Google a officiellement annoncé qu'il abandonnait son projet, longtemps retardé, de suppression des cookies tiers dans Chrome. Les cookies tiers sont là pour rester, malgré des années de promesses contraires.
C'est une grande nouvelle : les cookies tiers sont un élément essentiel de l'écosystème des technologies publicitaires et constituent un problème urgent en matière de protection de la vie privée. Voici tout ce qu'il faut savoir sur cette décision et ses implications pour la protection de la vie privée en ligne.
- Qu'est-ce qu'un cookie tiers ?
- Quels sont les inconvénients des cookies tiers ?
- Pourquoi Google est-il si important pour les cookies ?
- Pourquoi Google n'a-t-il pas supprimé les cookies ?
- Que fera Google ?
- Qu'est-ce que cela signifie pour la vie privée ?
- Que nous réserve l'ad tech ?
- Réflexions finales
Qu'est-ce qu'un cookie tiers ?
Comme vous le savez probablement, les cookies sont de petits fichiers que les navigateurs échangent avec les serveurs. Ils sont utilisés à toutes sortes de fins : affichage de publicités ciblées, authentification des utilisateurs, mémorisation des préférences de l'interface utilisateur ou des articles de votre panier d'achat, etc.
Les cookies de première partie ne peuvent être lus que par le domaine qui les a placés dans votre navigateur, tandis que les cookies de tierce partie peuvent être lus par d'autres domaines. Les cookies tiers sont donc très utiles pour la publicité ciblée, car un annonceur peut connaître vos centres d'intérêt sur la base de vos habitudes de navigation et afficher une publicité susceptible de vous intéresser.
Quels sont les inconvénients des cookies tiers ?
Les cookies tiers présentent un inconvénient sérieux et évident : les sites web peuvent apprendre beaucoup de choses sur vous à partir de votre comportement de navigation, y compris des informations intimes susceptibles de vous compromettre, de vous exposer à des publicités abusives et de vous mettre en difficulté de bien d'autres manières.
Pour ne rien arranger, la publicité ciblée repose sur l'échange d'informations entre de nombreux acteurs. Il ne s'agit pas d'un site web individuel qui apprend des informations sur vous : vos informations personnelles sont divulguées à un très grand nombre d'annonceurs qui font des offres pour chaque placement publicitaire (y compris les cent annonceurs qui perdent chaque offre !), et transmises à des courtiers en données dont la gouvernance des données est douteuse.
En bref, l'environnement d'enchères en temps réel derrière la publicité ciblée n'est rien de moins qu'une poubelle, comme l'ICCL l'a expliqué en détail.
Pourtant, les cookies de tiers sont depuis longtemps un élément essentiel de la technologie publicitaire, malgré les problèmes de protection de la vie privée. Mais le vent tourne : le public se préoccupe de plus en plus de la confidentialité des données et de nombreuses législations dans le monde ont adopté des lois strictes sur la confidentialité dans le sillage du GDPR. Le climat n'est plus aussi favorable à l'utilisation généralisée des cookies tiers qu'il ne l'était aux premiers jours du Web 2.0, où il n'y avait aucune réglementation, et l'industrie s'adapte à contrecœur à ces changements en s'orientant vers les données de première partie.
Pourquoi Google est-il si important pour les cookies ?
Google Chrome est le seul grand navigateur à accepter par défaut les cookies de tiers et représente 65 % du marché mondial des navigateurs. Google maintient en fait les cookies tiers sous assistance respiratoire dans un marché des navigateurs qui a évolué depuis longtemps.
Les motivations de Google sont évidentes : l'entreprise est un monopole dans le domaine de la technologie publicitaire (c'est d'ailleurs la raison pour laquelle le ministère de la justice des États-Unis tente de démanteler son système de technologie publicitaire). L'entreprise possède un grand nombre des services clés qui alimentent l'environnement de la technologie publicitaire, notamment Google 360, AdExchange, DoubleClick et Google Analytics.
Ce n'est pas ce à quoi ressemble un marché sain (source : US DOJ).
Pendant longtemps, l'environnement publicitaire lucratif de Google a été largement alimenté par le suivi invasif des utilisateurs autorisé par les cookies tiers. Mais même Google a fini par admettre que le suivi des utilisateurs à travers les sites web n' était pas viable à long terme. L'entreprise a donc commencé à expérimenter des moyens de s'affranchir des cookies tiers sans détruire son propre empire publicitaire.
