Un cadre juridique complexe
Né en pleine guerre froide, avec la volonté que l’informatique ne menace pas la démocratie, la loi « informatique et liberté » de 1978 a été renforcée ces dernières années par deux textes européens, la directive E-Privacy (2002), et le règlement général pour la protection des données (2018).
Inventé par Netscape en 1996 pour qu’un site web puisse reconnaitre un internaute, le « cookie » relève à la fois de la directive E-privacy, pour son rôle de « traceur » avec lecture ou écrire sur nos terminaux, mais également du RGPD, puisqu’il est potentiellement une donnée personnelle, permettant d’identifier un seul et même individu.
Selon les textes européens, le dépôt d’un cookie devait faire l’objet d’un consentement de la part des utilisateurs depuis déjà deux décennies. Mais grâce à un puissant lobbying, les éditeurs avaient obtenu l’accord de la CNIL pour qu’une poursuite de navigation soit assimilée à un consentement, ce qui leur permettait dans les faits, de déposer des cookies auprès de la quasi-totalité de leurs audiences.
Une application tardive du RGPD pour les cookies
Mais depuis quelques années, et avec la mise en oeuvre du RGPD, la CNIL est revenue en arrière et a exigé, un véritable « opt’in », un consentement éclairé, et non un « opt’out », pour le dépôt de ce traceur et le partage de données personnelles.
Au terme d’une longue négociation avec la presse en ligne et ses représentants, l’application stricte du RGPD pour la presse en ligne, avec de nouvelles CMP pour la gestion des cookies, entre en vigueur ce 1er avril… soit près de 3 ans après la mise en oeuvre du RGPD !
Cette mesure, qui devrait faire chuter les taux de consentement sous les 50%, était redoutée par la presse, et elle anticipe désormais une baisse significative de ses revenus publicitaires, faute de pouvoir cibler efficacement ses audiences.
Des réalités diverses dans l’univers in-App
Dans l’univers in-app, qui ne repose pas sur les cookies, mais sur des « advertising ID » gérés au niveaux des systèmes d’exploitation, la situation est différente.
Si des acteurs de l’univers de la géolocalisation avaient essuyé les plâtres du RGPD dès 2017, en déployant des CMP particulièrement contraignantes pour la collecte des données personnelles, d’autres éditeurs, notamment dans l’univers du gaming, feignaient de ne pas être concernés.
Mais tout comme le cookie, l’advertising ID est non seulement un traceur, relevant de E-privacy, mais également une donnée personnelle, relevant du RGPD. Mais le rappel à l’ordre n’est paradoxalement pas venu de la CNIL, mais d’Apple.
Un déploiement global du RGPD … par Apple dans l’environnement in-App
Très engagé dans le respect de la vie privée au point d’en faire un élément de différenciation sur le marché des smartphones, Apple milite depuis longtemps pour une collecte raisonnée des cookies, dans son navigateur Safari avec Intelligent Tracking Prévention (ITP), mais également depuis peu dans l’univers in-App.
Au printemps dernier, Apple a ainsi dévoilé un nouveau dispositif baptisé « App Tracking Transparency » (ATT) destiné à tous les éditeurs d’applications - et non aux seuls européens - et imposant le consentement avant toute collecte ou partage de l’IDFA, le « cookie des apps » iOS.
Initialement prévu pour être lancé à l’automne 2020, ATT sera officiellement déployé dans quelques semaines, dans iOS 14.5, aussi bien pour les éditeurs d’applications européens qui avaient déployé leur propre CMP, que pour ceux qui n’appliquaient pas le RGPD.
Du consent less.. au cookie less ?
Pris entre le marteau des textes européens, et l’enclume des GAFAs, les éditeurs européens, qu’ils soient sur le web ou dans les applications, n’ont donc désormais pas d’autre choix que de demander le consentement de leurs utilisateurs, pour réaliser une publicité ciblée.
Pour beaucoup d’éditeurs, la priorité sera d’ailleurs de maximiser les taux de consentement pour conserver les revenus d’une publicité ciblée. Mais pour beaucoup d’éditeurs, le « plan B » sera également de travailler sur les inventaires « consent less » qui devraient à court terme représenter la majorité de leurs pages vues.
Si plusieurs sociétés mettent en avant leur expertise en matière de publicité « contextuelle », permettent un ciblage basé sur la navigation des internautes et non sur des données personnelles, le futur est peut être en train de s’écrire chez les GAFAs, avec une collecte de données personnelles, leur anonymisation puis leur exploitation sous forme de cohortes.
Un plan C comme « cohortes ».
Baptisée « différential privacy », cette approche prévue par le RGPD et validée par la CNIL, est défendue par des start-up françaises comme Retency, mais également par les géants du Net comme Apple ou Google, qui semblent vouloir en faire la future norme pour le marché publicitaire.
Il est en effet possible de collecter des données personnelles mais également des données de géolocalisation sans consentement, sous réserve que ces données soient immédiatement « anonymisées », soit sur un serveur, voire directement depuis le terminal ou le navigateur.
La plateforme publicitaire ne cible alors plus des individus, mais des « cohortes », regroupant un minimum de 5000 personnes chez Apple, mais partageant une même localisation, les mêmes caractéristiques, ou les mêmes centres d’intérêt. Et d’après ses promoteurs, les performances de cette publicité ciblée par cohorte seraient d’ailleurs à peine inférieure à celle reposant sur un ciblage individualisé.
Une différence culturelle entre l’Europe et les Etats-Unis
Si les Européens ont donné la priorité à la collecte du consentement avant toute publicité reposant sur un ciblage individuel, les Américains semblent donc privilégier une approche différente, reposant sur des cohortes.. et l’absence de consentement.
Dans un article publié en février 2021 2002, Paul Coffey, Director, Platforms, Partnerships & Privacy, EMEA chez Google, le dit d’ailleurs très clairement : « l’écosystème de la publicité digitale est à l'aube d'un changement majeur visant à offrir un environnement Web qui respecte encore davantage la vie privée des internautes. Les utilisateurs du monde entier souhaitent, à raison, bénéficier de plus de contrôle et d’une plus forte protection de leur vie privée en ligne. À l'échelle mondiale, le nombre de recherches correspondant à la protection de la vie privée en ligne a augmenté de plus de 50 % en 2020 par rapport à l'année précédente. Il est temps d'évoluer de manière à offrir un meilleur service aux utilisateurs et à favoriser un niveau de confiance accru. »
Une position que semble d’ailleurs partager Apple : « Lorsque les utilisateurs ont activé les annonces personnalisées, nous ciblons les annonces en regroupant les utilisateurs qui partagent des caractéristiques similaires telles que les applications téléchargées, l'âge, le pays ou la ville de résidence, et le sexe en segments, de sorte qu'une campagne ou un ensemble de campagnes donné ne puisse pas identifier un utilisateur donné. Aucune donnée sensible n'est utilisée pour placer les utilisateurs dans ces segments, et les annonces ne sont diffusées que si plus de 5 000 personnes répondent aux critères de ciblage. Apple n'accède ni n'utilise l'IDFA sur l'appareil d'un utilisateur à quelque fin que ce soit. Apple ne sait pas quelles publicités un utilisateur individuel a reçues. L'approche d'Apple en matière de publicités ciblées démontre en fait que la publicité axée sur la confidentialité est possible en plaçant le contrôle des utilisateurs au centre. » expliquait en décembre Jane Horvath, Senior Director Global Privacy chez Apple.
La fin programmée des identifiants publicitaires individuels ?
Si Apple communique beaucoup sur les questions de « privacy » et sur la publicité par cohortes, elle s’interdit par exemple l’usage de l’IDFA, l’identifiant publicitaire in-app sur iOS, pour ses propres publicités.
La plus grande menace provient paradoxalement de Google, une société qui génère désormais plus de 100 milliards de dollars avec la publicité ciblée, mais qui entend supprimer purement et simplement les cookies dans son navigateur web dès 2022 !
Cette mesure centrale, annoncée dès 2020 au sein de la future « privacy sandbox » de Google Chrome, va ainsi beaucoup plus loin que l’approche d’Apple ou des recommandations de la CNIL. Il ne s’agit pas seulement de soumettre la publicité individuelle à un consentement, il s’agit… de l’interdire par la suppression de l’identifiant technique.
FloC : une alternative au cookie et au ciblage individuel ?
Alors que les professionnels de la publicité digitale, réunis au sein de l’IAB, cherchaient à créer un consensus autour des plates-formes de gestion du consentement (TCF) voire à mettre en place des identifiants indépendants des cookies, Google a créé la surprise en optant pour une voie diamétralement opposée.
