IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google va amorcer la suppression des cookies tiers pour 30 millions d'utilisateurs Chrome.
L'API Protected Audience, une alternative, pourrait améliorer la confidentialité, selon Lukasz Olejnik

Le , par Stéphane le calme

10PARTAGES

7  0 
Google prévoit de supprimer les cookies tiers pour 1% des utilisateurs de Chrome au premier trimestre 2024, ce qui représente environ 30 millions d’utilisateurs, étant donné que Chrome domine le marché des navigateurs web avec plus de 3 milliards d’utilisateurs. Cette suppression permettra aux développeurs de tester la performance et l’efficacité de leurs produits sans cookies dans un environnement réel. La suppression totale des cookies tiers dans Chrome est prévue pour le second semestre 2024. Google affirme que cette mesure vise à renforcer la protection de la vie privée des utilisateurs, tout en préservant l’écosystème publicitaire en ligne.

Depuis les derniers mois de 2023, les utilisateurs ont la possibilité d'accepter la suppression des cookies tiers, et cette fonctionnalité commence désormais à être déployée par défaut auprès d'internautes sélectionnés.

Les cookies tiers se sont avérés nocifs pour la vie privée, c'est pourquoi Google, motivé par ses concurrents qui bloquent déjà les cookies tiers par défaut et par les régulateurs, a préparé une série d’API (interfaces de programmation d’applications) qui font partie de son initiative Privacy Sandbox. Ces API sont conçues pour offrir aux annonceurs des moyens alternatifs de cibler les utilisateurs, sans collecter ni partager leurs données personnelles.

Au lieu de travailler avec des outils et des protections limités, les API permettent au navigateur d’un utilisateur d’agir en son nom (localement, sur son appareil) pour protéger ses informations personnelles lorsqu’il navigue sur le web. Il s’agit d’un changement d’orientation pour les navigateurs. La vision du futur de la Privacy Sandbox consiste à ce que les navigateurs fournissent des outils spécifiques pour satisfaire des cas d’usage spécifiques, tout en préservant la vie privée des utilisateurs.

Parmi les API Privacy Sandbox, nous pouvons citer :
  • FLoC (Federated Learning of Cohorts) : une API qui permet aux annonceurs de cibler des groupes d’utilisateurs ayant des centres d’intérêt similaires, sans avoir besoin de connaître leur historique de navigation individuel.
  • TURTLEDOVE (Two Uncorrelated Requests, Then Locally-Executed Decision On Victory) : une API qui permet aux annonceurs et aux éditeurs de diffuser des annonces personnalisées en fonction des intérêts des utilisateurs, sans révéler ces intérêts à quiconque.
  • Dovekey (Demand-side Optimization with Verifiable Events and Keepable Encryption) : une API qui combine les fonctionnalités de FLEDGE et TURTLEDOVE, en ajoutant la possibilité pour les annonceurs d’utiliser un serveur tiers pour optimiser leurs enchères publicitaires.
  • PARAKEET (Private and Anonymized Requests for Ads that Keep Efficacy and Enhance Transparency) : une API qui permet aux annonceurs et aux éditeurs de diffuser des annonces pertinentes aux utilisateurs, sans partager leurs données personnelles avec des tiers, en utilisant un service proxy géré par un tiers de confiance.
  • SPARROW (Secure Private Advertising Remotely Run On Webserver) : une API qui permet aux annonceurs et aux éditeurs de diffuser des annonces pertinentes aux utilisateurs, sans partager leurs données personnelles avec des tiers, en utilisant un serveur géré par les éditeurs.
  • AGGREGATE REPORTING API : une API qui permet aux annonceurs et aux éditeurs de mesurer l’efficacité de leurs campagnes publicitaires, sans révéler les données individuelles des utilisateurs, en utilisant des techniques de calcul sécurisé et d’agrégation de données.
  • CONVERSION MEASUREMENT API : une API qui permet aux annonceurs et aux éditeurs de mesurer les conversions (par exemple, les achats ou les inscriptions) générées par leurs annonces, sans révéler les données individuelles des utilisateurs, en utilisant des techniques de chiffrement et d’atténuation du bruit.
  • EVENT-LEVEL API : une API qui permet aux annonceurs et aux éditeurs de mesurer les événements (par exemple, les clics ou les impressions) liés à leurs annonces, sans révéler les données individuelles des utilisateurs, en utilisant des techniques de chiffrement et d’atténuation du bruit.

