Avec l'importance prise par la question du respect de la vie privée ces dernières années, ceux qui se sont gavés de nos données sont montrés du doigt, les lois et pratiques pour protéger les consommateurs renforcées. Et alors que le marché publicitaire peine à s'adapter, Google se pose en acteur responsable. Vraiment ?
Ce 31 mars, la CNIL mettra fin à une énième période de tolérance vis-à-vis des acteurs ayant mis des années à s'adapter aux règles françaises en matière de respect du consentement dans la collecte de données personnelles. Puis d'application du RGPD européen, voté en 2016 et entré en vigueur en 2018. « Pas trop tôt », diront certains.
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Apple et Google : deux réactions différentes face aux dérives publicitaires
Face à cette problématique, sur le devant de la scène depuis les révélations d'Edward Snowden ou du scandale Cambridge Analytica, les différents acteurs ont réagi de manière différente. Apple a par exemple opté pour un vaste plan d'évolution de ses produits et de communication autour d'une approche protectrice de l'utilisateur, de son Intelligent Tracking Protection aux évolutions d'iOS comme le récent Private Click Measurement.
Au point de se mettre à dos l'industrie publicitaire en général et Facebook en particulier.
Votre vie privée n'est pas leur priorité
Le secteur publicitaire et les éditeurs de sites ont pour leur part toujours eu du mal à s'adapter, préférant continuer de ne pas se conformer à la loi afin de garder l'avantage concurrentiel que cela leur procure. Mais aussi en espérant qu'au bout du compte, ils arriveraient à retourner la situation, à obtenir des arbitrages en leur faveur.
Comme l'acceptation de « dark pattern » en matière de récolte de consentement, ou du chantage au consentement à la faveur de la montée en puissance des offres payantes : « vos données, ou il faut payer ». Et continuer de faire comme si la publicité sans pistage n'avait jamais existé. Comme si le tout pistage ne s'était justement pas développé grâce au non-respect de la loi par une part importante des acteurs du marché pendant de longues années.
Mais peu à peu, et face à la pression enfin active de la CNIL, on voit ainsi les choses changer, parfois à la marge, mais dans le bon sens. Certains se parent ainsi de toutes les vertus évoquant la passion qu'ils ont désormais pour le respect de votre vie privée, ce qui tient parfois du « privacy washing » si l'on y regarde de plus près. D'autres s'adaptent, allant jusqu'à détourner des mécaniques comme le DNS pour être sûrs de vous pister.
- Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire
- State Partitioning : Firefox 86 active sa « protection totale » sur les cookies
Google et le respect de la vie privée, c'est compliqué
Puis il y a Google, à l'attitude toujours ambigüe. Géant de la publicité et de la collecte de données, il multiplie les initiatives soufflant le chaud et le froid ces dernières années. Avec Chrome, il propose par exemple le seul navigateur, largement majoritaire un peu partout dans le monde, ne proposant que très peu de fonctionnalités permettant de limiter le pistage en ligne et l'affichage excessif de publicité. Pourquoi se tirer une balle dans le pied ?
Mais à l'inverse, la société communique à l'envi sur les évolutions d'Android en matière de vie privée, l'OS étant sous le coup d'une concurrence active d'Apple et sous la pression de ses partenaires. On a aussi régulièrement droit à des billets de blog vantant des initiatives de renforcement des fonctionnalités de réduction de collecte des données ici ou là, même si nombre des produits maison continuent à favoriser la collecte par leur fonctionnement.
Il en est de même pour la Privacy Sandbox de Chrome ou la confidentialité différentielle, un principe qui a fait l'objet de nombreuses recherches ces dernières années, qui vise à permettre une collecte de données, tout en préservant la vie privée des utilisateurs. Elle est par exemple utilisée dans la saisie prédictive d'Android.
Aujourd'hui, Google annonce vouloir tracer la voie vers un web « privacy-first » avec de nouveaux engagements. Une déclaration qui concerne en réalité la mise en place de nouveaux outils et qui ne fait pas l'unanimité.
Qu'a annoncé Google ?
La société commence tout d'abord par un rappel, qui est au fondement même de son existence : pour elle, l'information accessible en ligne par le plus grand nombre n'existe que grâce à la publicité. C'est en partie vrai.
