou éditeurs. Au début de l’année, elle recensait une trentaine de propositions dont FLoC.

FLoC, la fin du tracking individuel au profit du pistage collectif

S’inscrivant dans l’esprit de la Privacy Sandbox, FLoC pour Federated Learning of Cohorts a pour ambition d’améliorer la confidentialité des données et la publicité ciblée. Paradoxal ! Le système se base sur des algorithmes classant les internautes disposant des habitudes de navigation similaire afin d’établir des profils types, ces fameuses cohortes. Seul l’identifiant de la cohorte est suivi et non ceux des utilisateurs au sein de celles-ci. Autre point, l’historique du navigateur reste dans celui-ci ou dans l’appareil de l’utilisateur, sans être partagé avec des tiers. Cependant, Google pourrait insérer FLoC dans le code de son navigateur Web, Chrome, dont le cœur open source sert à d’autres navigateurs Web tels qu’Opera, Brave Vivaldi, Microsoft Edge ou encore Ecosia…

Levées de boucliers

Ce nouveau système testé aux États-Unis, au Canada, en Australie, au Brésil, en Indonésie, en Inde… mais pas en Europe pour l’heure, soulève quelques inquiétudes :

D’une part, les navigateurs utilisant le moteur open source de Chrome peuvent se voir imposer FLoC. Plusieurs éditeurs de ces navigateurs ont d’ailleurs réalisé une levée de boucliers contre ce système désapprouvant la logique de suivi et de profilage de Google tel que Vivaldi ou encore Brave qui affirme que FLoC informe les sites et les tiers de votre historique de navigation. DuckDuckGo qui n’utilise par le moteur Chromium de Google refusera le dispositif fermement tandis que Mozilla Firefox se dit contre, pour l’instant. Microsoft Edge n’a pas encore communiqué sa décision tout comme Opera et un silence radio résonne du côté d’Apple pour son navigateur Safari qui a déjà mis en place un système de filtres anti-cookies.

D’autre part, certaines ONG telles que l’EFF, Electronic Frontier Foundation dénonce le système de cohortes. Selon cet organisme de défense des droits numériques aux États-Unis, les utilisateurs jugés sensibles seront placés dans une cohorte « vide ». Les trackers pourront toujours voir les internautes placés dans cette cohorte « vide » et par déduction voir qu’ils étaient classés comme « sensibles » à l’origine…

Vers un flop pour FLoC en Europe ?

Plus récemment, Google a annoncé fin mars qu’il ne rendrait pas disponibles les cohortes basées sur FLoC pendant sa phase de test actuellement en phase terminale, dans les pays où le RGPD et la directive ePrivacy sont en vigueur. Un ingénieur de Google, Michael Kleber a même déclaré lors d’une réunion de l’IWABG (Improving Web Advertising Business Group) au World Wide Web Consortium que FLoC pourraient ne pas être compatibles avec la législation européenne sur la protection de la vie privée. Concrètement, Google ne fera pas ses tests en Europe du fait de la difficulté à savoir quelle entité servira de contrôleur de données et qui servira de sous-traitant dans la création de cohortes. Google n’a apparemment pris en compte qu’une dimension de son nouveau système, la création des algorithmes en délaissant le côté juridique de la Privacy Sandbox et, en particulier, les principes de confidentialité qui n’ont pas été intégrés dès la conception dans FLoC. De quoi soulever des inquiétudes… À suivre !