Privacy Sandbox : quand Google relève le défi de l’alternative aux cookies publicitaires… en deux ans !

L’annonce a fait du bruit en janvier : Google prévoit de retirer les cookies tiers de son navigateur Chrome d’ici deux ans, une mesure qui fait écho aux récents mouvements lancés par Safari et Firefox, et qui pose problème aux annonceurs et professionnels de la publicité. Le géant du web recherche donc des méthodes pour conserver les mécanismes qui permettent de mesurer l’efficacité publicitaire, voire l’affichage des messages affinitaires, en étant également moins intrusif pour l’utilisateur. En somme, un jeu d’équilibriste pour ce navigateur qui est aujourd’hui utilisé par 64 % des internautes !

Que propose Google avec « Privacy Sandbox » ?

Dans cet objectif, Google travaille sur la création d’un environnement de navigation sécurisé intitulé Privacy Sandbox, qui permettrait de substituer une solution technologique aux cookies publicitaires actuellement en place, notamment en passant par l’utilisation des signaux anonymisés que laisse l’utilisateur au sein du navigateur. D’abord appliquée à Chrome, cette mesure sera ensuite disponible en open source pour les autres navigateurs. Google souhaite ainsi éviter les solutions de contournement non sécurisées pour les utilisateurs, comme le fingerprinting par exemple.

Le projet avait déjà été dévoilé en août 2019 par Justin Schuh, Directeur de Chrome Engineering chez Google. Le 14 janvier 2020, Google a publié sur son blog Chromium une nouvelle annonce sur le sujet, renforçant son engagement avec la promesse d’achever ce chantier colossal d’ici 2022. Pour l’instant, Google offre seulement la possibilité d’échanger ouvertement avec les développeurs du monde entier (en mode open source via GitHub) pour trouver des solutions, et plusieurs pistes sont explorées. 

Vous l’aurez compris : plus qu’une simple mesure permettant d’accroître la protection des utilisateurs et des données personnelles en ligne, Privacy Sandbox pourrait constituer une petite révolution dans la manière de faire de la publicité en ligne. Google promet donc de définir un nouveau protocole d’échanges de données permettant d’assurer l’anonymat, et ce à des fins publicitaires. On note d’ailleurs que les recommandations de la CNIL vont dans le sens d’une disparition des cookies publicitaires, ce qui devrait à terme avantager les plus gros acteurs détenteurs de données, les GAFA : 

« La CNIL s’acharne sur les cookies qui sont un rouage technologique essentiel de l’économie digitale. S’agissant des fuites de données personnelles, aucun des scandales n’est lié à l’utilisation des cookies. Il y a d’autres sujets plus prioritaires que les cookies pour la protection des intérêts européens : pourquoi ne pas se pencher sur la question de la portabilité des données digitales, par exemple, qui donnerait une vraie chance à des concurrents des GAFA de s’imposer ? », Pierre Harand, Partner et Managing Director France chez fifty-five.

Mais comment Google compte remplacer les cookies tiers, techniquement ? 

À la place des cookies tiers, Google souhaite proposer un ensemble d’APIs permettant aux annonceurs de continuer à développer leur activité de ciblage publicitaire et de mesure de la performance, tout en garantissant l’anonymat des utilisateurs. En résumé, cet ensemble d’APIs a quatre objectifs principaux : garantir l’anonymat de l’utilisateur, empêcher la fraude, servir de la publicité ciblée et mesurer la performance des campagnes.

Concrètement, pour garantir l’anonymat de l’utilisateur, les événements (clics, impressions, navigation…) qui sont actuellement collectés par les plateformes publicitaires seraient conservés uniquement au niveau du navigateur dans une “boîte noire” à l’accès très contrôlé. 

Les interactions publicitaires se feront au travers d’instructions exécutées localement par cette boîte noire sans aucun accès au détail des données. Les résultats de ces opérations seraient agrégées par une infrastructure qui reste à définir, et rapportées uniquement si l’agrégation garantit l’anonymat de l’utilisateur, c’est-à-dire si le nombre de navigateurs avec les mêmes caractéristiques est suffisamment grand.

L’ensemble des principaux cas d’usage marketing seront ainsi couverts, mais seule une lecture agrégée des résultats sera possible : exit donc la vue par utilisateur. Cette boîte noire pourrait en outre prendre des décisions locales spécifiées par les plateformes sans que celles-ci aient un accès aux données, l’idée étant que toutes les décisions soient prises par le navigateur.

Google prévoit une adoption de ces différentes APIs étape par étape d’ici 2022. Les fonctionnalités de base seront mises en place dans un premier temps. Des couches de sécurité seront ensuite ajoutées au fur et à mesure pour mieux garantir l’anonymat de l’utilisateur.

Qu’est-ce que cela change concrètement pour les utilisateurs et les professionnels du numérique ? 

Tout d’abord en ce qui concerne l’expérience de l’internaute, Il est important de souligner que ce nouveau modèle régissant les interactions publicitaires reste une réponse technique donnée à une préoccupation de privacy. Il y aurait donc fort à parier que, même si techniquement la vie de l’utilisateur serait mieux protégée, son expérience du web pourrait finalement être très proche de celle qu’il vit déjà aujourd’hui ! Ainsi, même si l’utilisateur pourra choisir ses préférences de ciblage publicitaire au sein du navigateur, il est possible que sa perception d’être traqué ne change pas. 

De leur côté, les régies publicitaires auront beaucoup moins d’informations sur l’utilisateur qu’elles souhaitent cibler, puisque selon les informations communiquées par Chrome dans l’ API Turtledove, c’est le navigateur lui-même qui  comparera les enchères des annonceurs pour définir les publicités à afficher, sans que la régie ne puisse récupérer d’information sur l’utilisateur. Celle-ci pourra simplement proposer au navigateur d’afficher une publicité en fonction du groupe d’intérêt et des affinités de l’utilisateur, mais c’est le navigateur qui aura le dernier mot sur le ciblage. Il décidera alors d’afficher soit une publicité contextuelle (qui dépend de la page visitée) soit affinitaire (qui dépend du profil de l’utilisateur), mais sans en informer la régie publicitaire. Le rapport de force évoluera donc fortement… en faveur du navigateur !

Cette mesure demandera donc à tous les professionnels du secteur une transition technique et technologique conséquente pour adapter tous les cas d’usages qu’ils ont l’habitude d’opérer. Dans tous les cas, elle ne doit pas être prise à la légère, il est donc essentiel de la coordonner en amont avec une équipe d’experts. 

Trois mots d’ordre donc pour la mesure baptisée “Privacy Sandbox” : transparence, choix et contrôle, pour une navigation sécurisée de l’utilisateur d’ici 2022. Google relèvera-t-il ce défi en seulement deux ans, s’octroyant par la même occasion une position quasi-monopolistique sur le marché de la mesure de performance publicitaire ? L’émergence de navigateurs alternatifs, la complexité des mécanismes pour un utilisateur pressé, ou encore le changement de pratiques pour les acteurs de la publicité sont autant d’inconnues à prendre en compte pour répondre à cette question. Affaire à suivre !