Private Click Measurement, la proposition d'Apple pour mesurer anonymement les clics publicitaires

Pomme immaculée
Internet 8 min
Private Click Measurement, la proposition d'Apple pour mesurer anonymement les clics publicitaires
Crédits : AndreyPopov/iStock/Thinkstock

Apple, très active actuellement sur la vie privée et la collecte des données personnelles, vient de publier un article détaillant Private Click Measurement sur le blog du moteur de Webkit. Cette méthode doit permettre aux parties intéressées la collecte des clics sur les publicités depuis les applications et pages web sur iOS.

Vrai cheval de bataille pour les uns, simple stratégie pour les autres, Apple a déclenché une véritable guerre pour la vie privée. Dans ce chahut, l’entreprise se heurte de plein fouet à Facebook, que des rumeurs décrivent comme en préparation d’une plainte contre la firme de Cupertino pour abus de position dominante.

Jusqu’à récemment, la stratégie d’Apple se basait sur un constat simple : après un échec dans le domaine de la publicité, les données personnelles ne faisaient plus partie des options envisageables. Relativement neutre sur le sujet pendant longtemps, le discours de l’entreprise prit donc une nouvelle tournure : désormais, tout serait axé sur le respect de la vie privée. Et effectivement, le message est renforcé année après année.

Aucun service de l’entreprise ne collecte de données personnelles pour du ciblage publicitaire. Ce qui ne signifie pas pour autant qu’elle n’en collecte pas. Certaines informations se retrouvent prises dans l’utilisation de plusieurs services pour certains besoins, comme la personnalisation des recommandations sur des services comme Music.

Mais, tous produits confondus, la plupart des opérations de machine learning sont désormais effectuées sur l’appareil, comme la reconnaissance des visages sur les photos par exemple.

De la stratégie à la guerre ouverte

Depuis le 1er janvier cependant, la stratégie s’est faite plus guerrière. Les fiches des applications dans l’App Store doivent arborer le détail des données personnelles récoltées et la manière dont elles sont utilisées. Au grand dam de Facebook, dont les applications – tout particulièrement Messenger – ressortent bien peu grandies.

Mais c’est avec le futur iOS 14.5, actuellement en bêta, qu’Apple va porter un coup sévère aux entreprises vivant du pistage publicitaire, en tout premier lieu Facebook et Google. Lorsqu'elle sera déployée, toute application voulant accéder à l’identifiant unique publicitaire (IDFA) devra en demander l’autorisation à l’utilisateur, suivant le RGPD.

Si celui-ci refuse, l’application ne pourra obtenir les informations d’utilisation transversales, c’est-à-dire récoltées à travers d'autres applications. Facebook et Google préparent donc les développeurs tiers à ce changement, qui passe notamment par SKAdNetwork, un nouveau socle proposé par Apple pour obtenir des données anonymisées.

SKAdNetwork positionne iOS et plus particulièrement l’App Store comme éléments centraux de la collecte. À ceci près que les données sont agrégées et – normalement – débarrassées de tout élément qui pourrait conduire à l’identification. Le résultat est peu ou prou le même pour les publicitaires, avec par exemple les conversions, c’est-à-dire quand une publicité mène à une action spécifique, comme le téléchargement d’une application.

Apple s’attaque maintenant aux campagnes publicitaires et à la mesure des clics

Dans les actuelles bêtas 14.5 d’iOS et iPadOS, les développeurs web peuvent « s’amuser » avec une nouvelle fonction baptisée Private Click Measurement (PCM). Elle est conçue pour permettre aux parties intéressées de mesurer le nombre de clics dans une page web ou une application.

Pourquoi proposer une nouvelle méthode ? Parce qu’en plus du reste, Apple a aussi déclaré la guerre aux cookies. La bataille a commencé à l’automne 2017 avec la première mouture de l’Intelligent Tracking Protection (ITP). Elle utilise le machine learning pour déterminer si les cookies ont un droit « légitime » d’accéder aux données de navigation. Comprendre, séparer par exemple les cookies servant à stocker les paramètres d’un site de ceux uniquement là pour pister les habitudes des internautes.

Avec iOS/iPadOS 13.4 et Safari 13.1 pour macOS, cette lutte est montée d’un cran avec le blocage complet et par défaut de tous les cookies tiers. En outre, les données de chaque site étaient purgées tous les sept jours. Ce qui avait fait dire à certains que l’entreprise cherchait à tuer les Progressive Web Apps, sa position étant bien connue : Apple ne jure que par le code natif. La situation, on l’a vu, est nettement plus nuancée.

Rêvant sans doute d’un futur entièrement débarrassé des cookies, Apple devait donc préparer un nouveau terrain pour transmettre certaines informations, notamment les clics publicitaires. Car à l’inverse d’un iOS et de son App Store, une technologie web ne fonctionne pas si elle n’est pas reprise par une masse critique d’acteurs.

Le fonctionnement de Private Click Measurement

Comment fonctionne Private Click Measurement ? D’abord, cette fonction est active par défaut dans Safari sur iOS/iPadOS 14.5. Elle couvre deux cas de figure : la navigation classique dans le navigateur et les pages web ouvertes dans des vues déportées (SFSafariViewController) par les applications tierces. L’utilisation des WebViews n’étant pas couverte, les navigateurs tiers ont quartier libre.

