Avec FLoC, le géant américain Google promet de réinventer le traçage publicitaire, en se dispensant des cookies tiers. Le dispositif repose sur le principe des cohortes, dont les détails techniques nécessitent d’être décortiqués. Ce que Clubic a fait.
FLoC, la saga, by Clubic - Partie 3/3
Maintenant que vous maîtrisez les bases du mécanisme et que vous avez pris connaissance de la levée de boucliers face à ce dernier, dirigeons-nous vers le terme de ce grand dossier. Dans cette troisième et ultime partie, vous allez en savoir plus sur la constitution des cohortes selon Google. Outre le témoignage de Google, nous avons souhaité avoir le point de vue de la société allemande Eyeo, qui édite les solutions Adblock Plus et Adblock Browser. Elle nous dira comment il est possible de se protéger de FLoC. Puis nous essaierons de voir si FLoC peut permettre aux Français d’être réconfortés s’agissant de l’utilisation de leurs données de navigation. Et enfin, nous ferons un point sur les tests en cours et la compatibilité de FLoC avec les réglementations européennes.
Retrouvez les deux premières parties de ce dossier :
Chaque semaine qui passe nous rapproche un peu plus de la fin des cookies tiers, et de l’émergence d’une solution de remplacement. FLoC fait figure de candidat (presque) désigné à la succession des cookies tiers. Le dispositif mettra fin au traçage individuel pour se concentrer sur un regroupement des internautes au sein de cohortes, qui ne permettront plus d’identifier tel ou tel individu. C’est l’un des points que nous aborderons dans la dernière partie de ce dossier. Avant cela, rappelons une dernière fois ce qu’est FLoC, dans les grandes lignes.
FLoC et Privacy Sandbox, résumés en quelques mots
Le principe de FLoC (Federated Learning of Cohorts), c’est de passer d’un traçage individuel, considéré comme trop intrusif, à un traçage collectif. De façon très schématique, Google regroupera les personnes qui ont des habitudes de navigation communes au sein de différentes cohortes. Ici, la firme de Moutain View ne partage par votre historique de navigation.
FLoC n’est que l’une des idées issues de l’initiative Privacy Sandbox. Cette dernière a émergé chez Google en 2019, dans le but de faire évoluer la pratique de publicité numérique. L’objectif de ce bac à sable de la confidentialité ? Faire en sorte que la politique de traçage publicitaire soit plus favorable et plus respectueuse de la vie privée des internautes. Sans pour autant sacrifier le business model des éditeurs et des annonceurs. Pour le moment, FLoC ne rencontre presque que de l’opposition, provenant de tout l’écosystème des nouvelles technologies, qui redoute une hégémonie encore plus grande de Google sur le marché de la publicité en ligne. De nombreux acteurs ont déjà pris publiquement position, affirmant qu’ils ne prendront pas en charge l’API FLoC. C'était le thème de la deuxième partie de ce dossier.
Les "cohortes" de Google : comment seront-elles constituées ?
Les cohortes. Toute la stratégie de Google pour FLoC repose sur ces fameux groupes. Le géant américain part du constat que de nombreux éditeurs sont capables de faire de la publicité ciblée par centres d’intérêt une véritable source de financement. Une source qui leur permet, encore aujourd’hui, d’offrir une part non négligeable de contenus "gratuits" à leurs visiteurs. Et si la fin des cookies tiers pouvait menacer ce modèle, Google a proposé l’API FLoC pour permettre la publicité ciblée par centres d’intérêts, de manière privée.
👨👨👧👧 Le principe général de la cohorte :
L’API FLoC va affecter chaque utilisateur à une cohorte. Tous les utilisateurs d’une même cohorte auront des intérêts similaires. Une régie publicitaire, par exemple, pourra alors utiliser l’interface de Google pour faire de la publicité auprès d’une cohorte entière.
• L’explication technique sur l’anonymisation des cohortes de FLoC et la "k-anonymisation" :
Le dispositif FLoC doit permettre à toutes les entreprises de technologie publicitaire d’activer le mécanisme de publicité basée sur les intérêts, sans avoir à générer des profils de navigation précis des utilisateurs. L’API repose sur le principe de ce que l’on appelle outre-Atlantique la « k-anonymisation. » Gardons à l’esprit, pour comprendre ce qui va suivre, que l’identifiant généré par FLoC est utilisé comme un remplaçant anonyme d’un cookie tiers.
