Les révélations du Wall Street Journal contenues dans les « Facebook Files », publiés en septembre dernier, ont une nouvelle fois montré que les utilisateurs s’exposaient à des risques liés à la divulgation des informations personnelles. Les réseaux sociaux ne sont pas les seuls en cause : les nombreux data breach (incidents de sécurité en termes de données confidentielles) rendus publics, illustrent régulièrement la vulnérabilité des individus face à une navigation quotidienne sur les moteurs de recherche, sites de e-commerce et autres ayant recours à des « cookies tiers » , ces fichiers de données envoyés par un site web et stockés dans le navigateur web d’un utilisateur pendant que celui-ci navigue sur un site pour le suivre et optimiser le ciblage publicitaire.
Face à ces techniques répandues, les internautes restent aujourd’hui dans l’attente d’une plus grande transparence de la part des entreprises. Ainsi, en août 2019, Google a annoncé son intention de supprimer progressivement les cookies tiers (third party) d’ici à 2023 (initialement prévu pour 2022) afin de mieux protéger la vie privée des utilisateurs. D’autres navigateurs avaient déjà entamé cette démarche : par exemple, Apple sur son navigateur Safari (2017) ou bien Mozilla sur son navigateur Firefox (2019). L’annonce de Google a toutefois provoqué de très nombreuses réactions dans la sphère web car Chrome possède plus de 62 %des parts de marché de la recherche en ligne.
Deux logiques s’opposent
De telles initiatives provenant d’acteurs majeurs montrent l’importance du sujet de la protection de la vie privée. Les cookies tiers étant voués à disparaître, diverses organisations tentent de s’emparer du sujet afin de proposer des alternatives permettant de « mieux faire de la publicité ». Toutefois, ces solutions protègent-elles réellement mieux les données personnelles des internautes ? Pas forcément, car la suppression des cookies tiers ne supprime pas complètement le traçage des individus sur le web ! Surtout, selon une étude récente publiée dans la revue Recherche et applications en marketing, menée par l’une des auteures de cet article, les utilisateurs cherchent avant tout à retrouver du contrôle sur la divulgation et l’accès à leurs informations personnelles à des fins publicitaires.
Pour le moment, la plupart des solutions proposées sur le marché pour remplacer les cookies ont en effet un objectif commercial en ligne de mire… et bien moins de répondre aux véritables attentes des utilisateurs. Évidemment, les alternatives ne sont pas si faciles à mettre en place car deux logiques s’opposent : d’un côté, les utilisateurs et la protection de leur vie privée ; et de l’autre, les annonceurs et leur besoin croissant de cibler avec précision pour plus de performance. C’est pourquoi la CNIL a rappelé, fin 2021, que « le développement de techniques alternatives aux cookies tiers ne peut se faire aux dépens du droit des personnes à la protection de leurs données personnelles et de leur vie privée ».
Cohortes et empreintes numériques
À ce jour, deux alternatives à l’utilisation des cookies tiers semblent plus pertinentes que les autres sur le marché :
D’abord, le Privacy Sandbox, tel que celui proposé par le navigateur Google Chrome, basé sur un algorithme d’apprentissage automatique non supervisé qui créé des cohortes d’individus. Autrement dit, les internautes ne sont plus ciblés individuellement car leurs comportements sont anonymes, agrégés. Ils sont intégrés à des cohortes d’individus qui ont les mêmes caractéristiques et centres d’intérêt. Il n’est alors pas possible pour un internaute d’être identifié parmi les autres internautes au sein de la même cohorte, mais les informations sont suffisantes pour réaliser un ciblage pertinent.
Une seconde alternative au cookieless est le « fingerprinting » (ou empreinte numérique). Elle permet de récupérer un maximum d’informations techniques (navigateur, processeur, type d’écran, adresse IP, débit, etc.) concernant l’internaute. Grâce à ces informations, il est possible de créer un profil unique qui pourra être utilisé par les annonceurs. Le « fingerprinting » permet en quelques millisecondes d’identifier avec 99,5 % de précision un utilisateur, sans avoir à stocker d’informations. Pour le moment, le Règlement général sur la protection des données européen (RGPD) ne l’interdit pas explicitement. Cette pratique est autorisée si un consentement est donné par l’utilisateur (ce qui n’est pas sans rappeler le consentement demandé pour les cookies) et si les résultats de l’algorithme ne sont pas stockés dans la machine de l’utilisateur.
« Privacy by design »
Ainsi, ces nouvelles approches poursuivent le besoin de ciblage des individus, mais ne répondent pas aux attentes de contrôle des internautes concernant leur vie privée. N’allons-nous donc pas finalement revenir au ciblage contextuel, c’est-à-dire l’utilisation d’algorithmes sémantiques permettant d’associer une page à un mot clé, dans le déclenchement des publicités affichées ? Rien n’est moins sûr : en effet, la performance de ce ciblage contextuel est loin d’égaler les performances des cookies en termes d’hypersegmentation et de reciblage.
D’autres pistes sont donc à envisager concernant les alternatives aux cookies tiers. Par exemple, selon un article publié dans International Journal of Information Management, l’« expérience algorithmique » (« algorithmic expérience » ou AX) vise à rendre les interactions utilisateurs-algorithmes plus explicites. Certains travaux académiques montrent ainsi qu’une expérience algorithmique optimale est possible si les utilisateurs connaissent le fonctionnement des algorithmes et les données qu’ils traquent.
Au-delà des besoins de performance des entreprises et autres annonceurs, cette piste constituerait ainsi un premier pas dans la diffusion du privacy by design, c’est-à-dire permettre aux individus d’exercer leurs droits en matière de protection de leurs données personnelles (retrouver du contrôle) grâce à la mise en place par les acteurs du web d’interfaces intuitives, claires et conviviales.
Carlos Raúl Sánchez Sánchez, Professeur associé, Montpellier Business School – UGEI; Audrey Portes, Assistant Professor, Montpellier Business School – UGEI et Steffie Gallin, Professeur Assistant, Montpellier Business School – UGEI
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.