Car toute entreprise, et les médias en sont le plus souvent, doit reposer sur un modèle économique viable. Il y a bien entendu des exceptions, comme les fondations et autres financements par les dons, on pense notamment à Wikipédia, mais aussi à tout le travail porté par les individus et leurs blogs, le milieu associatif et ses bénévoles.
Mais comme nous l'évoquions plus haut, et contrairement à la petite musique portée par l'industrie publicitaire, cette méthode de financement n'a pas toujours été et n'a donc pas forcément à être exclusivement associée au pistage en ligne. C'est là que Google dit vouloir se distinguer, en acceptant ce fait... tout du moins en apparence.
Le géant américain reconnaît l'état désastreux à laquelle cette confusion a mené (et à laquelle il a activement participé). Notamment parce que c'est ce pistage généralisé qui a nourri la création des bloqueurs de publicités et autres mécaniques réduisant peu à peu les possibilités d'utiliser scripts et cookies, posant parfois des problèmes aux développeurs avec des besoins légitimes, du fait des abus du marché publicitaire.
Selon les données du Pew Research Center évoquées par Google, 72 % des internautes interrogés ont l'impression que tout ce qu'ils font en ligne est pisté par des entreprises, 81 % voyant cela pour un risque, cette collecte massive n'étant pas à la hauteur des bénéfices qu'ils en retirent. Sans parler de la faciliter à naviguer sur certains sites...
L'année dernière, Google a indiqué que Chrome mettrait fin à son support des cookies tiers, c'est notamment ce qui a poussé certains vers le CNAME Cloacking, qui consiste à faire passer des scripts de pistage tiers comme venant d'un domaine principal du site visité, posant des problèmes de sécurité (sans éviter le besoin de consentement).
Mais la question du remplacement se pose : comment continuer à effectuer du suivi en ligne sans de tels outils. Par exemple pour connaître les statistiques de consultation d'un site, l'efficacité d'une campagne par email, le tout sans forcément collecter de données personnelles ? Si Apple a développé sa propre solution en la matière, Google dit ne pas avoir fait de même et va plus loin : ses produits ne pisteront plus l'internaute individuellement en ligne.
« Nous avons conscience que cela signifie que d'autres fournisseurs pourront proposer un meilleur niveau d'identification de l'internaute pour le pistage publicitaire que les nôtres [mais] nous ne pensons pas que cela rencontrera la demande de l'utilisateur en termes de vie privée ou l'évolution rapide de la régulation en la matière », précise l'entreprise, qui semble ici porter un discours à contre-courant de ses pratiques récentes.
La vie privée d'abord, mais une publicité toujours ciblée
Google dit ainsi que ses produits se baseront désormais sur des API préservant la vie privée, notamment avec la confidentialité différentielle et FLoC (Federated Learning of Cohorts). Le discours du géant est ainsi que désormais « les gens ne devraient pas avoir à accepter d'être pistés en ligne pour bénéficier de publicités pertinentes ».
Toute la subtilité est là : Google ne dit pas qu'il vante un modèle ou le ciblage n'est plus l'option par défaut. L'idée n'est pas de ne plus personnaliser les annonces affichées, mais de ne plus faire reposer ces mécaniques sur le pistage et le profilage massif des individus. Les informations collectées seront ainsi anonymisées, agrégées, traitées sur l'appareil, entre autres solutions du genre. Mais le ciblage publicitaire continuera.
FLoC va ainsi être introduit sous la forme d'un test dans les prochaines versions de Chrome dans le courant du mois, via les Origin trials, avec une mise en place préliminaire au sein de Google Ads dans le courant du second trimestre. En avril, de nouveaux paramètres seront proposés aux utilisateurs, ils seront peaufinés avec le temps.
Google précise que ses produits publicitaires continueront de gérer les données dites first-party, évoquant le besoin pour les marques et les sites de renforcer les liens directs qu'ils ont avec leurs visiteurs/clients.
On peut apprécier ces décisions, même si certains ne manqueront pas de soulever que Google a joué avec le système pendant des années afin de se positionner en géant du secteur, riche à milliards, écrasant tout ou presque sur son passage, profitant finalement de cette manne financière pour désormais se positionner en acteur vertueux.
On attendra dans tous les cas de juger les évolutions sur pièces, puisque l'on est encore au stade des promesses et que sur ces sujets, le diable se cache vite dans les détails de la mise en œuvre.