La « k-anonymisation » de Google fait partie, avec la « I-diversité » et la « confidentialité différentielle », des trois techniques d’anonymisation de la data, qui permettent de transformer une donnée personnelle en une donnée anonyme. Une donnée anonyme n’est donc pas considérée comme une donnée personnelle, puisqu’elle ne peut pas être rattachée à une personne physique.
Le k-anonymat est une technique proposée par une professeure de Harvard en 2002, Latanya Sweeney. Elle vient flouter la possibilité de lier un n-uplet (une base de données constituée d’un ensemble d’enregistrements, comme l’âge, ou le code postal) anonyme à un n-uplet non anonyme. D’abord en déterminant les ensembles d’attributs qui peuvent être utilisés pour croiser les données anonymes avec des données identifiantes. Puis en réduisant le niveau de détail des données, de façon à ce qu’il y ait un certain nombre de n-uplets qui ont la même valeur des ensembles d’attributs. Il devient alors impossible de rattacher un individu à une donnée anonymat. Pour mieux comprendre, « l’avantage du k-anonymat est que l’analyse des données continue de fournir des résultats exacts, à ceci près qu’on ne peut pas dissocier les individus d’un groupe », comme l'explique savamment Benjamin Nguyen.
• Les dérives potentielles de FLoC sur les cohortes sensibles :
Un point d’inquiétude subsiste autour du principe du k-anonymat. Car la notion de confidentialité qui découle de FLoC peut être vulnérable à ce que Google appelle les attaques dites « d’homogénéité. » On peut voir ces attaques comme un scénario dans lequel tous les utilisateurs qui partagent un numéro de cohorte partagent aussi un attribut sensible. C’est l’exemple d’une cohorte qui contiendrait tous les utilisateurs ayant consulté un site web traitant d’une maladie rare, ou grave, comme le cancer. Par inadvertance, FLoC pourrait révéler qu’un internaute a cherché des informations sur cette maladie rare.
Sur ces points techniques, Google, interrogé par Clubic, explique s’assurer qu’aucune entreprise ne puisse avoir accès à de telles cohortes sensibles. « Avant qu'une cohorte ne devienne éligible, le navigateur l'analyse pour voir si la cohorte visite des pages présentant des sujets sensibles, tels que des sites web médicaux ou des sites web à contenu politique ou religieux, à un taux élevé. Si tel est le cas, Chrome veillera à ce que la cohorte ne soit pas utilisée, sans connaître les sujets sensibles qui intéressaient les utilisateurs », nous précise Chetna Bindra, Group Product Manager au sein de l’entreprise.
• Google veut rassurer sur les cohortes
L’entreprise américaine nous a livré davantage de précisions encore sur la construction des cohortes. Sur l’historique de navigation utilisé par l’algorithme pour créer telle ou telle cohorte, Google rappelle que celui-ci est conservé en local sur le navigateur, et qu’il n’est pas téléchargé ailleurs.
Autre information d’importance, « le navigateur garantit que chaque cohorte représente des milliers de personnes, afin qu’elles soient bien réparties, de sorte que les individus ne puissent pas être identifiés », indique Google. « Le navigateur peut, en outre, tirer parti d’autres méthodes d’anonymisation si nécessaire, comme la confidentialité différentielle », poursuit Chetna Bindra.
Grâce à l’apprentissage automatique, le navigateur peut regrouper un groupe d’utilisateurs en se basant sur les sites visités. Une cohorte pourra très bien être constituée de milliers de personnes qui ont visité des sites autour du football et du tennis.
