Google commence ses tests de FLoC, sa nouvelle approche en matière de ciblage publicitaire censée être respectueuse de la vie privée. Mais le dispositif pourrait ne pas tout à fait répondre aux exigences du RGPD. Des craintes sont exprimées.

FLoC. Derrière ces quatre lettres se cache un nouveau procédé — Federated Learning of Cohorts — que Google compte mettre en œuvre pour pouvoir remplacer l’utilisation des cookies tiers dans son navigateur web, Chrome, sans pour autant renoncer à la publicité ciblée. Sur le papier, FLoC consiste à monter d’un cran dans le niveau de suivi : au lieu de se situer au niveau d’un individu, il s’opère sur un groupe.

Selon Google, FLoC résoudrait la quadrature du cercle. Ce serait la solution parfaite pour continuer à délivrer de la publicité aux internautes, en fonction de leurs habitudes de navigation, sans nuire à leur vie privée. Pour cela, FLoC amalgame ces signaux avec ceux d’autres internautes qui ont un profil semblable, dans ce qu’il est convenu d’appeler une « cohorte ».

Chaque cohorte regrouperait des milliers de personnes : assez pour pouvoir fondre chaque internaute dans la masse, de façon à le cacher parmi d’autres, mais pas trop non plus pour que la cohorte puisse être intéressante pour le secteur de la publicité, afin de délivrer pour telle ou telle cohorte telle ou telle annonce correspondant à ses centres d’intérêt. C’est ainsi que Google présente, dans les grandes lignes, ce projet.

Dans la mesure où Google vise l’année 2022 pour en finir avec les cookies tiers, des essais sur FLoC doivent être engagés. C’est ce que la société américaine annonce, dans un billet de blog du 30 mars. Point à noter : l’Union européenne n’est pas (encore) concernée par ces essais. Ceux-ci débutent dans les pays suivants : Australie, Brésil, Canada, États-Unis, Inde, Indonésie, Japon, Mexique, Nouvelle-Zélande et Philippines.

L’Europe pour l’instant mise de côté

L’auteur du billet de blog, Marshall Vale, est le responsable produit du Privacy Sandbox, qui est l’écrin dans lequel FLoC va se placer. Si l’intéressé n’évoque pas l’UE dans le billet de blog, il en a parlé sur Twitter quelques jours plus tôt. « Nous travaillons pour commencer les tests en Europe dès que possible. Nous nous engageons à 100 % en faveur du Privacy Sandbox en Europe », écrivait-il le 23 mars.

De toute évidence, ce qui coince pour FLoC est aussi composé de quatre lettres : RGPD. En effet, l’Union européenne se distingue des pays mentionnés précédemment par l’existence d’une réglementation sur la protection des données personnelles. Or, comme l’observe Siècle Digital, la mise à l’écart de l’UE pour les premiers tests laisse à penser qu’il y a, sinon une incompatibilité, du moins des hésitations.

Google, pourtant, insiste dans son billet de blog : « FLoC ne partage pas votre historique de navigation avec Google ou qui que ce soit […] Le numéro d’identification de la cohorte est le seul élément fourni lorsqu’il est demandé par un site. […] FLoC fonctionne sur votre appareil sans que votre historique de navigation soit partagé ». En somme, vis-à-vis des publicitaires, l’internaute est anonyme.

RGPD
FLoC est-il soluble dans le RGPD ?  // Source : Illustration par Claire Braikeh pour Numerama

De plus, l’entreprise américaine assure que des dispositions sont prises pour qu’aucune cohorte ne voie le jour si elle est fondée sur des informations sensibles (religion, santé, politique, etc.). Pour le déterminer, Google dit qu’il confie à Chrome le soin d’analyser les pages des sites pour voir si elles comportent des sujets de cette nature. Si c’est le cas, le processus de mise en cohorte est interrompu.

« Nous avons créé un document technique détaillé sur la façon dont cela fonctionne. Et bien sûr, les sites peuvent également se retirer de FLoC, ce qui signifie que le navigateur n’inclura pas les visites sur ce site lors de la détermination d’une cohorte », continue la société. Encore faudra-t-il que les webmestres aient connaissance de ce réglage pour l’activer et adresser un signal aux internautes sous Chrome.

Les incertitudes sur le degré d’anonymisation réel de FLoC, qui sont illustrées de fait par l’absence d’un lancement dans l’UE pour le moment (ni au Royaume-Uni d’ailleurs, qui a pourtant quitté l’Union, mais s’avère toujours soumis au RGPD jusqu’à la mi-2021), ont été évoquées très tôt, le jour même de l’annonce de Google sur son initiative visant à transformer la publicité ciblée en quelque chose de plus vertueux.

Dès le 3 mars, l’Electronic Frontier Foundation, une puissante organisation pour la défense des libertés numériques aux USA, a rédigé un article intitulé : « Le FLoC de Google est une très mauvaise idée ». Pour l’EFF, cette piste génère de nouveaux problèmes sur le terrain de la vie privée, et de nouveaux risques, car sa «  conception technique se fonde de base sur le partage de nouvelles informations avec les annonceurs ».

« Cette technologie permettra d’éviter les risques de violation de la vie privée liés aux cookies tiers, mais elle en créera de nouveaux. Elle risque également d’exacerber bon nombre des pires problèmes liés aux publicités comportementales, notamment la discrimination et le ciblage prédateur », développe l’organisation américaine, qui voudrait voir Google casser sa roue du ciblage, plutôt que de la réinventer. Il n’est pas sûr du tout que la firme de Mountain View y renonce néanmoins, compte tenu de l’importance qu’a la publicité dans son modèle économique.

Reste à savoir si les enjeux de confidentialité pourront être résolus par la technique, de façon à éviter l’identification des individus, et de manière satisfaisante à l’égard, par exemple, du RGPD. Google a d’ores et déjà prévu une future option pour sortir de FLoC, en avril, à activer dans les paramètres de Chrome. C’est sans doute un premier pas. Mais il pourrait ne pas suffire.

Partager sur les réseaux sociaux

La suite en vidéo