Le plan de Google pour remplacer les cookies s'articule autour de plusieurs points clés. L'entreprise a commencé à travailler sur de nouvelles normes et idées pour faciliter la publicité ciblée (supposée) respectueuse de la vie privée. L'ensemble de ces propositions a été baptisé " Privacy Sandbox" ( bac à sable pour la protection de la vie privée). Google devait non seulement élaborer ces normes, mais aussi inciter les parties prenantes à les adopter en supprimant les cookies tiers ainsi que Universal Analytics, l'ancienne version de Google Analytics basée sur des cookies tiers.
Les choses ne se sont pas passées comme prévu. L'entreprise a d'abord annoncé la suppression des cookies en 2020, avec 2022 comme date limite, puis a repoussé cette date à 2023, 2024, 2025 et jamais. L'abandon des cookies est devenu une sorte de plaisanterie dans la communauté technologique.
Google ne manquera pas de le faire.
Pourquoi Google n'a-t-il pas supprimé les cookies ?
Google n'a jamais réussi à éliminer les cookies tiers parce qu'il n'a pas réussi à les remplacer. Une première proposition appelée FLoC (Federated Learning of Cohorts) a été abandonnée après avoir été rejetée par les défenseurs de la vie privée, les autorités de régulation et certaines parties prenantes. Google a réessayé avec une proposition appelée Topics, qui a connu le même sort que FLoC.
Nous avons un autre blog sur Topics, nous ne vous ennuierons donc pas avec les détails ici. Pour faire court, Topics analyse l'historique de navigation de l'utilisateur pour déterminer ses centres d'intérêt et les diffuser aux annonceurs. Comme dans le cas de FLoC, cette analyse est effectuée directement par le navigateur Chrome et n'implique pas les serveurs de Google.
Cela n'a pas plu à tout le monde. Les développeurs d'autres navigateurs (à l'exception notable de Microsoft) ne toucheraient pas à Topics avec une perche de dix pieds. Ils ont rappelé que les navigateurs sont des agents utilisateurs: ils sont censés travailler au bénéfice de l'utilisateur, et non des développeurs.
Topics a également souffert d'autres problèmes. Les défenseurs de la vie privée affirment que Google a utilisé un langage trompeur pour présenter Topics comme une "fonctionnalité de confidentialité" afin de recueillir le consentement des utilisateurs de Chrome. La Fondation Mozilla a examiné Topics en profondeur et a mis en évidence sa vulnérabilité aux attaques par ré-identification. Enfin, l'organisme britannique de protection de la vie privée et l'autorité antitrust se sont tous deux opposés à Topics.
Que fera Google ?
Google n'a pas entièrement supprimé le "Privacy Sandbox", mais n'envisage pas de se débarrasser des cookies tiers de sitôt. Leur remplacement reste donc, au mieux, un objectif à long terme.
L'entreprise est restée vague sur ses prochaines actions. Son blog mentionne qu'elle travaille sur "une nouvelle expérience dans Chrome qui permet aux gens de faire un choix éclairé qui s'applique à l'ensemble de leur navigation sur le web", ce qui semble indiquer que des restrictions plus strictes sur les cookies tiers seront mises en œuvre.
Il est difficile de voir comment cette "nouvelle expérience" pourrait représenter un changement significatif pour la vie privée. Encore une fois, Chrome est le seul navigateur majeur qui accepte les cookies par défaut. Safari, Firefox et même Microsoft Edge sont livrés avec des paramètres de cookies respectueux de la vie privée. Seul Chrome est aussi envahissant par défaut.
Mais l'utilisateur sera "en mesure d'ajuster ce choix à tout moment". Comme si le fait de bénéficier d'un certain degré de contrôle sur ses données personnelles était une concession gracieuse de la part de l'entreprise plutôt qu'une obligation légale dans l'Union européenne et dans de nombreux pays du monde.
Qu'est-ce que cela signifie pour la vie privée ?
D'une part, les cookies tiers existent toujours et c'est dommage. D'autre part, nous sommes heureux de constater que la proposition visant à transformer un navigateur en machine à tracer a été accueillie avec le recul qu'elle méritait. Cette réaction pourrait en fait forcer Google à présenter une bonne proposition qui trouve un meilleur équilibre entre la protection de la vie privée et les nécessités de la publicité.
Mais un tel équilibre est-il possible ?
