Chrome ne dit pas adieu à ses cookies : pourquoi ?
La douleur de dire au revoir est indéniable, et conduit souvent à des adieux qui s'éternisent. C'est ce qui s'est passé avec le projet de Google de supprimer progressivement les cookies tiers, pierre angulaire du suivi intersite et de la publicité ciblée. Après avoir initialement promis d'éliminer les cookies tiers, ou « tracking », « dans un délai de deux ans » en janvier 2020, Google a repoussé l'échéance à plusieurs reprises.
Nous disons que c'était le cas, car Google vient de changer d'avis. Au lieu de faire définitivement ses adieux aux cookies tiers, l'entreprise prévoit désormais de les conserver, potentiellement pour une durée indéterminée.
Dans un billet de blog intitulé discrètement « A New Path for Privacy Sandbox on the Web », le vice-président de Google Anthony Chavez a discrètement lâché une bombe : il a annoncé que si Google s'engageait à mettre en œuvre les API Privacy Sandbox - initialement présentées comme un remplacement plus privé des cookies tiers -, il n'éliminerait pas le cookie de suivi.
Au lieu de supprimer les cookies tiers, nous introduirons une nouvelle expérience dans Chrome qui permettra aux utilisateurs de faire un choix éclairé qui s'appliquera à l'ensemble de leur navigation sur le web, et ils seront en mesure d'ajuster ce choix à tout moment.
L'annonce, enfouie dans le texte, est arrivée comme un coup de tonnerre. À l'heure actuelle, Chrome a déjà restreint les cookies tiers par défaut pour 1 % des utilisateurs de la version stable de Chrome, et 20 % des utilisateurs des versions Canary, Dev et Beta ont été affectés.
Un choix éclairé
Au lieu de se débarrasser des cookies tiers, Google affirme qu'il offrira une « nouvelle expérience » dans Chrome qui permettra aux utilisateurs de « faire un choix éclairé qui s'applique à l'ensemble de leur navigation sur le web ». M. Chavez n'a pas donné beaucoup de détails sur la manière dont ce concept de choix éclairé serait mis en œuvre. Comme nous n'avons pas grand-chose - ou plutôt rien du tout - en termes de détails, nous ne pouvons que spéculer.
Un "choix éclairé " semble être une bonne chose s'il est mis en œuvre correctement. Idéalement, les utilisateurs devraient pouvoir choisir les données qu'ils souhaitent partager (pour quelque raison que ce soit) et celles qu'ils ne souhaitent pas voir divulguées. Le qualificatif * "éclairé "* implique que les utilisateurs disposent de toutes les informations nécessaires pour prendre ces décisions, en comprenant exactement quelles données sont collectées, comment elles seront utilisées, qui y aura accès et quelles sont les implications potentielles pour leur vie privée. Cette transparence garantit que les utilisateurs ne sacrifient pas involontairement leur vie privée et qu'ils peuvent prendre des décisions conscientes concernant leurs données.
Si l'on examine de plus près ce que fait un cookie tiers, le choix, s'il est fait en connaissance de cause, ne devrait pas poser de problème. Les cookies tiers n'ont essentiellement aucun autre usage que celui d'aider les publicitaires, les courtiers en données et autres à espionner les utilisateurs sur le web. Contrairement aux cookies de première partie, qui stockent des données utiles spécifiques à un site (comme les informations de connexion), les cookies de tierce partie suivent les utilisateurs sur différents sites web. Cela permet de créer un profil détaillé des habitudes de navigation, des intérêts et du comportement en ligne d'un utilisateur.
Les annonceurs peuvent alors utiliser ces données pour cibler les utilisateurs avec des publicités étrangement spécifiques, souvent pour des produits qu'ils ont consultés par hasard mais pas nécessairement achetés.
La question qui se pose est donc la suivante : si l'on comprend bien ce que font les cookies tiers, qui les accepterait volontiers ? La fonction App Tracking Transparency (ATT) d'Apple fournit un exemple concret. Lorsque les utilisateurs ont eu la possibilité d'accepter le suivi des applications, la grande majorité d'entre eux ont choisi de ne pas le faire. Les applications de jeux, généralement connues pour leur publicité ciblée, ont mieux réussi à persuader les utilisateurs de les autoriser à les suivre, mais même dans leur cas, le taux moyen d'acceptation du suivi était de maigre 37 % au deuxième trimestre 2023.