Google ne s’est ainsi pas alliée à l’IAB, mais au W3C, l’association créée par Tim Berners Lee pour normaliser le web et le HTML, pour travailler sur de nouveaux concepts, supprimant le cookie et s’interdisant toute forme de ciblage individuel.
Car pour Google, le futur de la publicité digitale reposera sur FLoC, un système par cohorte, qui devrait être au coeur de Chrome, dès 2022, aussi bien sur desktop que sur mobile.
Des questions en suspens
Si Google a annoncé clairement la fin du cookie dès 2022, il ne s’est pas encore prononcé sur la fin de l’Android ID, l’identifiant publicitaire utilisé dans l’écosystème Android.
De la même manière, Apple semble pour le moment se concentrer sur la question du consentement, aussi bien sur le web, que dans l’univers in-App, et n’a officiellement pas remis en cause l’existence de l’IDFA sur iOS.
Si la publicité in-app, pourrait encore bénéficier pendant quelques années d’identifiant publicitaires permettant le ciblage individuel, on sent néanmoins que les GAFAs veulent faire disparaitre ces identifiants, au profit de l’anonymisation des données individuelles et de cibages « par cohortes », y compris au sein des environnements loggués.
Une privatisation de la gestion de la vie privée
Ces choix technologiques voire philosophiques, ne sont évidemment pas exempts de critiques, notamment sur la légitimité d’acteurs du marché publicitaire, pour définir des normes techniques aussi (dé)structurantes pour l’ensemble de cette profession.
Les éditeurs dénoncent également une « privatisation des questions liées à la vie privée », avec une collecte de données qui ne se ferait plus sur leurs serveurs, mais qui serait gérée localement, par le navigateur ou le système d’exploitation, des logiciels contrôlés par Apple (iOS, Safari) et Google (Chrome, Android).
Deux entreprises privées, certes très engagées dans le respect de la vie privée, mais qui ne relèvent d’aucun contrôle démocratique ou politique, à l’inverse des parlementaires ou des régulateurs européens.
Une nouvelle donne pour le marché publicitaire
Si les Européens pensaient avoir un coup d’avance avec le RGPD, un texte qui impose de nouvelles normes en matière de consentement pour la publicité ciblée, il se pourrait qu’ils aient finalement un coup de retard sur les géants américains qui ne pensent déjà « cookie less et consent less », avec une publicité anonymisée par cohorte. Des géants un temps dénoncés pour leur « capitalisme de surveillance » mais qui pourraient, paradoxalement, imposer des normes encore plus strictes que la CNIL, en supprimant purement et simplement les traceurs individuels.
Sources
https://support.apple.com/fr-fr/HT205223
https://fr.scribd.com/document/485006035/Apple-Privacy-Letter
https://www.thinkwithgoogle.com/intl/fr-fr/futur-du-marketing/confidentialite-et-confiance/confidentialite-donnees-publicite-google/
https://www.thinkwithgoogle.com/intl/fr-fr/futur-du-marketing/confidentialite-et-confiance/cookies-tiers-confidentialite-web-chrome/
https://www.thinkwithgoogle.com/intl/fr-fr/futur-du-marketing/transformation-digitale/prioriser-confidentialite-utilisateurs/
Né en pleine guerre froide, avec la volonté que l’informatique ne menace pas la démocratie, la loi « informatique et liberté » de 1978 a été renforcée ces dernières années par deux textes européens, la directive E-Privacy (2002), et le règlement général pour la protection des données (2018).
Inventé par Netscape en 1996 pour qu’un site web puisse reconnaitre un internaute, le « cookie » relève à la fois de la directive E-privacy, pour son rôle de « traceur » avec lecture ou écrire sur nos terminaux, mais également du RGPD, puisqu’il est potentiellement une donnée personnelle, permettant d’identifier un seul et même individu.
Selon les textes européens, le dépôt d’un cookie devait faire l’objet d’un consentement de la part des utilisateurs depuis déjà deux décennies. Mais grâce à un puissant lobbying, les éditeurs avaient obtenu l’accord de la CNIL pour qu’une poursuite de navigation soit assimilée à un consentement, ce qui leur permettait dans les faits, de déposer des cookies auprès de la quasi-totalité de leurs audiences.
Une application tardive du RGPD pour les cookies
Mais depuis quelques années, et avec la mise en oeuvre du RGPD, la CNIL est revenue en arrière et a exigé, un véritable « opt’in », un consentement éclairé, et non un « opt’out », pour le dépôt de ce traceur et le partage de données personnelles.