Le public a montré à maintes reprises qu'il n'aimait pas le suivi. Lorsqu'Apple a mis en place un contrôle des utilisateurs sur le suivi des tiers en 2020, 96 % des utilisateurs américains ont refusé le suivi, un chiffre qui dépassait les pires craintes des annonceurs. Le public réagirait-il mieux si les entreprises s'engageaient à suivre un peu moins les utilisateurs, comme Google l'a fait avec Topics ?
Il ne s'agit pas d'une question théorique. Chaque année, les lois sur la protection de la vie privée dans le monde entier renforcent de plus en plus le principe du contrôle par l'utilisateur de ses données personnelles et exigent souvent le consentement de l'utilisateur pour le pister. C'est pourquoi la surveillance commerciale repose en grande partie sur le chantage et la tromperie des utilisateurs.
Nous voyons ces deux stratégies en permanence : Google a choisi la tromperie pour Topics, tandis que Meta a opté pour l'extorsion [à prendre ou à laisser] pour Facebook et Instagram. Les gros poissons ne sont pas les seuls concernés : de nombreux organes de presse en ligne présentent à leurs lecteurs des murs de cookies et d'innombrables applications refusent de fonctionner si vous ne leur donnez pas la permission d'accéder à des données sur votre appareil dont ils n'ont pas vraiment besoin, si ce n'est pour la monétisation.
Mais ces pratiques font l'objet d'un examen de plus en plus minutieux de la part des autorités de régulation et d'une contestation incessante de la part des défenseurs de la vie privée. Ces derniers disposent de quelques munitions juridiques, car le GDPR fixe des normes élevées en matière de consentement valide, tout comme les législations inspirées par le règlement. Tromper ou faire chanter les utilisateurs n'est pas seulement une erreur, c'est aussi de plus en plus risqué dans le contexte réglementaire actuel.
Que nous réserve l'ad tech ?
Nous vivons une période d'incertitude. Les évolutions réglementaires auront un impact profond sur l'environnement de l'ad tech dans un avenir proche, mais il est difficile de dire comment pour l'instant. Les régulateurs pourraient légitimer des pratiques invasives qui se situent actuellement dans une zone grise juridique ou donner le coup de grâce à la surveillance commerciale, du moins sur le marché clé qu'est l'Europe.
La longue saga du "pay-or-ok" de Meta est le dernier combat de la surveillance commerciale en Europe. Nous avons déjà consacré un blog à ce sujet, mais voici ce qu'il faut en retenir : la Cour de justice doit préciser dans quelle mesure et sous quelles conditions les entreprises peuvent demander aux utilisateurs de payer avec leurs données. La réponse à ces questions aura d'immenses implications pour la technologie publicitaire dans son ensemble et pourrait bien finir par tuer les murs de cookies et autres pratiques de consentement forcé.
L'Europe jouera également un rôle clé : le règlement "vie privée et communications électroniques", attendu depuis longtemps, est en cours d'élaboration et devrait remplacer la directive "vie privée et communications électroniques" qui régit actuellement les cookies dans l'UE. Le projet final pourrait s'en tenir à l'approche stricte de la directive et imposer un consentement strict, ou laisser une certaine marge de manœuvre aux approches publicitaires (prétendument) respectueuses de la vie privée. Le règlement pourrait également s'inspirer de la CCPA et appliquer strictement les contrôles globaux de confidentialité ou d'autres signaux de non-traçage envoyés par les navigateurs.
Enfin, il y a l'ADPPA, la dernière tentative bipartisane des États-Unis d'élaborer une loi fédérale sur la protection de la vie privée. L'ADPPA aurait un impact énorme sur l'environnement de la technologie publicitaire dans son ensemble, car le duopole Google/Meta est soumis à la législation américaine. Le moins que l'on puisse dire, c'est que le projet actuel n'est pas clair en ce qui concerne la publicité. Il faut espérer que les nouveaux projets seront formulés plus clairement et nous donneront un aperçu de ce qui nous attend si l'ADPPA devient une loi.
Réflexions finales
Avec tous ces développements réglementaires en cours, nous pourrions bientôt voir un internet respectueux de la vie privée. Mais pourquoi attendre ?
Nous croyons en un internet indépendant et respectueux de ses visiteurs. C'est pourquoi nous avons créé Simple Analytics pour vous fournir toutes les informations sur le trafic tout en préservant la vie privée des utilisateurs.
Pas de bannière de cookies. 100% conforme au GDPR et facile à utiliser. N'hésitez pas à l'essayer.