Depuis la mise en place du RGPD en Europe, nous connaissons tous l’existence des cookies à cause de cette fenêtre désagréable qui s’ouvre lorsque l’on visite un nouveau site. Ils donnent faim à certains (les publicitaires) ou des sueurs froides à d’autres (les défenseurs de la vie privée). Ils arrivent pourtant à date de péremption maintenant que les principaux navigateurs ont annoncé arrêter de les supporter dans un futur proche. Dans la course aux alternatives, un acteur tente de prendre de l’avance avec sa “Privacy Sandbox” : Google. D’un côté, les annonceurs ont besoin d’innovations pour corriger les défauts actuels de cookies (essentiellement la difficulté de synchroniser des données partielles pour avoir un profil correct), et de l’autre la majorité des utilisateurs n’a cure que ses données soient captées tant que les services restent gratuits. La levée de boucliers face aux premières propositions de Google interroge donc : vrai mouvement de fond ou Google-bashing ?
Le web : recette gratuite, plat payant
Le World Wide Web a été construit au début des années 1990 par des chercheurs (principalement Tim Berners-Lee) souhaitant étendre l’accès à la connaissance au plus grand nombre (l’invention passe dans le domaine public dès 1993). Les premiers cookies sont créés l’année suivante et ont en grande partie participé à la transformation du web en une gigantesque industrie publicitaire. Il s’agit d’un petit texte envoyé par un serveur HTTP à un client HTTP (par exemple un navigateur), que ce dernier renverra les prochaines fois qu'il se connectera aux serveurs partageant le même nom de domaine. Il permet aux sites web de suivre les internautes lorsqu'ils passent d'une page à l'autre du site, voire lorsqu'ils reviennent quelques jours plus tard dans le cas des cookies enregistrés sur le terminal du visiteur. Ils servent notamment à se connecter facilement à un compte ou à sauvegarder des préférences d’affichage ou un panier d’achat par exemple.
On distingue les cookies natifs (ceux installés par le site visité par l’internaute) et les cookies tiers (installés par un site différent de celui sur lequel est l’internaute). Leur but est de suivre le parcours sur plusieurs sites web, par exemple pour la mesure d'audience ou la publicité. D’après la page Wikipédia, “l'une des raisons pour lesquelles les gens ne font pas confiance aux cookies est que certains sites ont abusé de l'aspect de l'identification personnelle des cookies et ont partagé ces informations avec d'autres sources. Un grand pourcentage de la publicité ciblée et de courriels non sollicités, considérés comme spam, provient de l'information glanée par les cookies de pistage. En réalité, bien que les cookies n’aient initialement pas été créés dans le but de réaliser des publicités commerciales, ils ont donné le jour à toute une industrie publicitaire basée sur les intérêts des internautes pour tel ou tel produit et donc peut-être une intention d’achat.”
Vers la moitié des années 2000, des études commencent déjà à attester de la méfiance des utilisateurs envers ces cookies ; études bientôt suivies par des tentatives d’émergence d’un cadre réglementaire (par exemple Do Not Track ou encore la notion de droit à l’oubli) et d’outils de blocage (tel Adblock Plus), amenant tous les navigateurs web à s’adapter à ces nouvelles pratiques au fur et à mesure en les intégrant à leurs options.
Le web n’est cependant plus le même depuis l’apparition des réseaux sociaux et la démultiplication des données laissées par les internautes. Dans un monde dominé par les Gafam (Google, Amazon, Facebook, Apple et Microsoft : sociétés américaines du numérique en position de quasi-monopole sur leurs marchés respectifs, et ayant les capacités de collecter et traiter d’immenses volumes de données), la protection de la vie privée est devenue un sujet primordial comme le prouvent les législations récentes que sont le Règlement général sur la protection des données (RGPD) et le California Online Privacy Protection Act (CalOPPA), ainsi que des scandales comme celui de Cambridge Analytica ou encore l’espionnage généralisé mené par la NSA et révélé par Edward Snowden.
Plusieurs facteurs poussent les Gafam à revoir leur copie : la défiance grandissante envers le tracking (6 Américains sur 10 d’après cette étude de 2019) mais aussi l’évolution des pratiques d’internautes sensibilisés (la suppression régulière des cookies réduit drastiquement leur utilité), et à moindre mesure la peur des sanctions financières (100 millions d’euros d’amende par la Cnil à Google en 2020, après 50 en 2019). Afin de calmer le débat, un bouc-émissaire semble avoir été trouvé : les cookies tiers.
