« Après un dialogue initial avec la communauté Web, nous sommes convaincus qu'avec une itération et des commentaires continus, des mécanismes de protection de la vie privée et des normes ouvertes comme le Privacy Sandbox peuvent soutenir un Web sain et financé par la publicité d'une manière qui rendra les cookies tiers obsolètes. Une fois que ces approches auront répondu aux besoins des utilisateurs, des éditeurs et des annonceurs, et que nous aurons développé les outils pour atténuer les solutions de contournement, nous prévoyons d'éliminer progressivement la prise en charge des cookies tiers dans Chrome. Notre intention est de le faire d'ici deux ans. Mais nous ne pouvons pas y arriver seuls, et c'est pourquoi nous avons besoin de l'écosystème pour s'engager sur ces propositions. Nous prévoyons de commencer les premiers Origin Trials d'ici la fin de cette année, en commençant par la mesure de conversion et en poursuivant par la personnalisation.
Pour se faire, l'éditeur de Chrome a proposé Federated Learning of Cohorts (FLoC) qui fait partie du Privacy Sandbox. Les ingénieurs de Chrome ont travaillé avec le secteur à une plus large échelle, notamment avec l'organisation de normalisation Web W3C, sur des idées sur Sandbox qui ont été proposées par Google et d'autres acteurs de la technologie publicitaire. Selon Google, il est probable qu'un certain nombre de ces idées soient explorées plus en profondeur.
En quelques mots, FLoC échange le suivi des utilisateurs individuels et le fingerprinting contre une identification de groupe (cohorte) basée sur des historiques de navigation similaires des membres de ce groupe. FLoC place essentiellement les personnes dans des groupes basés sur des comportements de navigation similaires, ce qui signifie que seuls des « identifiants de cohorte » et non des identifiants d'utilisateurs individuels sont utilisés pour les cibler. L'historique Web et les entrées pour l'algorithme sont conservés sur le navigateur, le navigateur exposant uniquement une « cohorte » contenant des milliers de personnes.
« C'est une proposition », a rappelé Chetna Bindra, chef de produit du groupe pour la confiance des utilisateurs et la confidentialité chez Google, concernant les progrès de FLoC. « Ce n'est absolument pas la proposition finale ou singulière de remplacer les cookies tiers... Il n'y aura pas une API finale que nous allons explorer plus en profondeur, ce sera une collection d'entre ces API qui permettent des choses comme la publicité basée sur les intérêts, ainsi que pour les cas d'utilisation de mesure, où il est essentiel de pouvoir garantir que les annonceurs peuvent mesurer l'efficacité de leurs annonces ».
Mais sa solution n'a pas été bien accueillie
Paul Bannister, directeur de la stratégie chez CafeMedia, a avancé qu'il y avait une certaine crainte que ces types d'actions puissent profiter aux « jardins clos » d'entreprises comme Facebook, et s'éloigner de la publicité sur le Web ouvert.
FLoC de Google n'est, bien sûr, applicable qu'à son propre navigateur Chrome, mais il a apparemment également des traces dans le moteur open source Chromium utilisé par Brave, Vivaldi, Microsoft Edge et de nombreux autres navigateurs plus petits. Pour cette raison, Brave et Vivaldi ont publié des billets de blog plutôt cinglants sur FLoC et ont promis de le bloquer sous n'importe quelle forme. Brave bloquera également l'interaction FLoC pour les utilisateurs de Chrome visitant son site Web.
Du point de vue de Brave, l'idée de créer une liste globale de « catégories sensibles » est illogique et immorale. La question de savoir si un comportement est « sensible » varie énormément d'une personne à l'autre. La mère d'une personne ne trouve peut-être pas son intérêt pour les « vêtements pour femmes » comme une partie privée de son identité, mais son père pourrait (ou non ! Mais, de toute évidence, Google n'est pas la partie appropriée pour faire ce choix). De même, un adulte qui attend un enfant avec bonheur peut ne pas trouver son intérêt pour les « articles pour bébés » particulièrement sensible, mais un adolescent effrayé et nerveux le pourrait. Plus largement, les intérêts qui sont banals pour une personne, peuvent être sensibles, privés ou même dangereux pour une autre personne.
