Nous commentons régulièrement le feuilleton des « identifiants alternatifs » aux cookies. Rappelons que l’année prochaine (en 2022), nous devrions voir les navigateurs internent (Chrome, Edge, Safari, Opera…) abandonner définitivement le support des « cookies tiers ». La raison invoquée est claire : les « cookies » ne seraient pas vraiment compatibles avec un web dans lequel on veut se débarrasser des méthodes de « pistage » des utilisateurs.
Récemment, Google a un peu forcé la main de l’écosystème des régies publicitaires en annonçant qu’ils n’allaient pas du tout reprendre la proposition d’autres acteurs du web, notamment Unified ID 2.0, mais qu’ils allaient utiliser leur propre proposition : FLOC.
Si vous avez raté les épisodes précédents, voici les liens vers nos articles sur la question :
FLOC est-il vraiment un progrès en matière de « Privacy » ?
La critique que Google adresse aux systèmes concurrents, c’est qu’elle ne résout pas le problème de la protection des données personnelles. En effet, la proposition Unified ID 2.0 repose essentiellement sur l’emploi de données agrégées autour d’une adresse mail anonymisée. Cela permet toujours un ciblage publicitaire très fin, mais évidemment il peut être facile de rapprocher ces profils anonymisés de profils de « vrais internautes » en essayant de recouper les données avec leur empreinte numérique.
En clair, n’importe quel commerçant qui dispose des coordonnées de ses clients et est capable de collecter des infos sur son profil de surfeur sur internet (adresse ip, machine, géolocalisation, navigateur utilisé, résolution d’écran, extensions installées etc…) sera en mesure par recoupement d’identifier le profil Unified ID 2.0 de son client.
Est-ce que l’on a trouvé une alternative aux cookies tiers ? Oui.
Est-ce que cela a fait avancer la protection des données personnelles ? A peine…
Maintenant, est-ce que FLOC est exempt du même type de critiques : pas du tout. La façon de constituer les « cohortes », les « troupeaux » anonymisés d’utilisateurs qui partagent les mêmes comportements sur le net sont un petit plus subtils. Mais à peine.
Donc, de la même façon, rapprocher les données d’une FLOC des données d’un utilisateur connu sera facile. Donc on pourra associer un nom d’utilisateur connu avec toutes les données comportementales de sa FLOC d’appartenance.
Bref, est-ce un progrès par rapport aux cookies tiers ? Encore une fois, non, ce n’est pas spectaculaire.
Pas de progrès sur la Privacy sans dégrader la précision du ciblage publicitaire
En fait, ce qui se passe est assez logique. Tous les acteurs de l’écosystème publicitaire sur internet ont intérêt à préserver leur capacité à vendre des campagnes dont le ciblage soit aussi précis et efficace que possible. C’était leur promesse produit ces dernières années.
Mais pour avoir un ciblage précis, il faut collecter et utiliser des données personnelles. Or dès lors que la tendance est à légiférer pour interdire de tels traitements sans consentement, on entre dans une incompatibilité totale entre conserver des campagnes bien ciblées et efficaces, et diminuer le « pistage » des internautes sur le net.
En fait, plus on voudra progresser vers plus de respect des règles de Privacy, moins on pourra cibler les campagnes avec précision. Et c’est la raison pour laquelle les solutions que proposent des acteurs comme Google (mais aussi les autres acteurs publicitaires) répondent avant tout au problème technique de l’abandon des cookies tiers. Pour le volet « protection des données personnelles » et respect du RGPD, c’est le service minimum. Et on pourrait même dire que cela relève plus de l’écran de fumée que de la recherche d’une amélioration notable de ce point de vue.
Côté Bruxelles, les FLOCs pourraient être considérées comme des données personnelles au sens du RGPD
Mais tout le monde n’est pas dupe : de l’aveu même de Google, pour le moment, la compatibilité de FLOC avec le RGPD et la directive e-Privacy n’est pas assurée.
Michael Kleber, un ingénieur de chez Google qui en charge en particulier du projet Privacy Sandbox, a expliqué lors d’une réunion de travail du consortium W3C que les premiers tests de FloC ne seraient pas lancés au 2e trimestre 2021 en Europe (contrairement au reste du monde). Même chose pour le Royaume Uni, qui malgré le BREXIT continue d’appliquer une réglementation très similaire à celle de l’UE sur la protection des données personnelles.
Pour quelle raison ? Tout simplement parce que les CNIL européennes considèrent des données de type FLOC comme des données personnelles, et cela crée évidemment un problème de compatibilité des cohortes avec le RGPD.
Il semble que Google ait avancé vite sur les aspects techniques (Floc et la Privacy Sandbox) mais que les aspects juridiques soient encore un peu trop flous. En particulier, Google n’a pas encore défini qui dans la création des cohortes FLOC allait jouer le rôle de responsable du traitement. Et n’a pas non plus défini comment un internaute consentirait au traitement de ses données au sein d’une cohorte FLOC.
Tout ceci n’est pas insurmontable, mais il faut s’attendre à de nouveaux épisodes dans la recherche de l’alternative parfaite aux cookies tiers.