L'EFF demande à Google de retirer son initiative FLoC
L'Electronic Frontier Foundation (EFF) y trouve d'ailleurs déjà à redire et ne semble pas tant séduite que cela par l'annonce de Google. Plutôt dubitative, évoquant une tentation de remplacer la mécanique des cookies tiers à l'agonie, « sans doute la plus grosse erreur du Web » par une « idée terrible ».
« Personne ne regrettera » les cookies tiers ajoute la fondation, qui rappelle les effets néfastes du tout pistage sur l'évolution d'Internet ces vingt dernières années, confirmant que de son point de vue, la fin de toute solution de pistage est une bonne nouvelle. Pour autant, elle est loin d'applaudir l'arrivée de FLoC.
Elle voit cette initiative, comme la plus ambitieuse évoquée par Google, mais « aussi la plus néfaste ». Pour l'EFF, « certaines de ses propositions montrent que la société n'a pas appris les bonnes leçons du retour de bâton actuel concernant le modèle économique de la surveillance » au risque de renforcer d'autres aspects négatifs.
Pour la fondation, l'erreur originelle est de laisser penser qu'il n'y aurait qu'un seul choix possible, entre les anciennes et nouvelles méthodes de pistage et déclare que « plutôt que de réinventer la roue en la matière, nous devrions imaginer un monde sans la myriade de problèmes qu'impliquent les publicités ciblées ».
Le choix doit être celui du pistage ou non, pas de la méthode utilisée
Le choix devant nous est celui de perdurer dans la volonté de collecter les habitudes des utilisateurs, plutôt que de leur laisser choisir librement ce qu'ils veulent partager ou non avec les sites qu'ils visitent et utilisent « sans crainte que leur navigation passée ne puisse être utilisée contre eux ou pour les manipuler au détour du prochain onglet ».
Car même l'absence de pistage individuel ne changera rien au fait de placer les internautes dans des cases, de produire des bulles de filtre, le tout partagé et accessible par de nombreux acteurs (publicitaires ou non). L'EFF rappelle que le principe de FLoC repose sur un identifiant de cohorte partagé avec les sites et leurs partenaires, indiquant à quel groupe (de plusieurs centaines/milliers de personnes) un utilisateur appartient.
Elle livre au passage une analyse détaillée du concept tel qu'il a évolué depuis son introduction, même si certains détails manquent à l'appel, comme la longueur du Cohort ID, dont découleront le nombre de groupes possibles et la finesse du ciblage, ou les restrictions d'accès imposées.
Mais pour la fondation le problème est que cet identifiant peut être croisé avec d'autres pour reconstituer une empreinte de l'utilisateur. Un problème qui pourrait être combattu à travers le Privacy Budget Plan, mais sur lequel il n'y a pour le moment pas de solutions ou d'engagements précis, alors que FloC sera bientôt là.
Cet identifiant pourrait aussi venir nourrir un profilage « à l'ancienne », que certains services continueront malgré les engagements de Google qui n'ont rien à voir avec leurs propres pratiques.
Pour l'EFF, le ciblage et ce qu'il permet sont le problème
FLoC n'apporte ainsi pas de solution aux problèmes posés par le ciblage lui-même, qui outre les questions de recoupement et de finesse du profilage, peut être utilisé à des fins autres que publicitaires. Par exemple en empêchant tel ou tel type de public de voir une annonce d'emploi, pour un appartement à louer, une solution de crédit selon quelques exemples donnés par l'EFF. On voit rapidement l'ampleur du problème.
Sans parler d'un ciblage qui viserait des publics plus fragiles pour les exposer à des arnaques en ligne comme du scam. Sachant que FLoC reposera sur une solution d'apprentissage non supervisé de Google, sans plus de contrôle par des tiers sur ses pratiques, et même si des propositions sont faites concernant l'exclusion de certaines catégories sensibles, comment savoir ce qu'il se passera dans cette nouvelle boîte noire ?
D'autant qu'une telle solution apparaît comme « à la fois orwellienne et sisyphéenne. Afin de vérifier comment les groupes FLoC recoupent des catégories sensibles, Google devrait organiser des audits massifs concernant le groupe ethnique, le genre, la religion, l'âge, la santé et le statut financier » des utilisateurs.
L'EFF demande ainsi à l'entreprise de faire machine arrière, et prévient que si FLoC est implémenté au sein de Chrome, il ne faut pas s'y tromper, « le système sera très certainement opt-in pour les publicitaires qui voudront l'utiliser, mais opt-out pour les internautes qui ne voudront pas en faire partie ». Espérons qu'il en sera autrement.