• FLoC, vu par Eyeo et l’AFCDP (Association française des correspondants à la protection des données à caractère personnel)
Rotem Dar, directeur des opérations médias chez Eyeo, constate que FLoC « distribue les utilisateurs à des groupes en fonction d'un comportement de navigation mutuel inconnu. Cela signifie que l'activité de navigation ou les informations sur les types de sites consultés ne sont pas mises à la disposition des éditeurs et des annonceurs, qui doivent le découvrir eux-mêmes. »
« On ne sait toujours pas comment ces cohortes seraient rendues exploitables dans le cadre du processus d'appel d'offres, et si les adhésions FLoC peuvent s'ajouter à d'autres points de données, comme les données de première partie de l'éditeur ou de l'annonceur. Les réponses à ces questions clarifieraient également dans quelle mesure cette approche préserve la vie privée. »
De son côté, Patrick Blum, de l’AFCDP, ne voit pas de difficulté dans le classement des cohortes, « dès lors que l’individu n’est pas identifié de manière unique par ailleurs. »
L’EFF, Electronic Frontier Foundation, défenseur des droits numériques aux USA, dénonce que les utilisateurs pouvant être rattachés aux sujets sensibles, dont nous parlions tout à l’heure, soient placés dans des cohortes vides. Ce qui serait assimilable à une vraie information sur ces utilisateurs. Le délégué général de l’AFCDP, lui, a un avis plus nuancé. Il passe en revue les deux cas de figure : « Le fait d’être classé dans une cohorte vide ne parait pas plus stigmatisant que d’être dans l’une des nombreuses autres cohortes. Par contre, le fait d’être classé dans plusieurs cohortes, surtout si elles sont nombreuses, conduit à pouvoir ré-identifier les personnes, selon le même principe que le "fingerprintig" ».
Comment se protéger de FLoC ? L’avis d’un Ad Blocker, confronté à celui de Google
Google l’a promis : « Les sites peuvent désactiver FLoC, ce qui signifie que le navigateur n’inclura pas les visites sur ce site lors de la détermination d’une cohorte. » À leurs risques et périls bien entendu. Certains navigateurs ont pris leur disposition en retoquant FLoC, inséré dans le code de Chromium, à la base de bon nombre d’entre eux. Dans le cas où certains navigateurs web ne bloquent pas le nouveau dispositif de Google, élément qui ne paraît pas insensé, nous nous sommes demandés si des outils comme Adblock Plus ou Adblock Browser pourraient, à l’avenir, protéger les utilisateurs de FLoC.
À ce sujet, l’entreprise Eyeo indique que son produit de confidentialité, Crumbs, bloque déjà FLoC. « Adblock Browser, qui intégrera bientôt la technologie Crumbs, suivra », nous informe Rotem Dar. « En toute honnêteté, nos préoccupations majeures concernant FLoC sont liées à l'aspect de la transparence. FLoC ne nécessite pas le consentement de l'utilisateur, ni ne lui permet d'examiner, de modifier ou de corriger les données. Par conséquent, Google s'est également abstenu de tester FLoC en Europe car dans sa forme actuelle, on ne sait pas s'il est conforme au RGPD. Il y a aussi, bien sûr, des problèmes de confidentialité, mais nous ne voulons pas être justes à ce sujet. Il est assez stimulant que le discours Ad Tech évolue vers des moyens de servir les utilisateurs avec plus de confidentialité tout en permettant la génération de contenu. Pour que le contenu reste gratuit, il faut toujours compter sur les publicités », analyse le directeur des opérations médias de l’éditeur allemand.
Avec Crumbs, Eyeo veut essayer de faire avancer cette notion de "confidentialité durable". « D'une part, nous fournissons aux utilisateurs un ensemble de composants de confidentialité que personne d'autre ne fournit gratuitement, et qui comprend bien plus que le simple blocage des cookies tiers », explique Rotem Dar. « D'autre part, nous avons introduit un moteur de données local qui peut potentiellement être partagé de manière anonyme dans le but de cibler les publicités, mais avec un contrôle total de l'utilisateur et une transparence totale. Ceci est réalisé grâce à un tableau de bord simple et facile à naviguer. »
Eyeo promet tout de même de réévaluer la situation et le sujet si Chrome devait un jour évoluer dans cette direction.
FLoC peut-il réconforter les français avec le traçage publicitaire ?
Aujourd’hui, le regard des Français sur leurs données personnelles et le suivi publicitaire est en train de changer. Les dernières lignes directrices de la CNIL appliquées en France en matière de cookies walls (murs de traceurs) semblent y contribuer. De même que l’affaire sur le partage des données via WhatsApp, qui a provoqué une certaine sensibilisation d’une partie de l’opinion.