Apple donne un exemple : un utilisateur clique sur un lien, qui l’amène à travers différents domaines jusqu’à une page finale. Sur cette dernière, un mécanisme de suivi peut demander – jusqu’à sept jours après – à connaitre les clics qui ont amené l’internaute jusque-là. On a d’un côté un identifiant de source d’attribution (attributionsourceid) sur 8 bits, capable donc d’identifier jusqu’à 256 campagnes publicitaires en parallèle. De l’autre, attributeon, codé sur 4 bits, permettant donc de reconnaitre jusqu’à 16 évènements de conversion.

Si un clic sur une publicité de social.example a emmené l’utilisateur sur shop.example, l’attributionsourceid est stocké comme clic pour sept jours. Cette donnée est stockée par le navigateur, mais n’est pas directement accessible aux sites. PCM ne fonctionne qu’en eTLD+1, pour éviter que des sous-domaines ne soient créés pour chaque internaute.

Apple PCM

Ces valeurs de 8 et 4 bits ont été choisies pour permettre une certaine souplesse, sans pour autant être assez précis pour lier les informations à une personne en particulier. Les informations collectées sont envoyées en HTTPS depuis une fenêtre dédiée en navigation privée sans le moindre cookie, sous la forme de rapports expédiés entre 24 et 48 heures après leur création. Ceci, selon l’équipe de Webkit, pour dissocier l’envoi de tout autre évènement.

Dans le cas d’une application, le fonctionnement de base reste le même, avec une convention de nommage différente. Attributionsourceid devient sourceIdentifier, attributeon devient destinationURL, etc.

À la manière de SKAdNetwork, l’objectif n’est donc pas de casser le marché de la publicité, mais d’arriver plus ou moins au même résultat avec des données anonymisées. Les entreprises continueront de voir que quelqu’un a cliqué sur une pub et même que cette personne est allée jusqu’à un achat, mais ne pourront plus savoir qui.

« Aucun annonceur, vendeur ou même Apple ne peut voir quelles publicités sont cliquées ou quels achats sont réalisés. Cette solution évite de placer sa confiance dans l’une des parties impliquées – le réseau publicitaire, le vendeur ou d’autres intermédiaires – afin qu’aucun d’entre eux ne puisse pister les utilisateurs pendant qu’ils cliquent sur des publicités ou achètent des produits sur Safari », vante l’entreprise.

Quelques précisions. D’une part, l’utilisation du mode de navigation privée bloquera l’enregistrement des données par PCM. D’autre part, les bloqueurs de publicités pourront ajouter des paramètres pour détecter et bloquer le chemin .well-known, aboutissant au blocage de PCM, donc à sa collecte.

Enfin, les options de Safari dans iOS 14.5 reçoivent deux nouvelles capacités : un bouton pour supprimer l’ensemble des données enregistrées par PCM, et un autre pour désactiver la fonction.

Apple veut faire de PCM un standard

Private Click Measurement n’est pas à proprement parler une nouveauté. La première version de la fonction a été présentée en 2019 par l’équipe de Webkit. Le nom final est plus récent et son fonctionnement a été débattu au sein du groupe Privacy Community du W3C et sur GitHub.

Si PCM est débattu au W3C, c’est qu’Apple compte en faire un standard. Mais avant que le processus ne démarre, il faut que la technologie ait fait l’objet de deux implémentations indépendantes. Apple est donc actuellement en pourparlers avec Mozilla, Brave, Google ou encore Microsoft pour une intégration à leurs navigateurs.

En attendant, PCM est présent dès la première bêta d’iOS 14.5, ce qui peut d’ailleurs soulever quelques sourcils : pourquoi intégrer une technologie qui n’a même pas entamé son chemin vers la standardisation ? 

Apple donne plusieurs raisons. D’abord la nécessité de collecter des retours par l’ensemble des acteurs concernés : annonceurs, développeurs web, analystes et ainsi de suite. Ensuite, la société a préféré donner la même chose à tout le monde, plutôt qu’une approche par partenaires dument sélectionnés. Enfin, parce qu’en dehors de quelques exceptions, « la fonctionnalité et les données d’attribution sont stables », tout particulièrement le choix des 8 bits côté source du clic et des 4 bits côté attribution.

Certains éléments ne sont en effet pas finalisés et d’autres sont en préparation. Le plus important est sans conteste le mécanisme de prévention des fraudes par l’utilisation de jetons sans lien. On imagine que les annonceurs préfèreront attendre qu’une telle protection soit en place avant de se jeter sur PCM. Apple prévoit également d’utiliser une API JavaScript moderne pour déclencher les évènements, plutôt que le classique (et vieux) pixel. Le support des liens PCM dans les iframes imbriqués est lui aussi prévu.

Encore une fois, il n’est pas question de casser le marché de la publicité en bloquant leur personnalisation si rémunératrice. Mais à Cupertino, on propose de le faire de manière plus « vertueuse », qui par définition casserait la capacité de certaines entreprises à constituer des dossiers entiers d’habitudes, basés sur des informations identifiantes. Et si SKAdNetwork peut déplaire comme solution 100 % Apple, Private Click Measurement aurait l’avantage d’être plus générique. Une étape... qui pour l’instant reste à accomplir.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !