Privacy Sandbox : Google devant la CMA anglaise (Compétition & Markets Authority) prend des engagements

C’est en janvier 2020 que Google a publié son projet tendant à supprimer les cookies tiers (Cookies de Third-Party ou CTP)

L’objectif affiché par Google consiste à refondre les règles de la publicité numérique en garantissant plus de respect de la vie Privée ou Privacy des utilisateurs.

La CMA a ouvert une enquête en janvier 2020 pour vérifier la compatibilité de Privacy Sandbox sous 2 angles :

• Les règles de la concurrence,
• La protection des données pour les utilisateurs du Web.

En Juillet 2021 Google vient de remettre ses engagements à la CMA.

 La société considère que ceux-ci ont vocation à une application universelle pour la mise en œuvre de son projet dans le monde entier.

Il est intéressant de se livrer à une brève analyse au moment où dans le courant du même mois Google a publié son calendrier d’application de Privacy Sandbox.

Le projet Privacy Sandbox en résumé c’est quoi ?

Il s’agit de La refonte de la technologie du navigateur propriétaire de Google développé depuis 2008, CRHOME, qui fonctionne avec son application  « CHROMIUM ».

Chromium permet au navigateur CRHOME de renvoyer au serveur de Google les données de toute nature collectées grâce au fonctionnement des divers services Web offerts par Google.

Les propositions Privacy Sandbox apporteront des changements fondamentaux liés à l’utilisation des services du navigateur Chrome soit pour l’essentiel :

1. Suppression des CTP (cookies tiers ou Third-Party) ainsi que les « empreintes numériques » ou « fingerprinting », pour garantir le respect de la Privacy ou de la vie Privée dans l’écosystème du service des communications électroniques.
2. Créer un ensemble d’outils alternatifs pour fournir de nouvelles fonctionnalités dans l’écosystème du marketing digital pour ciblage marketing et du retargeting, ainsi que les systèmes d’enchères d’annonces :

• CPA: « Cost Per Action » ou « Coût par Action,
• CPC: « Coût par clic » ou « Paiement par clic »,
• CPM : « Coût pour mille »,

L’enquête de la CMA 

Pour l’autorité de la concurrence anglaise, Google est dans le secteur des communications électroniques en situation de position dominante pour l’accès aux services Web.

Ceci grâce au navigateur Chrome par la configuration native des devices proposant par défaut le paramétrage de Chrome pour l’accès au Web.

L’association par Google de ses services « Ad Tech » (Advertising technologies) pour la publicité digitale en lien avec l’utilisation des fonctionnalités de Chrome peut donc contribuer à lui apporter grâce aux nouvelles technologies de Privacy Sandbox un avantage technologique et concurrentiel sans équivalent.

Les conséquences défavorables pour les entreprises du secteur du marketing digital, et des fournisseurs des API de services Web seraient de :

• Fausser la concurrence par l’auto-référencement des produits et services publics propres à Google
• Lui conférer une position dominante quant à l’utilisation des données personnelles des utilisateurs de Chrome pour le ciblage et la diffusion des publicités,
• Bloquer l’innovation technique pour le développement des API de services pouvant offrir des alternatives spécifiques pour les éditeurs et fournisseurs d’Ad Tech.

La CMA a donc consulté les différents intervenants du secteur du marketing digital et les fournisseurs de technologies pour obtenir les engagements de Google pour garantir :

• Sur le marché pertinent du marketing digital le respect des règles d’une libre concurrence,
• Avec le respect de la Privacy des utilisateurs des services Web des éditeurs qui souhaitent monétiser leurs offres de contenus et services.

Google a rendu ses engagements à la fin du mois de juillet 2021 auprès de la CMA.

Une étude est en cours en lien avec l’ICO (L’autorité administrative nationale indépendante pour garantir le respect de l’application du RGPD).

L’ICO est l’équivalente de la CNIL en France.

La CMA rendra son avis définitif après une nouvelle consultation des entreprises du marché.

Elle réserve de rouvrir son enquête jusqu’en 2023 date de la mise en œuvre prévue pour le Privacy Sandbox s’il y a lieu.

Brève réflexion sur les enjeux des engagements de Google devant la   CMA 

Google  a précisé que ses engagements pour le développement du « Privacy Sandbox » devant la CMA auront pour le reste du monde une « valeur d’application universelle ».

Mais cette « universalité » est relative car l’Angleterre ne fait désormais plus partie de l’UE.

 Pour intéressants qu’ils soient les engagements seront à remettre en perspective aussi au niveau de l’Europe en regard :

• Des débats en cours sur le futur Règlement européen relatif au « Digital Market Act » (DMA) publié le 15/12/2000.
• Et plus encore par rapport au futur Règlement « e-Privacy ».

 Les états membres de l’Union Européenne ont approuvé le 10 février 2021 un mandat de négociation pour l’adoption prochaine du Règlement « Vie privé et communications électroniques ».

 Son objectif est de garantir fort à propos le respect de la vie privée dans les communications électroniques, secteur d’application visé par du Privacy Sandbox.

Or le futur Règlement Européen « e-Privacy » dans son Considérant 14 précise que :

(14) « Les données relatives aux communications électroniques devraient être définies d'une manière suffisamment large et neutre du point de vue technologique pour englober toute information concernant le contenu transmis ou échangé (contenu des communications électroniques).

Et

Les informations concernant un utilisateur final de services de communications électroniques traitées aux fins de transmettre, distribuer ou permettre l'échange de contenu de communications électroniques ; y compris les données permettant de retrouver et d'identifier la source et la destination d'une communication, la localisation géographique et la date, l'heure, la durée et le type de communication.

Que ces signaux et les données qui s'y rapportent soient acheminés par des moyens filaires, radio, optiques ou électromagnétiques, y compris les réseaux satellitaires, les réseaux câblés, les réseaux terrestres fixes (à commutation de circuits et de paquets, y compris l'internet) et mobiles, les systèmes de câbles électriques,

Les données liées à ces signaux doivent être considérées comme des métadonnées de communications électroniques et donc être soumises aux dispositions du présent Règlement.

Les métadonnées des communications électroniques peuvent inclure des informations qui font partie de l'abonnement au service lorsque ces informations sont traitées aux fins de la transmission, de la distribution ou de l'échange de contenu de communications électroniques. »

Les 2 nouvelles fonctionnalités phares de Privacy Sandbox soit ‘FLoC’, et Turtledove/Fledge sont donc concernées par le futur Règlement « e-Privacy ».

 En attendant sa promulgation la Directive « e-Privacy » reste en vigueur pour protéger la spécificité du traitement des données de communications électroniques enjeux du Privacy Sandbox. (Voir ci-dessus citation § 14 du projet de Règlement e-Privacy).

Il y a à craindre que la mise en œuvre de Privacy Sandbox en 2023 se fasse dans un contexte de conflits de réglementation et d’interprétation sur le territoire de l’UE.

Or ceci n’est bon pour personne tant les professionnels du Marketing digital que les développeurs d’APIs web et leurs équipes de Data Scientists.

Ces derniers vont avoir à adapter les algorithmes de Machine Learning aux nouvelles fonctionnalités suivantes :

• Classement des personnes dans les cohortes ‘FLoC’ à partir de leurs comportements de navigation,
• Procédés ‘Fledge’ pour les mécanismes d’enchères publicitaires,

Ceci sous le double défi :

• D’adapter les nouvelles APIs au code de la « Privacy -first» de Google Sandbox,
• Mais aussi à la « Privacy versus droit de l’UE » en anticipant le Règlement e-Privacy, agrémenté du respect du RGPD et des Droits fondamentaux de l’Union Européenne.
•  

Les nouvelles fonctionnalités ‘FLoC’ et ‘Fledge’ : modification ou révolution technologique ?

‘FLoC’ ou ‘’L’apprentissage fédéré des cohortes" :

Cette technique vise à augmenter la Privacy des utilisateurs de sites Web en réduisant les données récoltées.

 Le ciblage publicitaire les visera désormais par « centre d’intérêt » ou « groupes d’intérêts particuliers » (cohortes).

La technologie FLoC va donc cibler non plus un individu mais des cohortes de prospects ayant tous les mêmes centres d’intérêt.

FLoC "permettrait" de constituer des typologies d’audience de marché aussi fiable que la segmentation ou le ciblage réalisé auparavant par l’intermédiaire des cookies.

La Privacy issue de la technologie FLoC protégerait davantage l’individu, par un ciblage moins individualisé.

Les développeurs d’APIs devront paramétrer leurs algorithmes de Machine Learning en Algorithmique impérative pour constituer les modèles d’apprentissage fédérés.

Tout l’enjeu du développement des futurs algorithmes « d’assignation/attribution » sera de viser la « qualité d’attribution » de cohortes à l’utilisateur en fonction :

• De son historique de navigation Internet fixée pour l’instant par Google à un délai de 7 jours pour constituer le segment de ciblage de la cohorte,

Comment garantir au sens de l’article 5 § 1 (c) du RGPD l’adéquation, la pertinence et la limitation de la collecte par rapport à la finalité du classement en cohorte ?

Aux techniques des traitements NLP (Natural Language Processing) vont devoir être associées des analyses de sentiments de manière de plus en plus granulaires pour aller chercher les bons « profils d’attribution de cohortes » !

Les modèles d’analyse de sentiments nécessitent d’avoir accès à des flux ou graphes de données de plus en plus profonds à concilier avec les impératifs de respecter la réglementation européenne (RGPD + Directive et/ou Règlement e-Privacy).

Comment gérer également les problématiques éventuelles de :

• L’anonymisation des données pour déterminer dans le traitement le moment où l’on pourra considérer que les données relatives aux cohortes sortent de la catégorie des données personnelles ou pas ?
• La garantie de la monétisation des cohortes entre annonceurs par le respect du RGPD concernant le recueil du consentement.
• Des oppositions au traitement par la cohorte des personnes ciblées ?
• Mais surtout qui dans la chaîne contractuelle de l’opération va garantir au profit de la personne concernée la non-discrimination dans l’accès au service par suite d’une assignation algorithmique de ciblage dans la cohorte. (Article 22 § 3 du RGPD) ?
•  

Turtledove/Fledge :

Initialement la fonctionnalité qui concerne les nouvelles pratiques du ciblage Marketing ou Retargeting avais été baptisée par Google Turtledove.

Pour Google l’innovation fondamentale résiderait dans la modification de la philosophie des ventes aux enchères applicables aux 2 procédés marketing ci-dessus pour les réaliser sans cookies tiers, notamment à partir des propres bases de données de l’annonceur.

Avec Turtledove, c’était aux navigateurs de stocker les informations pertinentes sur les utilisateurs pour leur proposer une publicité et organiser une vente aux enchères pour afficher une nouvelle publicité à l’occasion de la visite par l’utilisateur d’un autre site Web.

Les réticences de la profession du marketing interrogés par la CMA dans le cadre de son enquête, ont portées leurs fruits.

Google a modifié la technologie initiale par la fonctionnalité dénommée « Fledge ».

La logique de l’enchère a été revue pour être déterminée par le vendeur (éditeur) ou les acheteurs ayant des groupes d’intérêts éligibles (l’annonceur ou son agence) :

Désormais ceux-ci pourront enchérir en téléchargeant préalablement des informations sur un serveur « clé-valeur de confiance ».

Le droit au téléchargement des informations sera également mesuré de manière qualitative et quantitative par Google.

La publicité du « groupe d’intérêt gagnant » sera diffusée dans un cadre délimité.

L’enjeu de la technologie Fledge est de garantir que la page Web sur laquelle l’annonce s’affiche ne puisse prendre connaissance du contenu du cadre de l’ensemble. (Groupe d’intérêt éligible)

 Les vendeurs et enchérisseurs connaîtront le résultat de l’enchère d’une manière qui ne révèle pas la composition et les métadonnées diverses des informations du « groupe d’intérêts gagnant » au site Web visité.

Le défi du Data Scientist pour le développement des APIs Fledge sera de déterminer :

• La gouvernance et les garanties technologiques du serveur « clé valeur de confiance
• Et plus encore le paramétrage de calcul algorithmique des croisements de données sur les utilisateurs.

Au regard de la complexité de l’opération et du fait que le procédé « Privacy Sandbox » n’est développé que par Google n’y a-t-il pas un risque sérieux que ces APIs deviennent un standard d’interopérabilité et d’accès aux données ?

Quelle marge de manœuvre sera vraiment laissée aux développeurs d’API qui viendront se positionner en concurrence des technologies Google ?

Dans ses engagements pris devant la CMA, Google a précisé qu’il :

• Évaluerait régulièrement ses critères de développement et de mise en œuvre en regard de l’évaluation des impacts sur les résultats en matière de protection de la vie privée et du respect des principes de protection des données,
• Prendrait en compte l’impact sur la concurrence dans le domaine de la publicité numérique en particulier pour le risque de distorsion de concurrence entre Google et les autres acteurs du marché,
• Evaluerait l’impact sur les éditeurs, en vérifiant leur capacité à générer des revenus à partir de la publicité, et pour les annonceurs pour leur garantir une publicité rentable
• Veillerait à l’impact sur l’expérience de l’utilisateur pour conjuguer les objectifs de pertinence de la publicité avec celle de la transparence de l’information à délivrer sur la façon dont ses données seront utilisées à des fins publicitaires,
• Organiser la garantie de l’organisation pour l’utilisateur d’un contrôle pertinent de son patrimoine informationnel sur ses données, en limitant les croisements de données.

Pour cela Google s’est engagé à travailler en concertation avec :

• Les administrateurs du « World Wide Web consortium» consortium (W3C)
• Et les éditeurs, les annonceurs et les fournisseurs de technologies publicitaires.
• En outre, il sera attentif aux commentaires déposés sur le « forum d’échanges » Blink-dev.

 Mais Blink-dev est « apparenté » au groupe « Google » et à Chromium notamment.

Par ailleurs les représentant du W3C auront-ils un rôle d’arbitres impartiaux ?