Au terme d’une longue négociation avec la presse en ligne et ses représentants, l’application stricte du RGPD pour la presse en ligne, avec de nouvelles CMP pour la gestion des cookies, entre en vigueur ce 1er avril… soit près de 3 ans après la mise en oeuvre du RGPD !
Cette mesure, qui devrait faire chuter les taux de consentement sous les 50%, était redoutée par la presse, et elle anticipe désormais une baisse significative de ses revenus publicitaires, faute de pouvoir cibler efficacement ses audiences.
Des réalités diverses dans l’univers in-App
Dans l’univers in-app, qui ne repose pas sur les cookies, mais sur des « advertising ID » gérés au niveaux des systèmes d’exploitation, la situation est différente.
Si des acteurs de l’univers de la géolocalisation avaient essuyé les plâtres du RGPD dès 2017, en déployant des CMP particulièrement contraignantes pour la collecte des données personnelles, d’autres éditeurs, notamment dans l’univers du gaming, feignaient de ne pas être concernés.
Mais tout comme le cookie, l’advertising ID est non seulement un traceur, relevant de E-privacy, mais également une donnée personnelle, relevant du RGPD. Mais le rappel à l’ordre n’est paradoxalement pas venu de la CNIL, mais d’Apple.
Un déploiement global du RGPD … par Apple dans l’environnement in-App
Très engagé dans le respect de la vie privée au point d’en faire un élément de différenciation sur le marché des smartphones, Apple milite depuis longtemps pour une collecte raisonnée des cookies, dans son navigateur Safari avec Intelligent Tracking Prévention (ITP), mais également depuis peu dans l’univers in-App.
Au printemps dernier, Apple a ainsi dévoilé un nouveau dispositif baptisé « App Tracking Transparency » (ATT) destiné à tous les éditeurs d’applications - et non aux seuls européens - et imposant le consentement avant toute collecte ou partage de l’IDFA, le « cookie des apps » iOS.
Initialement prévu pour être lancé à l’automne 2020, ATT sera officiellement déployé dans quelques semaines, dans iOS 14.5, aussi bien pour les éditeurs d’applications européens qui avaient déployé leur propre CMP, que pour ceux qui n’appliquaient pas le RGPD.
Du consent less.. au cookie less ?
Pris entre le marteau des textes européens, et l’enclume des GAFAs, les éditeurs européens, qu’ils soient sur le web ou dans les applications, n’ont donc désormais pas d’autre choix que de demander le consentement de leurs utilisateurs, pour réaliser une publicité ciblée.
Pour beaucoup d’éditeurs, la priorité sera d’ailleurs de maximiser les taux de consentement pour conserver les revenus d’une publicité ciblée. Mais pour beaucoup d’éditeurs, le « plan B » sera également de travailler sur les inventaires « consent less » qui devraient à court terme représenter la majorité de leurs pages vues.
Si plusieurs sociétés mettent en avant leur expertise en matière de publicité « contextuelle », permettent un ciblage basé sur la navigation des internautes et non sur des données personnelles, le futur est peut être en train de s’écrire chez les GAFAs, avec une collecte de données personnelles, leur anonymisation puis leur exploitation sous forme de cohortes.
Un plan C comme « cohortes ».
Baptisée « différential privacy », cette approche prévue par le RGPD et validée par la CNIL, est défendue par des start-up françaises comme Retency, mais également par les géants du Net comme Apple ou Google, qui semblent vouloir en faire la future norme pour le marché publicitaire.
Il est en effet possible de collecter des données personnelles mais également des données de géolocalisation sans consentement, sous réserve que ces données soient immédiatement « anonymisées », soit sur un serveur, voire directement depuis le terminal ou le navigateur.
La plateforme publicitaire ne cible alors plus des individus, mais des « cohortes », regroupant un minimum de 5000 personnes chez Apple, mais partageant une même localisation, les mêmes caractéristiques, ou les mêmes centres d’intérêt. Et d’après ses promoteurs, les performances de cette publicité ciblée par cohorte seraient d’ailleurs à peine inférieure à celle reposant sur un ciblage individualisé.
Une différence culturelle entre l’Europe et les Etats-Unis
Si les Européens ont donné la priorité à la collecte du consentement avant toute publicité reposant sur un ciblage individuel, les Américains semblent donc privilégier une approche différente, reposant sur des cohortes.. et l’absence de consentement.
