Le W3C dénonce le support persistant des cookies tiers dans Chrome

Décidément les cookies tiers continuent d’alimenter le débat avec la prise de position du W3C (Worldwide Web Consortium) sur la récente décision de Google de continuer le support de ces outils de tracking dans Chrome. L’organisme de normalisation estime que ce choix « n’est pas bon pour le web » et qu’il est néfaste pour les utilisateurs. Cette décision surprise, « sape une grande partie du travail que nous avons accompli ensemble pour que le web fonctionne sans cookies tiers », a écrit Hadley Berman, du Worldwide Web Consortium (W3C), dans un billet de blog. Le W3C est d'accord avec la définition actualisée des cookies du RFC (Request for comments), qui reconnaît qu'ils posent des « problèmes inhérents de protection de la vie privée ». En outre, le RFC recommande vivement que « les agents utilisateurs adoptent une politique pour les cookies tiers qui soit aussi restrictive que les contraintes de compatibilité le permettent ».

« Si les cookies tiers, installés par un site web autre que celui que l'utilisateur visite par le biais d'un contenu intégré comme des publicités, des widgets de médias sociaux ou des pixels de suivi, peuvent être utiles pour l'authentification sur plusieurs sites, ils permettent également de collecter des données cachées sur l'activité des utilisateurs sur Internet », a déclaré Hadley Berman. « Le suivi, la collecte de données et le courtage » par les cookies tiers exposent aussi à d'autres risques cachés, notamment le « micro-ciblage de messages politiques » qui nuisent à la société dans son ensemble », a-t-elle encore écrit.

Le « choix de l'utilisateur » prôné par Google

Au lieu de mettre fin au support des cookies tiers, Google a décidé de mettre à jour les règles de protection contre le suivi intersite de Chrome, dévoilées en décembre dernier, en ajoutant une option dans les paramètres du « Privacy Sandbox » de Chrome, un ensemble d'API préservant la vie privée. Avec cette option, les utilisateurs peuvent choisir soit de naviguer dans l'environnement « Privacy Sandbox » soit de maintenir les cookies intersites traditionnels. Les utilisateurs de Chrome peuvent aussi utiliser la fonction « Enhanced Ad Privacy » introduite l'année dernière dans la version 115 de Chrome qui permet, selon Google, de diffuser des publicités basées sur les centres d'intérêt sans suivre les utilisateurs individuels sur les sites web.

Depuis plusieurs années, le W3C travaille avec l'équipe Privacy Sandbox de Google sur les politiques relatives aux cookies tiers et a réalisé des « progrès substantiels », a estimé Mme Berman. « Le récent changement d'orientation de Google représente un grand pas en arrière dans cet effort », a-t-elle ajouté. « Ce regrettable recul aura également des effets secondaires, car il pourrait retarder les travaux inter-navigateurs sur des alternatives efficaces aux cookies tiers », a poursuivi la responsable. « Nous craignons que ce choix ait un impact négatif sur les efforts entrepris pour améliorer la protection de la vie privée sur le web », mais le W3C espère que Google « reviendra sur sa décision et s'engagera à nouveau sur la voie de la suppression des cookies tiers », a-t-elle ajouté. Google n'a pas répondu immédiatement aux demandes de commentaires adressées par nos confrères d’IDG.

Manque de leadership de Google

Les experts de la protection de la vie privée ont reconnu que si les cookies tiers posent des problèmes en matière de protection de la vie privée, de nombreuses parties prenantes doivent aussi être prises en compte. « Google a tenté à plusieurs reprises de remplacer les cookies [...] afin de trouver un équilibre entre la protection de la vie privée des utilisateurs et les besoins des annonceurs », a déclaré Jason Soroko, vice-président senior des produits chez Sectigo, un fournisseur de gestion du cycle de vie des certificats. « Cependant, ces efforts se sont heurtés à la résistance des défenseurs de la vie privée, à des obstacles réglementaires et à des défis techniques », a-t-il expliqué, ajoutant que « l'interaction complexe entre l'innovation, les préoccupations en matière de protection de la vie privée et les cadres réglementaires a probablement contribué à la décision de Google de ne pas abandonner le support des cookies. »

Mais, le plus décevant encore, c'est que l'entreprise « ne semble toujours pas avoir de plan clair pour mettre en œuvre des contrôles de confidentialité et de sécurité plus importants contre le pistage », a estimé un expert en protection de la vie privée, qui pense que le géant de la recherche n'en fait pas assez. Google « se vante depuis longtemps de l'innovation suscitée par son initiative Privacy Sandbox, mais celle-ci n'a pas encore porté ses fruits publiquement », a déclaré Gal Ringel, cofondateur et directeur général de Mine, une société internationale de gestion de la confidentialité des données. En outre, compte tenu de la position de Google en tant qu'« entreprise la plus influente sur l'Internet aujourd'hui », le fait qu’elle n'ait pas pris de véritable position en matière de protection de la vie privée crée un mauvais précédent à un moment crucial où les États-Unis tentent d'adopter une nouvelle législation pour résoudre le problème », a-t-il regretté.