Si Google suit les traces d'Apple, le taux d'adoption des cookies tiers ne devrait pas être élevé. Bien que les détails du « choix éclairé » de Chrome ne soient pas clairs, les utilisateurs qui rejettent les cookies tiers pourraient être dirigés vers le système de remplacement de Google, l'API Protected Audiences dans le cadre de l'initiative Privacy Sandbox. Comme nous l'avons expliqué précédemment, le Privacy Sandbox offre une approche plus privée que les cookies tiers, mais uniquement de manière isolée. Lorsque le contexte est ajouté, il entrave le suivi des utilisateurs pour les petites entreprises, mais pas nécessairement pour les géants comme Meta ou Google lui-même, qui bénéficient de vastes portefeuilles de services interconnectés.
Nos doutes vont au-delà du concept lui-même. L'historique de Google en matière d'utilisation d'interfaces déroutantes, ou de « schémas sombres », soulève des inquiétudes quant à l'authenticité de ce « choix éclairé ». Par exemple, Chrome utilisait auparavant une combinaison de paramètres pour suivre la localisation de l'utilisateur. Même si les utilisateurs désactivaient l'historique des localisations, Google pouvait toujours les suivre grâce au paramètre par défaut « Activité Web et Applications ». Cette fonctionnalité de Web & App Activity pour la collecte de données de localisation n'a pas été divulguée par Google avant la mi-2018 au plus tôt.
Les annonceurs n'ont pas été ravis non plus
Les défenseurs de la vie privée n'ont pas été les seuls à dénoncer le remplacement des cookies de Google par des tiers, les annonceurs eux-mêmes l'ont également fait. Des annonceurs autres que Google, naturellement. Criteo, par exemple, rapporte que les tests et les commentaires des éditeurs suggèrent que le Privacy Sandbox de Google, dans sa forme actuelle, n'atteint pas l'objectif déclaré de l'entreprise de limiter la perte de revenus des éditeurs à 5 %. Et ce serait un euphémisme, puisque selon la propre analyse de Criteo, si les cookies tiers étaient supprimés aujourd'hui et que le Privacy Sandbox était mis en place dans son état actuel, les revenus des éditeurs diminueraient "de 60 % en moyenne pour ceux qui ont pleinement intégré le Privacy Sandbox ».
Il n'est pas vraiment surprenant non plus que le taux d'adoption de la nouvelle technologie soit resté assez faible, inférieur à 55 %, selon Criteo. Criteo n'est pas le seul, loin de là : de nombreuses autres sociétés de publicité ont fait état de résultats similaires peu encourageants.
Quel est l'impact sur la vie privée ?
La décision de Google de ne pas supprimer les cookies tiers est un coup dur pour la vie privée, il ne faut pas s'y tromper.
Presque tous les navigateurs les bloquent par défaut, tandis que d'autres, comme Edge de Microsoft, sont également sur la voie de leur suppression progressive (même si, à la lumière de l'annonce de Google, Microsoft pourrait commencer à y réfléchir à deux fois). Cela signifie qu'en fin de compte, Chrome fera figure d'exception. Dans le même temps, il reste le navigateur le plus populaire avec une part de marché impressionnante de 65 %. Cela signifie que la majorité des utilisateurs d'Internet seront affectés par cette décision, et de manière négative.
Quelle que soit la façon dont on tourne le langage, les cookies tiers sont un mécanisme de suivi intrinsèquement non privé. L'aveu tacite par Google de l'échec de son remplacement montre qu'il n'est guère possible, à l'heure actuelle, d'essayer d'avoir le beurre et l'argent du beurre - en protégeant à la fois la vie privée et les intérêts des annonceurs -, du moins de la manière dont Google l'avait envisagé. En fin de compte, alors qu'il visait à satisfaire les deux parties, il n'a répondu aux attentes d'aucune d'entre elles.
AdGuard bloque à la fois l'API Protected Audiences et les cookies tiers dans ses extensions de navigateur et ses applications. À l'heure actuelle, il incombe aux utilisateurs de se protéger contre les atteintes à leur vie privée, et les bloqueurs de publicité sont l'un des nombreux outils disponibles pour les y aider. S'en remettre à Google pour la protection de la vie privée a toujours semblé être une idée farfelue - et les derniers événements ont montré que Google va plutôt dans la direction opposée.