Opera a fourni le commentaire suivant : « Comme vous le savez probablement, Opera a une longue histoire d'introduction de fonctionnalités de confidentialité qui profitent à nos utilisateurs: c'était le premier grand navigateur à introduire le blocage des publicités intégré, le VPN du navigateur et d'autres fonctionnalités centrées sur la confidentialité. L'importance est maintenant la fin des cookies tiers, ce qui réduira la quantité de suivi intersites Web sur le Web. Alors que nous et d'autres navigateurs discutons de nouvelles et meilleures alternatives publicitaires préservant la confidentialité aux cookies, y compris FloC, nous ne prévoyons actuellement pas d'activer de telles fonctionnalités dans les navigateurs Opera dans leur forme actuelle. De manière générale, nous pensons cependant qu’il est trop tôt pour dire dans quelle direction le marché évoluera ou ce que feront les principaux navigateurs. »
DuckDuckGo n'est pas considéré comme un navigateur, mais il propose des navigateurs internet pour iOS et Android. Sur desktop, il a déjà créé une extension de navigateur pour que d'autres navigateurs puissent le bloquer : « Nous sommes déçus que, malgré les nombreuses préoccupations exprimées publiquement concernant FLoC qui n’ont pas encore été résolues, Google impose déjà FLoC aux utilisateurs sans leur demander explicitement d’accepter. Nous sommes néanmoins déterminés et continuerons à faire notre part pour concrétiser notre vision d’élever le niveau de confiance en ligne ».
L'Electronic Frontier Foundation, qui est elle aussi contre FLoC, a même créé un site Web pour vous faire savoir si vous êtes l'un des rares utilisateurs de Chrome à avoir été inclus dans les premiers tests de Google. « FLoC est censé être un nouveau moyen de faire en sorte que votre navigateur fasse le profilage que les traceurs tiers faisaient eux-mêmes : dans ce cas, il s'agit de réduire votre activité de navigation récente en un label comportemental, puis de le partager avec les sites Web et les annonceurs. Cette technologie permettra d'éviter les risques d'atteinte à la vie privée liés aux cookies tiers, mais elle en créera de nouveaux au cours du processus. Elle peut également exacerber bon nombre des pires problèmes de non-respect de la vie privée liés aux publicités comportementales, notamment la discrimination et le ciblage prédateur », a déclaré l’EFF.
WordPress a annoncé qu'il va traiter la nouvelle technologie de suivi FLoC de Google comme un problème de sécurité et pourrait la bloquer par défaut sur les sites WordPress : « FLoC est censé être une nouvelle façon de faire en sorte que votre navigateur effectue le profilage que les traceurs tiers avaient l'habitude de faire eux-mêmes : dans ce cas, résumer votre récente activité de navigation en une étiquette comportementale, puis la partager avec les sites Web et les annonceurs. La technologie évitera les risques de confidentialité des cookies tiers, mais elle en créera de nouveaux dans le processus. Elle peut également exacerber bon nombre des pires problèmes de non-confidentialité liés aux publicités comportementales, y compris la discrimination et le ciblage prédateur ».
Google lâche un peu de lest face à la pression
Face à la réaction de l'industrie, Google a décidé de retarder la suppression de la prise en charge des cookies tiers dans Chrome. Nombreux sont les navigateurs qui bloquent désormais les cookies de suivi tiers, mais Google n'allait pas entrer dans la danse sans protéger d'abord son modèle commercial, notamment avec FLoC. Cependant, face aux réactions en chaîne, aussi bien du côté des acteurs de l'industrie que de la classe politique (par exemple l'enquête de l'UE qui vise les services ad tech de Google), Google déclare « qu'il est devenu clair que plus de temps est nécessaire dans l'ensemble de l'écosystème pour y parvenir ».
Google a affirmé avoir reçu « des commentaires substantiels » de la communauté Web après son premier essai de FLoC, et maintenant cela va prendre un peu plus de temps pour que le mécanisme soit déployé à grande échelle. Google affirme que cela va « laisser suffisamment de temps pour un débat public sur les bonnes solutions, un engagement continu avec les régulateurs et pour que les éditeurs et le secteur de la publicité effectuent la migration de leurs services ». Bien que FLoC soit le principal argument de Google pour un remplacement de cookie publicitaire de suivi des utilisateurs, il ne s'agit pas de sa seule option. La société a déclaré que « Chrome et d'autres ont fait plus de 30 propositions, et quatre de ces propositions sont disponibles dans Origin Trials ».
« Aujourd’hui, nous partageons les dernières avancées de l’initiative Privacy Sandbox, notamment les étapes entreprises en vue de la fin de l’utilisation des cookies tiers sur Chrome. Nous avons fait des progrès considérables dans le cadre de cette initiative. Toutefois, il est clair que nous avons besoin de plus de temps pour nous assurer de son bon déploiement dans l’ensemble de notre écosystème.
« L’initiative Privacy Sandbox a pour but de créer des technologies qui protègent la vie privée des utilisateurs, tout en donnant aux entreprises et aux développeurs les outils nécessaires pour bâtir des modèles économiques pérennes et garantir que le Web reste un environnement ouvert et accessible à tous. À ces fins, nous pensons qu’il revient à la communauté du Web de convenir d’un ensemble de standards ouverts visant à renforcer fondamentalement la protection des données personnelles sur Internet et à offrir aux utilisateurs plus de transparence et de contrôle sur l’utilisation de leurs données.
