C’est en janvier 2020 que Google a publié son projet tendant à supprimer les cookies tiers (Cookies de Third-Party ou CTP)
L’objectif affiché par Google consiste à refondre les règles de la publicité numérique en garantissant plus de respect de la vie Privée ou Privacy des utilisateurs.
La CMA a ouvert une enquête en janvier 2020 pour vérifier la compatibilité de Privacy Sandbox sous 2 angles :
En Juillet 2021 Google vient de remettre ses engagements à la CMA.
La société considère que ceux-ci ont vocation à une application universelle pour la mise en œuvre de son projet dans le monde entier.
Il est intéressant de se livrer à une brève analyse au moment où dans le courant du même mois Google a publié son calendrier d’application de Privacy Sandbox.
Il s’agit de La refonte de la technologie du navigateur propriétaire de Google développé depuis 2008, CRHOME, qui fonctionne avec son application « CHROMIUM ».
Chromium permet au navigateur CRHOME de renvoyer au serveur de Google les données de toute nature collectées grâce au fonctionnement des divers services Web offerts par Google.
Les propositions Privacy Sandbox apporteront des changements fondamentaux liés à l’utilisation des services du navigateur Chrome soit pour l’essentiel :
Pour l’autorité de la concurrence anglaise, Google est dans le secteur des communications électroniques en situation de position dominante pour l’accès aux services Web.
Ceci grâce au navigateur Chrome par la configuration native des devices proposant par défaut le paramétrage de Chrome pour l’accès au Web.
L’association par Google de ses services « Ad Tech » (Advertising technologies) pour la publicité digitale en lien avec l’utilisation des fonctionnalités de Chrome peut donc contribuer à lui apporter grâce aux nouvelles technologies de Privacy Sandbox un avantage technologique et concurrentiel sans équivalent.
Les conséquences défavorables pour les entreprises du secteur du marketing digital, et des fournisseurs des API de services Web seraient de :
La CMA a donc consulté les différents intervenants du secteur du marketing digital et les fournisseurs de technologies pour obtenir les engagements de Google pour garantir :
Google a rendu ses engagements à la fin du mois de juillet 2021 auprès de la CMA.
Une étude est en cours en lien avec l’ICO (L’autorité administrative nationale indépendante pour garantir le respect de l’application du RGPD).
L’ICO est l’équivalente de la CNIL en France.
La CMA rendra son avis définitif après une nouvelle consultation des entreprises du marché.
Elle réserve de rouvrir son enquête jusqu’en 2023 date de la mise en œuvre prévue pour le Privacy Sandbox s’il y a lieu.
Google a précisé que ses engagements pour le développement du « Privacy Sandbox » devant la CMA auront pour le reste du monde une « valeur d’application universelle ».
Mais cette « universalité » est relative car l’Angleterre ne fait désormais plus partie de l’UE.
Pour intéressants qu’ils soient les engagements seront à remettre en perspective aussi au niveau de l’Europe en regard :
Les états membres de l’Union Européenne ont approuvé le 10 février 2021 un mandat de négociation pour l’adoption prochaine du Règlement « Vie privé et communications électroniques ».
Son objectif est de garantir fort à propos le respect de la vie privée dans les communications électroniques, secteur d’application visé par du Privacy Sandbox.
Or le futur Règlement Européen « e-Privacy » dans son Considérant 14 précise que :
(14) « Les données relatives aux communications électroniques devraient être définies d'une manière suffisamment large et neutre du point de vue technologique pour englober toute information concernant le contenu transmis ou échangé (contenu des communications électroniques).
Et
Les informations concernant un utilisateur final de services de communications électroniques traitées aux fins de transmettre, distribuer ou permettre l'échange de contenu de communications électroniques ; y compris les données permettant de retrouver et d'identifier la source et la destination d'une communication, la localisation géographique et la date, l'heure, la durée et le type de communication.
Que ces signaux et les données qui s'y rapportent soient acheminés par des moyens filaires, radio, optiques ou électromagnétiques, y compris les réseaux satellitaires, les réseaux câblés, les réseaux terrestres fixes (à commutation de circuits et de paquets, y compris l'internet) et mobiles, les systèmes de câbles électriques,
Les données liées à ces signaux doivent être considérées comme des métadonnées de communications électroniques et donc être soumises aux dispositions du présent Règlement.
Les métadonnées des communications électroniques peuvent inclure des informations qui font partie de l'abonnement au service lorsque ces informations sont traitées aux fins de la transmission, de la distribution ou de l'échange de contenu de communications électroniques. »
Les 2 nouvelles fonctionnalités phares de Privacy Sandbox soit ‘FLoC’, et Turtledove/Fledge sont donc concernées par le futur Règlement « e-Privacy ».
En attendant sa promulgation la Directive « e-Privacy » reste en vigueur pour protéger la spécificité du traitement des données de communications électroniques enjeux du Privacy Sandbox. (Voir ci-dessus citation § 14 du projet de Règlement e-Privacy).
Il y a à craindre que la mise en œuvre de Privacy Sandbox en 2023 se fasse dans un contexte de conflits de réglementation et d’interprétation sur le territoire de l’UE.
Or ceci n’est bon pour personne tant les professionnels du Marketing digital que les développeurs d’APIs web et leurs équipes de Data Scientists.
Ces derniers vont avoir à adapter les algorithmes de Machine Learning aux nouvelles fonctionnalités suivantes :
Ceci sous le double défi :
Cette technique vise à augmenter la Privacy des utilisateurs de sites Web en réduisant les données récoltées.
Le ciblage publicitaire les visera désormais par « centre d’intérêt » ou « groupes d’intérêts particuliers » (cohortes).
La technologie FLoC va donc cibler non plus un individu mais des cohortes de prospects ayant tous les mêmes centres d’intérêt.
FLoC "permettrait" de constituer des typologies d’audience de marché aussi fiable que la segmentation ou le ciblage réalisé auparavant par l’intermédiaire des cookies.
La Privacy issue de la technologie FLoC protégerait davantage l’individu, par un ciblage moins individualisé.
Les développeurs d’APIs devront paramétrer leurs algorithmes de Machine Learning en Algorithmique impérative pour constituer les modèles d’apprentissage fédérés.
Tout l’enjeu du développement des futurs algorithmes « d’assignation/attribution » sera de viser la « qualité d’attribution » de cohortes à l’utilisateur en fonction :
Comment garantir au sens de l’article 5 § 1 (c) du RGPD l’adéquation, la pertinence et la limitation de la collecte par rapport à la finalité du classement en cohorte ?
Aux techniques des traitements NLP (Natural Language Processing) vont devoir être associées des analyses de sentiments de manière de plus en plus granulaires pour aller chercher les bons « profils d’attribution de cohortes » !
Les modèles d’analyse de sentiments nécessitent d’avoir accès à des flux ou graphes de données de plus en plus profonds à concilier avec les impératifs de respecter la réglementation européenne (RGPD + Directive et/ou Règlement e-Privacy).
Comment gérer également les problématiques éventuelles de :
Initialement la fonctionnalité qui concerne les nouvelles pratiques du ciblage Marketing ou Retargeting avais été baptisée par Google Turtledove.
Pour Google l’innovation fondamentale résiderait dans la modification de la philosophie des ventes aux enchères applicables aux 2 procédés marketing ci-dessus pour les réaliser sans cookies tiers, notamment à partir des propres bases de données de l’annonceur.
Avec Turtledove, c’était aux navigateurs de stocker les informations pertinentes sur les utilisateurs pour leur proposer une publicité et organiser une vente aux enchères pour afficher une nouvelle publicité à l’occasion de la visite par l’utilisateur d’un autre site Web.
Les réticences de la profession du marketing interrogés par la CMA dans le cadre de son enquête, ont portées leurs fruits.
Google a modifié la technologie initiale par la fonctionnalité dénommée « Fledge ».
La logique de l’enchère a été revue pour être déterminée par le vendeur (éditeur) ou les acheteurs ayant des groupes d’intérêts éligibles (l’annonceur ou son agence) :
Désormais ceux-ci pourront enchérir en téléchargeant préalablement des informations sur un serveur « clé-valeur de confiance ».
Le droit au téléchargement des informations sera également mesuré de manière qualitative et quantitative par Google.
La publicité du « groupe d’intérêt gagnant » sera diffusée dans un cadre délimité.
L’enjeu de la technologie Fledge est de garantir que la page Web sur laquelle l’annonce s’affiche ne puisse prendre connaissance du contenu du cadre de l’ensemble. (Groupe d’intérêt éligible)
Les vendeurs et enchérisseurs connaîtront le résultat de l’enchère d’une manière qui ne révèle pas la composition et les métadonnées diverses des informations du « groupe d’intérêts gagnant » au site Web visité.
Le défi du Data Scientist pour le développement des APIs Fledge sera de déterminer :
Au regard de la complexité de l’opération et du fait que le procédé « Privacy Sandbox » n’est développé que par Google n’y a-t-il pas un risque sérieux que ces APIs deviennent un standard d’interopérabilité et d’accès aux données ?
Quelle marge de manœuvre sera vraiment laissée aux développeurs d’API qui viendront se positionner en concurrence des technologies Google ?
Dans ses engagements pris devant la CMA, Google a précisé qu’il :
Pour cela Google s’est engagé à travailler en concertation avec :
Mais Blink-dev est « apparenté » au groupe « Google » et à Chromium notamment.