L'API Topics

Lorsqu’un utilisateur visite un site qui utilise la Topics API pour la publicité, le navigateur partage trois de ses intérêts avec le site et ses partenaires publicitaires, en choisissant « un intérêt parmi chacune des trois dernières semaines ». Selon la page GitHub de la Topics API, il existe actuellement environ 350 sujets disponibles dans sa taxonomie publicitaire (bien que Google prévoie d’en ajouter « quelques centaines » à « quelques milliers » à terme). Google précise que les sujets n’incluent aucune catégorie « sensible » comme le genre ou l'origine ethnique. Et si vous utilisez Chrome, la société prévoit de créer des outils pour vous permettre de consulter et de supprimer les sujets, ainsi que de désactiver la fonctionnalité.

Le projet FLoC de Google était une forme de suivi basé sur les centres d’intérêt qui vous identifiait en fonction de votre “cohorte”, c’est-à-dire un groupe d’utilisateurs ayant des intérêts similaires. Les critiques de la vie privée, comme l’Electronic Frontier Foundation (EFF), ont soutenu que ce système posait des risques supplémentaires pour la vie privée, comme faciliter l’identification des utilisateurs par le biais de l’empreinte digitale du navigateur, un outil utilisé par les sites pour obtenir des informations spécifiques sur votre appareil et votre navigateur, et pouvait également révéler des informations sur vos caractéristiques démographiques, pouvant entraîner des publicités ciblées discriminatoires. En raison de ces préoccupations, des navigateurs comme Brave, Vivaldi, Edge et Mozilla ont tous refusé de l’utiliser.

L'API Protected Audience

L'API Protected Audience est une technologie de Privacy Sandbox qui répond à des cas d'utilisation de remarketing et d'audiences personnalisées. Google assure qu'elle est conçue pour que les tiers ne puissent pas suivre le comportement de navigation des utilisateurs sur les sites.

L'API Protected Audience permet aux enchères sur l'appareil par le navigateur de choisir des annonces pertinentes à partir de sites Web que l'utilisateur a déjà visités.

L'API Protected Audience est la première expérience à avoir été implémentée dans Chromium dans la famille de propositions TURTLEDOVE. La différence entre Protected Audience et TURTLEDOVE est principalement liée à la séparation des rôles sur l'appareil de l'acheteur et du vendeur d'annonces. Les sections ci-dessous expliquent le fonctionnement de l'API Protected Audience.


Cycle de vie de l'API Protected Audience

L'API Protected Audience utilise des groupes de centres d'intérêt pour permettre aux sites de diffuser des annonces pertinentes pour leurs utilisateurs.

Par exemple, lorsqu'un utilisateur consulte un site qui souhaite promouvoir ses produits, un propriétaire d'un groupe de centres d'intérêt (comme une plate-forme côté demande (DSP)) peut demander au navigateur de l'utilisateur d'ajouter l'adhésion au groupe de centres d'intérêt. Si la requête aboutit, le navigateur enregistre:
  • Nom du groupe de centres d'intérêt (par exemple, "vélos personnalisés".
  • Propriétaire du groupe de centres d'intérêt (par exemple, "https://dsp.example".
  • Les informations de configuration du groupe de centres d'intérêt, afin de permettre au navigateur d'accéder au code d'enchère, au code d'annonce et aux données en temps réel, si le propriétaire du groupe est invité à enchérir dans une enchère publicitaire.


Fonctionnement simplifié

Voici une version simplifiée de la façon dont l'API pourrait fonctionner. Lorsqu'un utilisateur navigue sur un site Web qui a mis en œuvre des scripts d'audience protégée, ces scripts peuvent s'exécuter et placer le navigateur de l'utilisateur dans divers groupes d'intérêt (qui appartiennent à un vendeur de publicité spécifique ou à une plateforme côté demande). Ces groupes peuvent être informés par l'API Topics associée, mais ils existent séparément.

