par À la fin de la semaine dernière, il est apparu que Google avait l’intention d’ignorer un appel du World Wide Web Consortium (W3C) – l’organisme international qui travaille pour guider le développement des normes Web – pour repenser l’API Topics : un composant clé de ciblage publicitaire de Google. appelée proposition “Privacy Sandbox” pour faire évoluer la pile adtech prise en charge par Chrome pour la publicité ciblée.
Les sujets font référence à un composant de ciblage publicitaire de la proposition Sandbox qui est basé sur le suivi des intérêts des internautes via leur navigateur.
Le groupe d’architecture technique (TAG) du W3C a soulevé une série de préoccupations à la suite d’une demande de Google en mars dernier pour une “révision de conception précoce” de l’API Topics – écrivant la semaine dernière que sa “vue initiale” est que l’API Topics proposée par Google ne protège pas les utilisateurs. à partir de « suivi et profilage indésirables » et maintient le statu quo de la « surveillance inappropriée sur le Web ».
“Nous ne voulons pas que cela se poursuive”, a ajouté Amy Guy, commentant au nom du TAG.
La prise du TAG n’est pas la première évaluation pessimiste des sujets. Les développeurs de moteurs de navigateur WebKit et Mozilla ont également récemment rejeté l’approche de Google – l’ancien avertissement contre les lacunes préexistantes en matière de confidentialité sur le Web étant utilisé comme “excuses pour les lacunes en matière de confidentialité dans les nouvelles spécifications et propositions” ; et ce dernier jugeant Topics « plus susceptible de réduire l’utilité de l’information pour les annonceurs qu’elle n’offre une protection significative de la vie privée ».
Et le risque de fragmentation de l’expérience utilisateur Web s’il n’y a qu’un support limité parmi les navigateurs pour les sujets – ce qui pourrait conduire à la mise en œuvre de sites cherchant à bloquer les visiteurs qui utilisent des navigateurs non Chromium – est une autre des préoccupations signalées par le TAG.
Malgré l’opposition croissante du monde de l’infrastructure Web à l’approche de Google, le chien de garde de la vie privée du Royaume-Uni – un organe de surveillance clé dans ce contexte en tant qu’Office de la Commission de l’information (ICO) est activement engagé dans l’évaluation de la conformité de la Sandbox à la loi sur la protection des données à la suite d’une intervention antitrust majeure. par l’Autorité britannique de la concurrence et des marchés (CMA) qu’elle a rejointe – semble se contenter d’attendre et de laisser Google aller de l’avant avec une proposition selon laquelle les experts techniques du W3C mettent en garde contre les risques de perpétuation du type d’intrusions dans la vie privée (et de défaillances de l’agence des utilisateurs et de la transparence) qui ont embourbé l’industrie adtech dans l’eau chaude réglementaire (et réputationnelle) pendant des années.
Lorsqu’on lui a demandé s’il avait des inquiétudes quant aux implications de Topics pour la vie privée, y compris à la lumière de l’évaluation du TAG, l’ICO a pris plusieurs jours pour examiner la question avant de refuser tout commentaire.
Le régulateur nous a dit qu’il continuait de dialoguer avec Google et avec la CMA – dans le cadre de son rôle dans le cadre des engagements pris par Google l’année dernière envers le chien de garde de la concurrence. Le porte-parole de l’ICO a également rappelé un avis de 2021, publié par l’ancien commissaire à l’information du Royaume-Uni sur le sujet (ha !) De l’évolution de la publicité en ligne – qui énonçait une série de “principes” et de “recommandations” pour l’industrie de la technologie publicitaire, notamment en stipulant que les utilisateurs ont la possibilité de recevoir des publicités sans aucun suivi, profilage ou traitement de données personnelles – et dont le porte-parole a déclaré qu’il énonce maintenant ses «attentes générales» par rapport à ces propositions.
Mais une réponse plus complète de l’ICO à une critique détaillée des sujets par le W3C TAG n’en a pas eu.
Un porte-parole de Google, quant à lui, a confirmé avoir informé le régulateur sur les sujets. Et répondant aux questions sur les préoccupations du TAG, la société nous a également dit :
Bien que nous apprécions la contribution du TAG, nous ne sommes pas d’accord avec sa caractérisation selon laquelle Topics maintient le statu quo. Google s’engage envers Topics, car il s’agit d’une amélioration significative de la confidentialité par rapport aux cookies tiers, et nous allons de l’avant.
Topics prend en charge les publicités basées sur les intérêts qui maintiennent le Web libre et ouvert, et améliorent considérablement la confidentialité par rapport aux cookies tiers. La suppression des cookies tiers sans alternatives viables nuit aux éditeurs et peut conduire à des approches pires comme le suivi secret. De nombreuses entreprises testent activement les API Topics et Sandbox, et nous nous engageons à fournir les outils pour faire progresser la confidentialité et prendre en charge le Web.
De plus, le directeur principal de la gestion des produits de Google, Victor Wong, s’est rendu sur Twitter vendredi – à la suite d’articles de presse sur les implications des préoccupations du TAG – pour tweeter une version filetée des sentiments dans la déclaration (dans laquelle Wong affirme également que les utilisateurs peuvent «contrôler facilement les sujets partagés ou les désactiver») – se terminant par la stipulation que le géant de la technologie publicitaire est «à 100% engagé dans ces API en tant que blocs de construction pour un internet plus privé ».
Donc, tl;dr, Google n’est pas pour activer les sujets.
Il a annoncé ce composant de Sandbox il y a un an – remplaçant une proposition de ciblage publicitaire basée sur les intérêts très critiquée, appelée FLoCs (alias Federated Learning of Cohorts), qui avait proposé de regrouper les utilisateurs ayant des intérêts comparables dans des compartiments ciblables.
Les FLoCs ont rapidement été attaqués comme une idée terrible – les critiques affirmant qu’ils pourraient amplifier les problèmes adtech existants tels que la discrimination et le ciblage prédateur. Ainsi, Google n’a peut-être pas eu beaucoup de choix pour tuer les FLoC – mais cela lui a fourni un moyen de transformer un casse-tête de relations publiques sur son projet d’évolution des publicités pro-vie privée revendiqué en une victoire rapide en donnant l’impression que l’entreprise est réactive.
Le fait est que les critiques de Topics qui s’accumulent rapidement ne semblent pas bonnes non plus pour les affirmations de Google selon lesquelles une technologie publicitaire “avancée” offre un “Internet plus privé”.
Dans le cadre de la proposition Topics, Chrome (ou un navigateur basé sur Chrome) suit l’activité Web des utilisateurs et leur attribue des intérêts en fonction de ce qu’ils regardent en ligne, qui peuvent ensuite être partagés avec des entités qui appellent l’API Topics afin de les cibler avec les publicités.
Il existe certaines limites – telles que le nombre de sujets pouvant être attribués, le nombre de sujets partagés, la durée de stockage des sujets, etc. – mais, fondamentalement, la proposition implique que l’activité Web de l’utilisateur soit surveillée par son navigateur, qui partage ensuite des extraits de la taxonomie d’intérêts, il est déduit des sites qui demandent les données.
100 % clair pour (et contrôlable par) l’internaute, ce n’est pas le cas, comme le soutient l’évaluation du TAG :
L’API Topics telle que proposée met le navigateur en position de partager des informations sur l’utilisateur, dérivées de son historique de navigation, avec tout site pouvant appeler l’API. Ceci est fait de telle manière que l’utilisateur n’a aucun contrôle précis sur ce qui est révélé, et dans quel contexte, ou à quelles parties. Il semble également probable qu’un utilisateur aurait du mal à comprendre ce qui se passe ; les données sont collectées et envoyées dans les coulisses, de manière assez opaque. Cela va à l’encontre du principe d’amélioration du contrôle de l’utilisateur, et nous pensons qu’il ne s’agit pas d’un comportement approprié pour tout logiciel prétendant être un agent d’un utilisateur Web.
…
Donner à l’utilisateur Web l’accès aux paramètres du navigateur pour configurer les sujets qui peuvent être observés et envoyés, et de/vers quelles parties, serait un ajout nécessaire à une API comme celle-ci, et contribuerait en quelque sorte à restaurer l’agence de l’utilisateur, mais est en aucun cas suffisant. Les gens peuvent devenir vulnérables d’une manière inattendue et sans préavis. On ne peut pas s’attendre à ce que les gens aient une compréhension complète de tous les sujets possibles de la taxonomie en ce qui concerne leur situation personnelle, ni des effets immédiats ou d’entraînement du partage de ces données avec des sites et des annonceurs, et on ne peut pas non plus s’attendre à ce qu’ils soient continuellement réviser les paramètres de leur navigateur à mesure que leur situation personnelle ou globale change.
Il existe également le risque que les sites qui appellent l’API puissent « enrichir » les données d’intérêt par utilisateur recueillies par les sujets en utilisant d’autres formes de suivi, telles que les empreintes digitales des appareils, et ainsi supprimer la confidentialité des utilisateurs Web de la même manière. manière corrosive et anti-internaute que le suivi et le profilage font toujours.