« Ainsi, nous devons progresser à une allure raisonnable afin de permettre la tenue de discussions publiques sur les solutions adéquates, un engagement continu avec les régulateurs, et de permettre aux éditeurs et au secteur de la publicité dans son ensemble de faire migrer leurs services. Cela est essentiel à la préservation du modèle économique de nombreux éditeurs qui publient des contenus accessibles gratuitement. Par ailleurs, en fournissant des technologies de protection de la vie privée, le secteur dans son ensemble contribue à assurer que les cookies ne seront pas remplacés par une autre forme de pistage individuel et empêche le déploiement de techniques de pistage dissimulées comme le fingerprinting.
« Nous poursuivons notre collaboration avec la communauté du web pour convenir d’approches plus respectueuses de la vie privée dans des domaines-clés comme la mesure de performance, la diffusion d’annonces et de contenus ciblés ou encore la détection de la fraude. Chrome, tout comme d’autres acteurs, a fait plus de 30 propositions, dont quatre sont désormais en phase de test. S’agissant de Chrome, notre objectif est de faire en sorte que les technologies-clés soient déployées d’ici la fin de l’année 2022, afin que la communauté des développeurs puisse démarrer leur adoption dans la foulée. Sous réserve de nos échanges avec l’Autorité de la concurrence britannique (CMA), et conformément à nos engagements relatifs à la Privacy Sandbox, Chrome pourrait déclencher le processus de fin du support aux cookies tiers sur une période de 3 mois, pour démarrer à la mi-2023, et se terminer à la fin de cette même année.
« Chaque proposition fait l’objet d’un processus de développement public, rigoureux et en plusieurs étapes, qui implique de longues discussions et des phases d’essai. Ce processus est semblable aux étapes de développement des API et des technologies du Web :
- La discussion : les technologies et leurs prototypes font l’objet de discussions sur des forums comme GitHub ou les groupes W3C.
- Les essais : les technologies sont rigoureusement testées dans Chrome et font l’objet de nombreux essais d’origine, accordant ainsi plus de place à la transparence et aux commentaires de bout en bout. Par exemple, nous avons reçu de nombreux retours de la communauté Web lors des essais d’origine pour la première version du FLoC (apprentissage fédéré par cohortes). Nous avons l’intention de le conclure dans les prochaines semaines et d’intégrer les suggestions avant de poursuivre le processus de test dans l’écosystème.
- L’adoption : une fois le processus terminé, les technologies testées sont prêtes à l’emploi en situation réelle. Elles seront lancées dans Chrome puis déployées sur l’ensemble du Web.
« Nos projets pour Chrome, suite à ce processus de développement public et dans le respect de nos engagements auprès de la CMA, consistent à supprimer les cookies tiers en deux étapes :
- 1ère étape (lancement fin 2022) : dès l’achèvement des tests et du déploiement des API de Chrome, nous annoncerons le lancement de la 1re étape. Au cours de celle-ci, les éditeurs et le secteur publicitaire se verront accorder le temps nécessaire à la migration de leurs services. Selon nos estimations, le processus devrait durer neuf mois, au cours desquels nous surveillerons rigoureusement l’adoption des API ainsi que les retours avant d’entamer la 2e étape.
- 2e étape (lancement mi-2023) : Chrome cessera progressivement de prendre en charge les cookies tiers, avant de supprimer totalement ces derniers dans un délai de trois mois d’ici la fin de l’année 2023 ».
Google repousse les tests FLoC au premier trimestre 2022
Google a mis à jour son calendrier mensuel Privacy Sandbox qui indique que la société a repoussé les tests FLoC du quatrième trimestre 2021 (annoncé en juillet) au premier trimestre 2022. Les tests de l'API FLEDGE, la nouvelle proposition de Chrome pour aider les annonceurs à faire du reciblage publicitaire sans cookies tiers sur le Web, sont eux aussi retardés et n'auront lieu qu'à partir du premier trimestre 2022 également.
Google prévoit désormais de déployer FLoC sur les navigateurs à la fin de 2022 (le segment vert dans la feuille de route ci-dessous), puis la phase la prise en charge des cookies tiers fin 2023, sur une période de 3 mois.
La période de « Discussion », initialement prévue pour se terminer au troisième trimestre 2021, au cours de laquelle « les technologies et leurs prototypes sont discutés dans des forums tels que GitHub ou les groupes W3C », a été prolongée jusqu'à la fin du quatrième trimestre 2021. Cela a également un impact sur l'estimation de la période à laquelle les tests devraient se terminer, qui passe désormais de fin du deuxième trimestre à fin du troisième trimestre 2022.
De plus, les tests pour les API qui relèvent de la catégorie « mesurer les publicités numériques » ont également été repoussés au premier trimestre 2022.
Un retard dans les évènements indiqués plus haut pourrait pousser la mise en œuvre du FloC jusqu'en 2023.
Source : Calendrier Privacy Sandbox (Google)