Commentaires (13)
#1
Ça s’annonce nettement moins rigolo que Flock
#1.1
Parfois, une lettre, ça change tout
#2
J’attends avec impatience le dessin de samedi concernant ce sujet
#2.1
Itou
#2.2
Pareil xD
#3
Allez, j’en ai mis une sur le sujet dans le tas de brouillons de la semaine, c’est bien parce que c’est vous
#3.1
#4
Il n’existe pas des extensions, ou des sites, qui permettent de “brouiller les pistes” avec une approche “échelon” : au lieu d’essayer d’empêcher le pistage (et donc la catégorisation / la mise dans des cases), pousser l’extrême inverse, cad créer des milliards de profils bidons, tous différents, mais tous inclus dans toutes les cohortes de manière aléatoire.
De toute façon la pub est un marché de dupe : Les annonceurs paient pour une promesse , les services comme google et autres publicitaires profitent “juste” de leur capital confiance pour facturer sans rien garantir en retour (garantir en terme d’efficacité - bien sur qu’ils peuvent garantir une certaine “visibilité”).
C’est comme la pub TV : Ca marche car les annonceurs CROIENT que ça marche , donc paient des millions aux chaînes, et tout le système tiens comme ça, avec des boites comme médiamétrie pour crédibiliser le truc.
J’en viens à me dire que sur le net c’est pareil : Il n’est pas nécessaire que le pistage soit effectif, efficace ou même utile : Il faut JUSTE que les gens qui le croient paient. Partant de là, google peut sortir des tas d’ID de /dev/urandom , et zou. Ya des chances que l’effet au final sur les ventes effectives soient les même, non ?
#5
Les annonceurs y croient parce qu’ils constatent un retour sur investissement la plupart du temps.
C’est juste un baromètre dont on regarde les variations.
Après que Médiamétrie mesure correctement les audiences …
#6
La NSA n’en a sorti qu’UN !
le constat depuis 8 ans est le même… Donc Random ou pas aucun site n’est responsable de la surveillance, parceque : -“c’est pas moi c’est l’autre”
#7
tempete dans un verre d’eau ces histoires, je ne comprends pas pourquoi google reagit. probablement l’effet microcosme.
#8
Ce que je veux dire c’est que l’on ne peux pas prouver l’inverse d’une chose. Ex:
Audi fait de la pub pour leurs bagnoles après le 20h de TF1, sur le créneau le plus cher. Ils “constatent” une augmentation des ventes après la campagne.
Mais est-ce certain que c’est l’effet de la pub ? Ou bien c’est juste conjoncturel, et sans la pub les ventes auraient tout de même augmenté car la conjecture s’y prêtait ?
Tesla vends également des voitures à tour de bras sans faire de la pub au 20h, donc….
L’inverse est vrai aussi : Si tu fais pas de pub, et que tu as de mauvaises ventes, rien ne dit non plus que t’aurais fait de meilleures ventes en dépensant des millions en pub - ptet que c’est juste les gens qui ont moins de sous ?
Alors bien sur, tout ça joue énormément sur la psychologie, sur les effets de masse, même sur les “signes extérieur de richesse” de la part des marques (Lâcher des millions d’euros en pub TV, ça montre aussi à ses conccurent qu’on est tellement riche qu’on peux se permettre de gaspiller autant de fric ailleurs que dans la production et la R&D, pour impressionner, et également s’assurer un certain soutient politique car les média sont notoirement proche des décideurs).
#9
Justement, il est très difficile de savoir si une vente est réalisée grâce à la publicité ou non. Le ROI de la pub est quasi indémontrable en dehors des campagnes qui peuvent être réellement suivies (produits identifiés dans le cadre de celles-ci, etc).
Pour se rendre compte de la difficulté de démontrer l’effet d’une campagne de pub : tu vois une bannière sur un site web et tu cliques dessus, l’achat est comptabilisé comme étant lié à la campagne. Par contre, tu aurais été sur un site de e-commerce et tu as acheté le produit sans passer par un lien spécifique, cette vente est-elle imputable à la publicité ?
C’est plus un pari qu’autre chose la publicité d’une certaine façon. Il n’y a guère que les sondages opérés régulièrement qui permettent de savoir si la pub a encore une efficacité ou non.