Une avancée sur le papier
L’annonce en 2020 de Google Chrome d’arrêter de supporter ces cookies n’a rien d’inattendu (Firefox et Safari avaient déjà opéré la transition en 2019). En réalité, Google et consorts n’ont plus besoin des cookies tiers pour collecter des données, étant donné que leurs services natifs, au nombre immense d’utilisateurs, en apportent déjà pléthore (YouTube, Twitch, WhatsApp, Apple Store, LinkedIn, etc.). Les Gafam sont, par leur taille et leur avance technologique, en bonne position pour proposer des alternatives. Les options de remplacement ne sont néanmoins pas encore finalisées. C’est donc en grandes pompes que Google tente d’imposer sa solution de “Privacy Sandbox” avec notamment le standard (les standards du web sont les différentes technologies et protocoles utilisés sur le Web et en particulier ceux définis par le W3C sous forme de recommandations) FLoC (Federated Learning of Cohorts) qui sera utilisé sur Chrome.
De quoi s’agit-il exactement ? FLoC (Federated Learning of Cohorts) analyse l’historique de navigation sur Chrome pour regrouper les personnes en “cohortes” d’intérêts proches à qui envoyer des publicités. Google pourrait ensuite vendre l’accès à ces cohortes aux publicitaires, remplaçant ainsi les cookies de tracking individuels qu’ils utilisaient jusque-là. Une certaine avancée pour la vie privée sur le papier puisque les utilisateurs ne seraient plus identifiés de manière individuelle et Google dit pouvoir garantir l’étanchéité des données pour rendre impossible le recoupement (“fingerprinting”).
Rappelons que Google Chrome est le navigateur créé en 2008 par le géant californien. Il est le navigateur le plus utilisé dans le monde avec près de 65 % de parts de marché (ordinateurs, mobiles et tablettes), pouvant monter jusqu’à plus de 70 % si on considère que des navigateurs comme Opera et même Edge de Microsoft se basent sur son code open source Chromium. Rappelons que dans le monde, le moteur de recherche Google représente 93 % des parts de marché et Android 86 % des systèmes d’exploitation de smartphones. En 2020, le chiffre d’affaires d’Alphabet, la maison-mère de Google, s’élevait à 182,5 milliards de dollars pour un bénéfice de 40,3 milliards : 80 % de ces revenus étaient issus de la publicité (Google, YouTube et AdSense).
La confrontation concurrentielle
Face à ce géant se dressent une myriade de petits annonceurs qui sont tributaires des technologies et des données des Gafam pour faire du business. Ce sont les premiers touchés par la disparition des cookies et ils n’hésitent pas à attaquer dans les médias et en justice la position dominante de Google (tout comme pour Apple avec sa mise à jour récente d’iOS sur la vie privée). Les grands annonceurs (par exemple Coca Cola) sont beaucoup moins concernés car ils possèdent les finances suffisantes pour se payer d’autres accès aux données (comme les data brokers).
Les concurrents de Google et Google Chrome, tels DuckDuckGo et Brave, s’opposent frontalement aux propositions du géant car c’est le cœur de leur business model. Ils mettent en avant la protection de la vie privée depuis leur création et ne peuvent que voir d’un mauvais œil les tentatives des Gafam de redorer leur image à ce sujet.
Viennent enfin les acteurs libertariens, plutôt issus du milieu informatique, qui défendent un web libre et ouvert. Ils sont d’autant plus impliqués que Google propose de créer des standards du web dans le cadre de sa Privacy Sandbox, avec l’appui du W3C (World Wide Web Consortium, organisme de standardisation à but non lucratif chargé de promouvoir la compatibilité des technologies du web). C’est le cas de Github (plateforme d’Open Source) mais surtout de l’Electronic Frontier Foundation (EFF) qui a tiré à boulet rouge sur le FLoC (la fondation a même créé un site pour savoir si un utilisateur est déjà impacté, après que Google ait dévoilé avoir fait des tests grandeur nature sans consentement préalable). WordPress (entretenant une même vision du web que l’EFF) a aussi pris position contre le FLoC, de même que ses concurrents (Joomla et Drupal).
WordPress a connu un boom phénoménal ces dernières années et son annonce a fait fleurir les gros titres annonçant que l’hébergeur de 40 % des sites web partait en croisade contre Google. Or, comme le précise Matt Mullenweg, un des créateurs de WordPress, il ne s’agit pas d’une décision de la société mais bien d’une simple proposition d’un contributeur. En réalité, l’opposition au FLoC de Google est assez mesurée, même chez les navigateurs concurrents. La plupart des acteurs privés sont en attente de plus de détails avant de se prononcer car aucun ne peut proposer d’alternative, ni soutenir le maintien des cookies diabolisés par les abus.
