Photo de rc.xyz NFT gallery sur Unsplash 
Photo de rc.xyz NFT gallery sur Unsplash Dans un développement surprenant, Google a annoncé qu’elle renonçait à abandonner les cookies tiers dans Chrome. La décision reste soumise à l’approbation de certaines autorités, mais la volonté est là. Pour autant, la Privacy Sandbox, en développement depuis des années, continuera d'exister.
Fin 2019, Google avait annoncé le développement d’une initiative nommée Privacy Sandbox. Elle était présentée comme une alternative à FLoC, mécanisme qui avait rencontré une intense vague de scepticisme à sa présentation. Des problématiques liées à la vie privée étaient apparues, là aussi. La Privacy Sandbox était pourtant conçue pour casser le pistage intensif permis par les cookies tiers (nous y reviendrons).
Cette volonté a été contrecarrée plusieurs fois, Google repoussant d’autant la date d’application. Alors que des navigateurs comme Firefox et Safari ont coupé le fonctionnement par défaut des cookies tiers, Chrome attendait que les cieux soient plus cléments. Et par cieux, il faut entendre une industrie de la publicité peu friande des modifications annoncées par Google.
Et voilà que – surprise ! – Google annonce que les cookies tiers resteront finalement en place.
Google trouve une nouvelle voie
Dans son billet, publié lundi soir, Google explique avoir reçu de très nombreux retours des parties prenantes, notamment la Competition and Markets Authority (CMA) et l'Information Commissioner's Office (ICO) du Royaume-Uni. « Des éditeurs, des développeurs web et des groupes de normalisation, de la société civile et des acteurs du secteur de la publicité » ont également participé. Ces commentaires auraient aidé Google, notamment à « encourager l'adoption de technologies qui renforcent la protection de la vie privée ».
Dans ce contexte, la Privacy Sandbox est décrite comme ayant le potentiel de parvenir à ce résultat. Mieux, ses performances devraient augmenter avec le temps, « au fur et à mesure de l'adoption par l'industrie ».
Cependant, et dans le même temps, Google estime « que cette transition nécessite un travail important de la part de nombreux participants et qu'elle aura un impact sur les éditeurs, les annonceurs et toutes les personnes impliquées dans la publicité en ligne ».
En conséquence, l’éditeur introduirait dans Chrome « une nouvelle expérience qui permettrait aux utilisateurs de faire un choix éclairé qui s'appliquerait à l'ensemble de leur navigation sur le web ». De quelle expérience s’agit-il ? On ne sait pas, mais les internautes « seraient en mesure d'ajuster ce choix à tout moment ».
Au vu du langage utilisé par Google, il pourrait s’agir d’une fenêtre demandant aux utilisateurs s’ils souhaitent activer ou non les cookies tiers. Un changement potentiellement « louable », mais qui nécessiterait un langage simple et précis, pour faciliter la compréhension de ce choix. Un curseur pas forcément aisé à placer, comme l'a récemment constaté Mozilla.
La Privacy Sandbox ne disparaît pas
Le plus surprenant, peut-être, est que la Privacy Sandbox elle-même ne disparaît pas. Tout du moins si les projets de Google sont validés. Ils sont en effet soumis, comme le rappelle l’entreprise, à l’approbation de la CMA britannique, très impliquée dans les retours sur le mécanisme depuis trois ans.
« À mesure que les choses avancent, il reste important pour les développeurs de disposer d'alternatives permettant de préserver la vie privée. Nous continuerons à mettre à disposition les API Privacy Sandbox et à y investir pour améliorer encore la confidentialité et l'utilité. Nous avons également l'intention d'offrir des contrôles de confidentialité supplémentaires, et nous prévoyons donc d'introduire la protection de l’IP dans le mode Incognito de Chrome », indique ainsi Google.
Par ailleurs, si la Privacy Sandbox est là pour rester, pourquoi s’assoir sur plus de quatre ans de travail et d’expérience cumulée et vanter les mérites de cette approche tout en annonçant une autre solution ?
Dans un billet de blog, le chercheur en sécurité Lukasz Olejnik s’est penché sur la question. Il s’est amusé à représenter ce que pourrait être la fameuse « nouvelle expérience » proposée par Chrome avec une question et trois propositions simples. Mais surtout, à la question de savoir pourquoi la firme veut maintenir la Privacy Sandbox, il répond : « Google n'a plus besoin de cookies tiers ».
Selon Olejnik, Google possède désormais assez de données pour ses propres besoins. L’entreprise utiliserait sa solution pour ses propres besoins et ceux des autres acteurs intéressés, tout en laissant les cookies tiers à ceux qui ne peuvent pas s’en passer. En fonction de la réponse de l’internaute, la Privacy Sandbox serait alors activée ou non. Un choix qui, selon lui toujours, pourrait plaire aux autorités britanniques, qui ne souhaitent pas la suppression des cookies tiers sans une « bonne » solution de rechange.
Pourquoi la Privacy Sandbox coince-t-elle tant ?
Difficile de comprendre où Google veut en venir avec cette annonce, mais puisque la Privacy Sandbox reste en place tout en renonçant à bannir les cookies tiers, la question se pose : pourquoi tout est-il si compliqué ?
Le grand objectif de la Privacy Sandbox est de pouvoir remonter des statistiques aux annonceurs, sans qu’ils puissent reconstituer l’identité d’une personne. Ce type d’approche, que l’on a pu voir également chez Apple ou tout récemment chez Mozilla, casse le suivi individuel au profit de grands groupes constitués sur la base de centres d’intérêt.
Ces centres sont déterminés par l’historique de navigation. Il y a moins de données collectées et celles-ci ne permettent pas – en théorie – de reconstituer une identité. En outre, les données sont stockées sur les appareils, pas sur les serveurs. D’autres caractéristiques sont intéressantes, comme la séparation du code lié aux publicités du reste du site ou de l’application.
Seulement, comme nous le notions il y a un an, la Privacy Sandbox n’a jamais eu pour objectif d’en finir totalement avec la collecte d’informations personnelles, seulement d’en limiter le nombre. « Pour la société de Mountain View, c’est la meilleure solution entre intérêt pour la vie privée et nécessité de laisser un écosystème « florissant » fonctionner à plein régime », indiquions-nous alors.
Une opposition entre vie privée et concurrence qu’a relevée également hier TechCrunch. Cette incapacité à lier les deux a provoqué les retards que l’on sait. « Google a été obligée de consulter et de prendre en compte les réactions de l'industrie sur les changements proposés à son mécanisme de diffusion et de suivi des publicités, après avoir accepté de laisser la CMA contrôler la conception et la mise en œuvre de son système alternatif de technologie publicitaire », indiquent ainsi nos confrères. Interrogés par TechCrunch, l’ICO s’est dit « déçu » et la CMA n’a pas souhaité répondre.
Une approche en demi-teinte qu’a également pointé l’Electronic Frontier Foundation. « L'application Privacy Sandbox est peut-être moins invasive que les cookies de tiers, mais cela ne signifie pas pour autant qu'elle soit bénéfique pour votre vie privée. Au lieu d'éliminer le suivi en ligne, Privacy Sandbox transfère simplement le contrôle du suivi en ligne des traqueurs tiers à Google », accuse l’EFF.
Le mois dernier, noyb a fini par déposer plainte contre Google et son mécanisme, accusant l'entreprise de mentir sur le fonctionnement de la Privacy Sandbox et d'utiliser des dark patterns.
Commentaires (4)
#1
#1.1
#2
#3
non, juste non.