Et bien que Google ait déclaré que les catégories “sensibles” – telles que la race ou le sexe – ne peuvent pas être transformées en intérêts ciblables via le traitement des sujets, cela n’empêche pas les annonceurs d’identifier les catégories de proxy qu’ils pourraient utiliser pour cibler les caractéristiques protégées, comme cela s’est produit avec le suivi existant. outils de ciblage publicitaire basés sur les publicités (voir, par exemple, le ciblage publicitaire « d’affinité ethnique » sur Facebook – qui a conduit à des avertissements en 2016 sur le potentiel de publicités discriminatoires excluant les personnes présentant des caractéristiques protégées de voir les annonces d’emploi ou de logement).
(Encore une fois, le TAG relève ce risque – soulignant en outre: «[T]il n’y a pas d’évaluation binaire qui puisse être faite pour savoir si un sujet est « sensible » ou non. Cela peut varier en fonction du contexte, des circonstances de la personne à laquelle il se rapporte, ainsi que changer dans le temps pour la même personne. »)
Un cynique pourrait dire que la controverse sur les FLoC, et l’abandon assez rapide de celle-ci par Google, ont fourni à l’entreprise une couverture utile pour faire de Topics un remplacement plus acceptable – sans attirer le même niveau d’examen minutieux sur une proposition qui, après tout, cherche à continuer à suivre les utilisateurs Web – compte tenu de toute l’attention déjà accordée aux FLoC (et avec une certaine poudre réglementaire consacrée aux considérations antitrust Privacy Sandbox).
Comme pour une négociation, la première demande peut être scandaleuse – non pas parce que l’on s’attend à tout obtenir sur la liste, mais comme un moyen de fausser les attentes et d’obtenir le plus possible plus tard.
Le plan hautement technique de Google visant à créer une nouvelle pile adtech “meilleure pour la confidentialité” (et il prétend) a été officiellement annoncé en 2020 – lorsqu’il a défini sa stratégie pour déconseiller la prise en charge des cookies de suivi tiers dans Chrome, après avoir été entraîné dans action par des mouvements anti-pistage beaucoup plus tôt par les navigateurs rivaux. Mais la proposition a fait l’objet de critiques considérables de la part des éditeurs et des spécialistes du marketing, craignant qu’elle ne renforce davantage la domination de Google sur la publicité en ligne. Cela – à son tour – a attiré un tas d’examens réglementaires et de frictions de la part des organismes de surveillance antitrust, ce qui a entraîné des retards dans le calendrier de migration initial.
Le Royaume-Uni a mené la charge ici, sa CMA ayant obtenu une série d’engagements du géant de la technologie il y a un peu moins d’un an – sur la manière dont il développerait la pile adtech de remplacement et sur le moment où il pourrait appliquer n’importe quel commutateur.
Ces engagements consistent principalement à s’assurer que Google prend en compte les commentaires de l’industrie pour résoudre tout problème de concurrence. Mais la CMA et l’ICO ont également annoncé un travail conjoint sur cette surveillance, étant donné les implications claires pour la vie privée des internautes de tout changement dans la façon dont le ciblage publicitaire est effectué. Ce qui signifie que les régulateurs de la concurrence et de la confidentialité doivent travailler main dans la main ici si l’internaute ne veut pas continuer à être raidi au nom des “publicités pertinentes”.
La question de l’adtech pour l’ICO est cependant délicate.
C’est parce qu’il a – historiquement – omis de prendre des mesures d’exécution contre les violations systématiques de la technologie adtech actuelle de la vie privée. Ainsi, l’idée de l’ICO s’oppose maintenant à Google, sur ce que l’entreprise a, dès le départ, qualifié d’avancée en faveur de la vie privée sur le sale statu quo, même si le régulateur laisse l’adtech déchirant la vie privée continuer à traiter illégalement les internautes. ‘ données – peuvent sembler un peu “cul sur mésange”, pour ainsi dire.
Le résultat est que l’ICO est dans une impasse quant à la manière dont il peut réglementer de manière proactive les détails de la proposition Sandbox de Google. Et cela joue bien sûr dans la main de Google – puisque le seul régulateur de la confidentialité qui a les yeux activement sur ce sujet est obligé de s’asseoir sur ses mains (ou au mieux de se tourner les pouces) et de laisser Google façonner le récit des sujets et ignorer les critiques éclairées – donc vous pourrait dire que Google frotte le visage du régulateur dans sa propre inaction. D’où un discours inébranlable sur « aller de l’avant » sur une « amélioration significative de la confidentialité par rapport aux cookies tiers ».
« L’amélioration » est bien sûr relative. Ainsi, pour les utilisateurs, la réalité est que Google est toujours aux commandes lorsqu’il s’agit de décider du gain de confidentialité supplémentaire que vous obtiendrez sur son activité de suivi des personnes comme d’habitude. Et il ne sert à rien de se plaindre à l’ICO à ce sujet.