Ainsi, une visite sur un site Web sur le vélo peut amener le navigateur de l'utilisateur à être ajouté au groupe d'intérêt sur le vélo. Cette désignation existe localement chez le client, et non sur le serveur, à titre de protection de la vie privée.

Sur un autre site Web, le « remarketing » a lieu. Les scripts d'audience protégée peuvent lancer une enchère publicitaire dans le navigateur qui intègre les informations d'intérêt stockées localement (cet utilisateur aime les vélos) et les annonceurs qui souhaitent toucher les personnes intéressées par les vélos peuvent enchérir pour présenter une annonce associée à l'utilisateur.

L'annonce du gagnant de l'enchère serait ensuite présentée dans un <fencedframe> - une variante de l'élément iframe HTML conçu pour empêcher l'éditeur du site de tirer des conclusions sur les intérêts des visiteurs sur la base d'enchères publicitaires lancées via des scripts de site.

L'objectif de préservation de la vie privée atteint ?

Le Privacy Sandbox est donc un ensemble d'API permettant de diffuser et de mesurer des publicités en ligne de manière à éviter, espérons-le, les problèmes de confidentialité.

Et selon le chercheur en confidentialité Dr Lukasz Olejnik, Google a plus ou moins atteint son objectif avec Protected Audience. Mardi, Olejnik a publié sa thèse de la faculté de droit de l'Université d'Édimbourg, intitulée « Réconcilier les initiatives Privacy Sandbox avec les lois européennes sur la protection des données ».

Et son évaluation de Protected Audience, anciennement connu sous le nom de FLEDGE, est « qu'il est possible d'utiliser ce système d'une manière conforme à la législation européenne sur la protection des données ».

Il peut même être mis en œuvre, suggère Olejnik, d'une manière qui ne traite pas du tout les données personnelles – évitant ainsi la nécessité de présenter une demande de consentement en vertu du Règlement général sur la protection des données (RGPD) européen.

Cela ne signifie pas que la technologie est parfaite ou qu'elle n'est pas soumise à d'autres obligations légales, comme la directive européenne relative à la vie privée et aux communications électroniques. Mais l'évaluation d'Olejnik sera probablement bien accueillie par Google et par d'autres organisations cherchant à adopter la technologie publicitaire prétendument respectueuse de la vie privée de l'éditeur de Chrome.

Quoiqu'il en soit, il est toujours possible que la directive européenne vie privée et communications électroniques exige le consentement de l'utilisateur avant la diffusion d'une publicité, car elle couvre la collecte « d'informations », plutôt que la catégorie plus étroite des « données personnelles ».

Mais Olejnik fait valoir que cette directive n'est plus adaptée aux technologies actuelles telles que le Privacy Sandbox et doit être modifiée – un processus sur lequel les législateurs européens travaillent à travers une mise à jour appelée ePrivacy Regulation. Il souligne également que le Privacy Sandbox a des implications concurrentielles, ce que l'Autorité britannique de la concurrence et du marché, entre autres, a examinée de près.

Même si Google, selon la mesure d'Olejnik, a réussi à faire mouche en termes de confidentialité, d'autres aspects de Privacy Sandbox méritent un examen plus approfondi.

Sources : Réconcilier les initiatives Privacy Sandbox avec les lois européennes sur la protection des données, Lukasz Olejnik, ePrivacy Regulation

Et vous ?

Que pensez-vous de l’initiative Privacy Sandbox de Google ? Est-ce une avancée ou un recul pour la protection de la vie privée des utilisateurs ?
Préférez-vous recevoir des publicités basées sur vos centres d’intérêt, ou pas de publicité du tout ? Pourquoi ?
Quels sont les risques et les opportunités liés à l’utilisation de l’API Protected Audience ? Comment les éviter ou les exploiter ?
Quel est le rôle des autorités de régulation, des concurrents et des consommateurs face au pouvoir de Google sur le marché publicitaire en ligne ?
Comment concilier les besoins des annonceurs, des éditeurs et des utilisateurs dans un web plus respectueux de la vie privée ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de fodger
Membre confirmé https://www.developpez.com
Le 05/01/2024 à 12:03
Trop lourd à mettre en œuvre, ça sent le bide niveau adoption on va pas faire plaisir à google et se casser le cul pour eux.