Alors FLoC peut-il changer l’image que les Français ont de Google, réputée entreprise omnisciente ? « Avec beaucoup de pédagogie, Google pourrait rassurer en partie », estime Patrick Blum, qui tempère néanmoins. « La seule image de Google risque effectivement de lui compliquer la tâche. »
L’entreprise Eyeo considère, elle, que « l’aspect de la transparence devrait être amélioré. » Pour son directeur des opérations médias Rotem Dar, « la technologie n’est pas encore suffisamment établie pour l’évaluer pour l’économie ou les utilisateurs du web. Gardez à l’esprit que ces modifications de confidentialité de Chromium ne s’appliquent pas aux données propriétaires du site web. En tant que propriétaire de google.com, youtube.com et d'autres propriétés et services, Google bénéficie toujours d'une large vue d'ensemble, toutes référencées aux utilisateurs connectés », nous rappelle-t-il.
De son côté, Google reste convaincu que FLoC aidera les utilisateurs à avoir une expérience privée renforcée lorsqu’ils navigueront sur Internet. Les utilisateurs font en effet partie d'une foule. « FLoC garde les individus parmi un grand groupe de personnes ayant un historique de navigation similaire. Ce groupe n'est pas basé sur l'identité des individus, mais plutôt sur leurs intérêts collectifs afin que les annonceurs puissent toujours diffuser des annonces pertinentes », explique Chetna Bindra, Group Product Manager chez Google. « L'historique de navigation personnel ne quitte pas le navigateur de l'utilisateur ou votre appareil, et il n'est partagé avec personne, y compris les annonceurs. Cela signifie que les utilisateurs peuvent continuer à voir des publicités et du contenu pertinents sans avoir besoin d'être suivis sur le Web. »
Tests et réglementations : la France n’est pas encore concernée
Un dernier point, celui des tests et de la réglementation, reste à aborder. Pour le moment, FLoC n’est testé que dans un certain nombre de pays. Un petit pourcentage des utilisateurs basés aux États-Unis, en Australie, au Brésil, au Canada, en Inde, en Indonésie, au Japon, au Mexique, en Nouvelle-Zélande et aux Philippines est concerné par les tests.
Dans un premier temps, les utilisateurs éligibles au dispositif n’étaient pas prévenus. Ils étaient choisis de façon aléatoire. En théorie, depuis quelques jours, il serait possible, pour les utilisateurs concernés, de désactiver FLoC et toute autre proposition issue de Privacy Sandbox manuellement, depuis le navigateur.
Concernant les tests en Europe et plus particulièrement en France, pour le moment FLoC n’est pas à l’ordre du jour. Google travaille pour commencer les tests au plus vite, mais on devine que le dispositif se heurte pour le moment à la réglementation européenne, plus restrictive en matière de confidentialité des utilisateurs. « Nous discutons avec l'industrie de la publicité et plusieurs régulateurs car Privacy Sandbox est une initiative ouverte et collaborative qui vise à développer de nouvelles normes Web », nous informe Chetna Bindra.
Ce dossier sur FLoC, le descendant des cookies tiers, touche ainsi à sa fin. Nous espérons qu’il vous aura apporté un maximum de réponses. Nous avons fait en sorte d’offrir à ce large dossier toute la pédagogie possible, pour que les points les plus techniques puissent être accessibles à toutes et tous. Nous remercions également toutes les entreprises et personnes qui ont répondu à nos questions, parfois nombreuses. Elles ont grandement contribué à la qualité de nos papiers. Et merci à vous, d’avoir lu ces trois épisodes. N’hésitez pas à réagir dans les commentaires, et à poser vos questions !
Le premier épisode de notre dossier sur FLoC est disponible en CLIQUANT ICI, et le second en CLIQUANT LÀ.
Chamboulé le mois dernier avec l’entrée en vigueur des nouvelles lignes directrices de la CNIL, le modèle du « cookie wall » a évolué vers celui du « cookie alternative wall ». Une solution entre la défense du modèle publicitaire du Web, et le consentement offert aux internautes. Découvrez notre dossier et ses témoignages exclusifs.