Tenter d'améliorer l'image pour conquérir davantage
Pour Google, il s’agit d’une double opération d’amélioration d’image et de conquête de marché. Toute sa communication se base sur la protection de la vie privée, d’anonymisation, d’éthique dans la gestion des données, afin de rassurer les utilisateurs et répondre à leurs attentes contre les “méchants” cookies-tiers. Comme le résument ces journalistes : Consumers don’t like it, legislation may soon outlaw it, and — perhaps most importantly — Google doesn’t need it et “Google’s anti-tracking move is good for privacy, and even better for Google”. L’entreprise tente aussi de rassurer les annonceurs avec quelques exemples techniques (FLoC serait au moins 95 % aussi efficace que les cookies) tout en restant assez flou à ce niveau du développement.
En riposte, les opposants mettent en avant des failles dans l’approche de protection de la vie privée et une future position dominante alourdie. Parmi les reproches faits au FLoC : discrimination sociale et économique, ciblage prédateur d’individus fragiles, fuites de données, possibilité de retrouver quand même un individu au sein d’une cohorte. Surtout, Google serait officiellement en monopole sur une montagne de données à gérer et à revendre (avec en outre des questions éthiques, sur la sexualité ou les croyances religieuses par exemple, traitées selon son unique bon vouloir).
De plus, là où le RGPD avait fait apparaître la notion de consentement aux cookies (plus ou moins symbolique), Google n’aurait plus à demander leur avis aux internautes. Il est d’ailleurs intéressant de noter que la firme n’a pas encore déployé ses tests en Europe à cause du RGPD. A l’inverse, les menaces antitrust (aux Etats-Unis comme en Europe) qui pèsent déjà sur le groupe ne semblent pas du tout le dissuader de chercher à s’imposer de manière écrasante (ou du moins de garder sa position dominante) sur le marché de la publicité en ligne.
Les alternatives aux cookies-tiers
La fin des cookies-tiers semble actée, de nombreuses alternatives sont étudiées (par exemple celle proposée par le Washington Post, filiale d’Amazon), et Google cherche à imposer la sienne en tant que standard. Dans cette optique, le bad buzz autour du FLoC pourrait finalement jouer en faveur du géant en lui ayant donné une belle visibilité. Google devra néanmoins procéder avec prudence sur ces questions de vie privée pour éviter la mésaventure de WhatsApp il y a quelques mois.
L’ampleur médiatique de l’opposition au FLoC est clairement portée par du Google-bashing : la question est trop technique pour réellement intéresser le grand public mais celui-ci savoure toute idée d’opposition de David face à Goliath. Néanmoins les arguments de fond sont légitimes. On ne peut pas blâmer Google de chercher à avaler tout le gâteau sans en laisser une miette (tous les annonceurs ne s’opposent d’ailleurs pas à Google car de meilleures technologies sont synonymes de meilleurs services et donc de meilleure rentabilité) mais on peut s’inquiéter qu’il tente de nous faire croire que c’est pour notre bien.
En imposant un modèle de produits gratuits (en apparence), les Gafam ont étouffé le débat sur le fonctionnement et la légitimité du web publicitaire, d’autant plus que la majorité des internautes ne semble pas se sentir concernée par la question des données. S’agirait-il plus d’un faux paradoxe comme l’avance cette étude Deloitte, où les utilisateurs craignent pour leur vie privée mais ne se donnent pas les moyens de la protéger ? L’ergonomie des produits et la technicité des paramètres sont le premier frein habilement utilisé par les compagnies pour dissuader les internautes de réagir (alors que par exemple la récente App Tracking Transparency d’Apple a vu 96 % des utilisateurs opter pour interdire totalement le traçage).
Les données sont unanimement considérées comme l’or du futur. Comme pour d’autres avancées scientifiques (en biologie par exemple), la technologie n’est pas mauvaise en soi mais c’est son utilisation qui doit être régulée par de l’éthique (pour caricaturer : envoyer des publicités pour des armes à feu à un extrémiste VS prédire une épidémie en comparant des données).
Il faut comprendre que c’est la centralisation des pouvoirs technologiques et décisionnels au sein des Gafam qui attise les oppositions économiques et démocratiques. Est-il souhaitable que l’éthique du web soit uniquement aux mains de sociétés privées dont l’objectif est le profit et non pas le bien public ? Le remplacement des cookies tiers par d’autres technologies ne changera pas le modèle du web actuel. Il n’est pas encourageant de voir le W3C s’en remettre à Google alors que Tim Berners-Lee (fondateur du World Wide Web et du W3C, qui a quitté son poste en 2018) rappelait dans une lettre ouverte que le contrôle des données par les internautes était un des trois grands enjeux pour le web du futur (en plus des fake news et des publicités politiques). Parmi les nouvelles tendances à surveiller pour l’évolution du web, avec ce qu’elles comportent d’avantages et de dangers, citons le développement d’un web décentralisé et la blockchain.
Paul Barraqué-Curié
Auditeur de la 36ème promotion MSIE