Par ailleurs les représentant du W3C auront-ils un rôle d’arbitres impartiaux ?
Concernant les représentants de la publicité digitale et des développeurs :
La discussion entre tous ces « tiers intéressés » et Google au fur et à mesure de la mise à jour publique des informations de développement et de la mise en œuvre du calendrier d’exécution sera-t-elle loyale ?
Le développement du calendrier Privacy Sandbox est une affaire à suivre car tout n’est pas joué d’ici 2023 et les enjeux sont très importants.
Privacy Sandbox s’apparente bien à une réécriture du fonctionnement du Web.
Doivent donc prendre leurs légitimes places comme cocréateurs de ces nouvelles normes et droits au-delà du strict débat ouvert entre Google et l’Angleterre pour l’instant :
Tout ceci crée un double défi pour les professionnels du marketing digital, les développeurs des technologies web et leurs équipes de Data Scientists qui doivent trouver dès maintenant de nouvelles solutions technologiques innovantes en intégrant toutes ces incertitudes réglementaires.
Mais l’Europe à un rôle à jouer pour rester garante du respect des libertés et droits fondamentaux garantis par le droit de l’Union.
En 2010, un grand juriste attaché à la cause des données au niveau européen Stefano Rodota l’entrevoyait dans un article prémonitoire :
« La grande question qui se pose aujourd’hui pour l’Europe n’est-elle pas de porter la bataille des « Droits Fondamentaux garantis par les normes du droit de l’Union afin que ceux-ci puissent être vus comme la seule référence commune que le monde puisse suivre. »
(Citation de Stefano Rodota, voir référence sur l’article et sur l’auteur ci-dessous.)
Pour Stefano Rodota, l’inviolabilité de la Dignité humaine appliquée aux usages de la science et de la technologie irriguait la rédaction des articles 3 et 8 de la Charte des droits fondamentaux dont la rédaction porte la « constitutionnalisation de la personne humaine ».
Ainsi une personne « Digne » au sens de la Charte des Droits Fondamentaux est nécessairement une personne Libre jouissant des Droits prévus au Titre II de la Charte sur les libertés, grâce aux articles 7 et 8.
Aux termes de l’article 7 de la Charte : une personne « Libre » et « Digne » est celle qui peut imposer et surtout contrôler le respect de la vie privée et familiale ce qui à l’ère de l’industrie technologique 3.0, devenue le web 4.0 comprenait la protection de ses communications.
Un projet de développement d’une technologie à base d’Intelligence artificielle et de techniques de Data Science est un investissement coûteux.
Les développeurs d’APIs Web services orientées « Privacy Sandbox » ont donc tout intérêt à suivre le calendrier de développement de la fonction mais aussi de réfléchir en concertation avec des juristes rompus à la Data Science pour ne pas risquer un défaut de conformité « Privacy et Ethique by design ».
Pour cela nous continuerons à vous informer régulièrement et des développements du projet par la communication de Google et de l’invitation dans le débat des institutions européennes.
Article rédigé à Marseille le 13 Août 2021
Véronique RONDEAU ABOULY
Avocat au barreau de Marseille et DPO externe.
La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.
Il est mis à jour régulièrement, mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsables de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution, le lecteur voudra bien considérer qu’en tout état de cause, pour une application personnalisée, chaque cas est unique et que bien sûr, le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.
Mots Clefs : Privacy Sandbox – FloC – Cohortes – Turtledove – Fledge – Privacy- Règlement e-Privacy-API Web services – Marketing – AD Tech-
Crédit image : iStock.com/#UrbCan-Photographer
A lire article de Stéfano Rodota de 2010 intitulé « Nouvelle technologies et droits de l’homme : faits, interprétations, perspectives » Article paru en 2010/2-page55à70.ISSN 1- 291-6412 ; ISBN 97802700764513, article disponible en ligne : https ://www. Cairn info/revue – mouvements- 2010-2-page- 55 htm.
Stefano Rodota, juriste et parlementaire italien a présidé en Italie l’Autorité de la protection des données italienne de 1997 à 2005.
Il est décédé en Juin 2017 et a donné son nom au concours attribué annuellement depuis 2019 par le Comité de la Convention 108.
Il est ouvert aux étudiants et chercheurs provenant de pays membres ou observateurs du Comité de la convention 108.
Le prix Stefano Rodota est attribué le 28 Janvier de chaque année, journée de la Protection des données.
Son article est téléchargeable en libre accès sur Cairn directement sous les références suivantes : Article paru en 2010/2-page55à70.ISSN 1- 291-6412 ; ISBN 97802700764513, article disponible en ligne : https ://www. Cairn info/revue – mouvements- 2010-2-page- 55 htm.