Les cookies ingèrent et conservent souvent des données sensibles sur les consommateurs, notamment leurs identifiants de connexion, des informations permettant d'identifier une personne et leur historique de navigation. L'abandon progressif des cookies, entamé en début d'année, doit normalement contribuer à réduire certains risques de violation de données personnelles. Rien n'est cependant moins évident.
Dès 2019, Google a déclaré aux utilisateurs qu'il prévoyait de limiter les cookies tiers et de les éliminer progressivement dans Chrome et d'autres navigateurs open source comme Chromium d'ici à 2022. Il a repoussé ses plans à 2023, puis progressivement tout au long de 2024. Dans cette perspective, les annonceurs travaillent déjà depuis des mois sur de nouvelles technologies de suivi des consommateurs. Pourtant, les éditeurs de navigateurs rivaux de Google (néanmoins tout puissant avec 64% des parts de marché dans le monde pour Chrome) se sont rapidement attaqués au problème. Mozilla a commencé à bloquer les cookies tiers avec Firefox en 2019 et Apple avec Safari 13.1 en 2020. Microsoft, lui, a adopté avec Edge une option « tout ou rien », via laquelle l'internaute autorise ou refuse tous les cookies tiers. Google vient seulement de commencer à tester en janvier une version de Chrome sans cookies auprès de 1% de ses utilisateurs. Cette mouture s'appuie sur la Tracking Protection de sa Privacy Sandbox Initiative, conçue pour réduire le suivi intersites et interapplications.
La Privacy Sandbox de Google ne remplace pas les cookies
Les API de la Privacy Sandbox ne remplacent pas les cookies tiers et ne représentent pas non plus une solution de technologie publicitaire autonome, comme a tenu à le préciser Victor Wong, directeur produit Privacy Sandbox chez Google sur son blog le 10 janvier. « Elles sont conçues pour soutenir les objectifs business des agences de marketing et les médias (stimuler les ventes en ligne, diffuser des publicités pertinentes, etc.), sans identifiants intersites », expliquait-il. « Une enchère publicitaire 'on-device', jusque-là exécutée sur un serveur, par exemple, interagira désormais avec du code exécuté directement dans le navigateur, poursuit-il. Et certaines fonctions qui s'appuyaient sur des cookies tiers, comme les audiences basées sur les profils d'activité des utilisateurs sur les sites Web, ne pourront pas être reproduites directement à l'aide de la Privacy Sandbox. »
Mike Froggatt, analyste senior chez Gartner, confirme que rien ne se substituera exactement aux cookies. Cependant, il existe des identifiants pour annonceurs (IDFA, identifiers for advertisers) destinés aux équipements, chez Apple ou via les walled gardens de Google et de Meta, ainsi qu'au travers de propositions technologiques tierces comme UID2. « Cependant, ce sont généralement des systèmes fermés qui restreignent l'accès aux données et ne les partagent que sous forme agrégée, poursuit-il. Même la Privacy Sandbox de Google, qui propose des enchères directement dans les navigateurs, ne partage les données qu'après qu'un certain seuil atteint, et même dans ce cas, il ajoute du bruit ou des données supplémentaires pour masquer les identifiants individuels. » L'objectif de ces outils étant effectivement de ne pas donner d'accès direct aux données des internautes.
Le ciblage contextuel, une solution ancienne
Depuis longtemps déjà, les fournisseurs de solutions utilisent le ciblage contextuel pour que les annonceurs créent des publicités pertinentes en fonction d'informations associées à un site Web plutôt qu'à un internaute. « Ces outils ne s'appuient pas sur les cookies et n'identifient pas un individu en tant que tel, précise Roger Beharry Lall, directeur de recherche technologies publicitaires et marketing PME chez IDC. Ils fournissent aux annonceurs des audiences ciblées basées sur des comportements observés en temps réel. » Le ciblage contextuel génère d'ailleurs un meilleur taux de conversion que les cookies, selon l'analyste, car les éditeurs fournissent des groupes présegmentés en fonction de marqueurs contextuels très précis, comme les mères de famille au moment de la rentrée scolaire ou les hommes à la Saint-Valentin.
Le retard de Google vis-à-vis de ses concurrents avec sa Privacy Sandbox s'explique principalement parce qu'elle est développée sous la surveillance attentive de la Competition and markets authority (CMA) britannique, selon Mike Froggatt. Sans oublier qu'une part imposante de ses revenus provient du display. « Pour le ciblage et la mesure, Google ne dépend pas que des cookies tiers, poursuit l'analyste. En revanche, ils lui permettent d'augmenter la valeur des publicités qu'il vend pour le compte des éditeurs, assorties de données réclamées par les agences et les annonceurs. » Le Californien continuera probablement à suivre les consommateurs, mais uniquement avec ses propres outils, « et donc au sein d'un walled garden, prévient Roger Beharry Lall. Et plus il agira de manière monopolistique ou fermée, plus les régulateurs devront se mobiliser. » « Avec l'API de la Privacy Sandbox, une entreprise aura peu de chance de reconstituer le puzzle de données liées à une personne spécifique pour l'identifier. Il lui faudra avoir recours à une solution de résolution d'identité ou accéder à des données first party pour passer de 'utilisateur anonyme intéressé par XYZ' à 'Jane Smith a acheté XYZ' », rappelle Roger Beharry Lall.
La fin des cookies, mauvaise nouvelle pour tous ?
Pour Mike Froggatt, les cookies n'étaient finalement pas une si mauvaise solution pour l'internaute. Ils étaient peu vulnérables au piratage et, surtout, laissaient aux utilisateurs un certain contrôle sur leurs données, avec l'effacement des caches de navigateur ou l'utilisation de bloqueurs de publicité. D'une certaine manière, les nouvelles méthodes de suivi des tendances de consommation transfèrent cette responsabilité de l'individu vers les entreprises qui opèrent ces systèmes très fermés. « Si l'on regarde l'histoire des violations massives de données, cela n'augure rien de bon pour les utilisateurs, explique-t-il. Les données utilisées par les annonceurs et les outils publicitaires ne devraient inclure que très peu d'éléments au-delà des données démographiques, de l'historique de navigation et d'achat et peut-être de certaines données de localisation, mais ni les numéros de carte de crédit, ni les mots de passe par exemple. »
En novembre 2023, l'ICO (Information commissioner's office, un organisme public britannique) a exigé des principaux fournisseurs de sites Web du pays de se conformer aux lois sur la protection des données qui les obligent à demander aux utilisateurs s'ils veulent « rejeter » ou « accepter » tous les cookies publicitaires. En cas de refus, les sites peuvent continuer d'afficher des publicités, mais sans les cibler par rapport à l'internaute. « Les études que nous avons menées montrent que de nombreuses personnes sont préoccupées par le fait que les entreprises utilisent leurs informations personnelles pour les cibler avec des publicités sans leur consentement, a déclaré Stephen Almond, directeur exécutif du risque réglementaire de l'ICO, dans un communiqué. Les accros au jeu peuvent être ciblés par des offres de paris basées sur leur historique de navigation ou les femmes par des publicités pour bébés même peu de temps après une fausse couche. Quelqu'un qui explore sa sexualité peut se voir présenter des publicités qui révèlent son orientation sexuelle. »
Commentaire