Concernant les représentants de la publicité digitale et des développeurs :

• « Consulter» n’est pas synonyme de l’obligation de « devoir » prendre en compte les observations des intervenants du secteur.

La discussion entre tous ces « tiers intéressés » et Google au fur et à mesure de la mise à jour publique des informations de développement et de la mise en œuvre du calendrier d’exécution sera-t-elle loyale ?

Conclusion 

Le développement du calendrier Privacy Sandbox est une affaire à suivre car tout n’est pas joué d’ici 2023 et les enjeux sont très importants.

Privacy Sandbox s’apparente bien à une réécriture du fonctionnement du Web.

Doivent donc prendre leurs légitimes places comme cocréateurs de ces nouvelles normes et droits au-delà du strict débat ouvert entre Google et l’Angleterre pour l’instant :

• Les acteurs du marché du marketing digital,
• Les instances de contrôle anglaise et européennes,
• Mais surtout le législateur européen par les nouveaux textes du droit de l’UE en préparation (DMA et Règlement e- Privacy).

Tout ceci crée un double défi pour les professionnels du marketing digital, les développeurs des technologies web et leurs équipes de Data Scientists qui doivent trouver dès maintenant de nouvelles solutions technologiques innovantes en intégrant toutes ces incertitudes réglementaires.

Mais l’Europe à un rôle à jouer pour rester garante du respect des libertés et droits fondamentaux garantis par le droit de l’Union.

En 2010, un grand juriste attaché à la cause des données au niveau européen Stefano Rodota l’entrevoyait dans un article prémonitoire :

« La grande question qui se pose aujourd’hui pour l’Europe n’est-elle pas de porter la bataille des « Droits Fondamentaux garantis par les normes du droit de l’Union afin que ceux-ci puissent être vus comme la seule référence commune que le monde puisse suivre. »

(Citation de Stefano Rodota, voir référence sur l’article et sur l’auteur ci-dessous.)

Pour Stefano Rodota, l’inviolabilité de la Dignité humaine appliquée aux usages de la science et de la technologie irriguait la rédaction des articles 3 et 8 de la Charte des droits fondamentaux dont la rédaction porte la « constitutionnalisation de la personne humaine ».

Ainsi une personne « Digne » au sens de la Charte des Droits Fondamentaux est nécessairement une personne Libre jouissant des Droits prévus au Titre II de la Charte sur les libertés, grâce aux articles 7 et 8.

Aux termes de l’article 7 de la Charte : une personne « Libre » et « Digne » est celle qui peut imposer et surtout contrôler le respect de la vie privée et familiale ce qui à l’ère de l’industrie technologique 3.0, devenue le web 4.0 comprenait la protection de ses communications.

Un projet de développement d’une technologie à base d’Intelligence artificielle et de techniques de Data Science est un investissement coûteux.

Les développeurs d’APIs Web services orientées « Privacy Sandbox » ont donc tout intérêt à suivre le calendrier de développement de la fonction mais aussi de réfléchir en concertation avec des juristes rompus à la Data Science pour ne pas risquer un défaut de conformité « Privacy et Ethique by design ».

Pour cela nous continuerons à vous informer régulièrement et des développements du projet par la communication de Google et de  l’invitation dans le débat des institutions européennes.

Article rédigé à Marseille le 13 Août 2021

Véronique RONDEAU ABOULY

Avocat au barreau de Marseille et DPO externe.

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement, mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsables de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause, pour une application personnalisée, chaque cas est unique et que bien sûr, le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.

Mots Clefs : Privacy Sandbox – FloC – Cohortes – Turtledove – Fledge – Privacy- Règlement e-Privacy-API Web services – Marketing – AD Tech-

Crédit image : iStock.com/#UrbCan-Photographer

A lire article de Stéfano Rodota de 2010 intitulé « Nouvelle technologies et droits de l’homme : faits, interprétations, perspectives » Article paru en 2010/2-page55à70.ISSN 1- 291-6412 ; ISBN 97802700764513, article disponible en ligne : https ://www. Cairn info/revue – mouvements- 2010-2-page- 55 htm.

Stefano Rodota, juriste et parlementaire italien a présidé en Italie l’Autorité de la protection des données italienne de 1997 à 2005.

Il est décédé en Juin 2017 et a donné son nom au concours attribué annuellement depuis 2019 par le Comité de la Convention 108.

Il est ouvert aux étudiants et chercheurs provenant de pays membres ou observateurs du Comité de la convention 108.

Le prix Stefano Rodota est attribué le 28 Janvier de chaque année, journée de la Protection des données.

Son article est téléchargeable en libre accès sur Cairn directement sous les références suivantes : Article paru en 2010/2-page55à70.ISSN 1-  291-6412 ; ISBN 97802700764513, article disponible en ligne : https ://www. Cairn info/revue – mouvements- 2010-2-page- 55 htm.

Retour