Le cookie est imparfait mais à le mérite de fonctionner partout et c'est très simple à mettre en œuvre.
4  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 07/01/2024 à 20:56
Je peux comprendre que cela peut améliorer la vie privée mais uniquement vis à vis des annonceurs qui n'ont plus de donnée unitaire des internautes.

Mais qui classe dans les catégories ? N'est ce pas Google ? Donc en terme de vie privée vis à vis de Google, je ne pense pas que cela soit mieux.
L'idéal serait que l'orchestreur soit une entité indépendante. Et là, cette solution serait en effet pas mal du tout. Mais tel que je comprends, ce ne sera pas le cas.

Si on veut de la vie privée, on ne mets pas tout ses oeufs dans le même panier ....
3  0 
Avatar de totozor
Membre expert https://www.developpez.com
Le 10/01/2024 à 8:07
Citation Envoyé par Stéphane le calme Voir le message
Les cookies tiers se sont avérés nocifs pour la vie privée
Surtout l'utilisation qu'on en fait
c'est pourquoi Google, [...], a préparé une série d’API (interfaces de programmation d’applications) qui font partie de son initiative Privacy Sandbox.
Dont l'objectif final de Google est toujours d'en faire une utilisation nocive pour la vie privée.
Et selon le chercheur en confidentialité Dr Lukasz Olejnik, Google a plus ou moins atteint son objectif avec Protected Audience.
[...]Et son évaluation de Protected Audience, anciennement connu sous le nom de FLEDGE, est « qu'il est possible d'utiliser ce système d'une manière conforme à la législation européenne sur la protection des données ».
On peut dire que ce Dr Olejnik n'est pas très convaincant, Google atteint-il plutôt plus ou plutôt moins son objectif?
Il est possible d'utiliser le système de manière conforme mais ne pouvait-on pas aussi utiliser les cookies tiers de manière conforme?
Il est possible d'utiliser le système de manière conforme mais n'est il pas possible d'utiliser le système de façon non conforme?
Si les réponses sont moins, oui et oui alors je ne vois pas où est l'avancée réalisée par Google.
évitant ainsi la nécessité de présenter une demande de consentement en vertu du Règlement général sur la protection des données (RGPD) européen
Donc on a potentiellement un système qui n'est pas mieux qu'avant mais qui permet de contourner le RGPD. Nous voilà bien
Citation Envoyé par weed Voir le message
Si on veut de la vie privée, on ne mets pas tout ses oeufs dans le même panier ....
Surtout quand le panier est l'un des spécialistes de la récolte et l'analyse de données privées.
3  0 
Avatar de Christian_B
Membre éclairé https://www.developpez.com
Le 08/01/2024 à 13:14
Citation Envoyé par schlebe Voir le message
Il est vraiment temps que nos élus européens légifèrent la gratuité des produits informatiques qui, en réalité, ne sont nullement gratuit.
Si vous recevez "gratuitement" votre journal car vous êtes abonné à un fournisseur d'internet qui offre cette option gratuitement, il faut que vous soyez protéger comme un client normal.
Je voudrais contester (ou nuancer) la trop grande généralité et simplicité de cette proposition.

Ce qui est dit est évidemment juste pour Google et autres sociétés commerciales.
Souvent, "gratuit" (sans autre information) signifie effectivemnt promotionnel, piégé d'une façon ou d'une autre etc.

Mais il y a beaucoup de logiciels, y compris excellents, qui sont effectivement gratuits (et sans piège), même si le terme "gratuit" n'est pas forcément employé.
C'est évidemment le cas des logiciels libres mais aussi de certains logiciels propriétaire "open source".

Notamment les Unix BSD (de l'université Bethesda), évidemment.
Mais aussi diverses applications.
Personnellement, celle qui me rend les plus grands services est CherryTree (de giuspen).
Mais on pourrait sans doute en trouver pas mal d'autres.

Je pense qu'une formulation qui n'en tient pas compte pourrait prêter à confusion pour les personnes peu informées de ces questions.
Certains pourraient en conclure qu'il faut absolument "cracher au bassinet" pour avoir quelque chose.
Ce qui pourrait conforter involontairement la logique de Microsoft, Apple, Google et autres.
0  0