Dans un article publié en février 2021 2002, Paul Coffey, Director, Platforms, Partnerships & Privacy, EMEA chez Google, le dit d’ailleurs très clairement : « l’écosystème de la publicité digitale est à l'aube d'un changement majeur visant à offrir un environnement Web qui respecte encore davantage la vie privée des internautes. Les utilisateurs du monde entier souhaitent, à raison, bénéficier de plus de contrôle et d’une plus forte protection de leur vie privée en ligne. À l'échelle mondiale, le nombre de recherches correspondant à la protection de la vie privée en ligne a augmenté de plus de 50 % en 2020 par rapport à l'année précédente. Il est temps d'évoluer de manière à offrir un meilleur service aux utilisateurs et à favoriser un niveau de confiance accru. »
Une position que semble d’ailleurs partager Apple : « Lorsque les utilisateurs ont activé les annonces personnalisées, nous ciblons les annonces en regroupant les utilisateurs qui partagent des caractéristiques similaires telles que les applications téléchargées, l'âge, le pays ou la ville de résidence, et le sexe en segments, de sorte qu'une campagne ou un ensemble de campagnes donné ne puisse pas identifier un utilisateur donné. Aucune donnée sensible n'est utilisée pour placer les utilisateurs dans ces segments, et les annonces ne sont diffusées que si plus de 5 000 personnes répondent aux critères de ciblage. Apple n'accède ni n'utilise l'IDFA sur l'appareil d'un utilisateur à quelque fin que ce soit. Apple ne sait pas quelles publicités un utilisateur individuel a reçues. L'approche d'Apple en matière de publicités ciblées démontre en fait que la publicité axée sur la confidentialité est possible en plaçant le contrôle des utilisateurs au centre. » expliquait en décembre Jane Horvath, Senior Director Global Privacy chez Apple.
La fin programmée des identifiants publicitaires individuels ?
Si Apple communique beaucoup sur les questions de « privacy » et sur la publicité par cohortes, elle s’interdit par exemple l’usage de l’IDFA, l’identifiant publicitaire in-app sur iOS, pour ses propres publicités.
La plus grande menace provient paradoxalement de Google, une société qui génère désormais plus de 100 milliards de dollars avec la publicité ciblée, mais qui entend supprimer purement et simplement les cookies dans son navigateur web dès 2022 !
Cette mesure centrale, annoncée dès 2020 au sein de la future « privacy sandbox » de Google Chrome, va ainsi beaucoup plus loin que l’approche d’Apple ou des recommandations de la CNIL. Il ne s’agit pas seulement de soumettre la publicité individuelle à un consentement, il s’agit… de l’interdire par la suppression de l’identifiant technique.
FloC : une alternative au cookie et au ciblage individuel ?
Alors que les professionnels de la publicité digitale, réunis au sein de l’IAB, cherchaient à créer un consensus autour des plates-formes de gestion du consentement (TCF) voire à mettre en place des identifiants indépendants des cookies, Google a créé la surprise en optant pour une voie diamétralement opposée.
Google ne s’est ainsi pas alliée à l’IAB, mais au W3C, l’association créée par Tim Berners Lee pour normaliser le web et le HTML, pour travailler sur de nouveaux concepts, supprimant le cookie et s’interdisant toute forme de ciblage individuel.
Car pour Google, le futur de la publicité digitale reposera sur FLoC, un système par cohorte, qui devrait être au coeur de Chrome, dès 2022, aussi bien sur desktop que sur mobile.
Des questions en suspens
Si Google a annoncé clairement la fin du cookie dès 2022, il ne s’est pas encore prononcé sur la fin de l’Android ID, l’identifiant publicitaire utilisé dans l’écosystème Android.
De la même manière, Apple semble pour le moment se concentrer sur la question du consentement, aussi bien sur le web, que dans l’univers in-App, et n’a officiellement pas remis en cause l’existence de l’IDFA sur iOS.
Si la publicité in-app, pourrait encore bénéficier pendant quelques années d’identifiant publicitaires permettant le ciblage individuel, on sent néanmoins que les GAFAs veulent faire disparaitre ces identifiants, au profit de l’anonymisation des données individuelles et de cibages « par cohortes », y compris au sein des environnements loggués.
Une privatisation de la gestion de la vie privée
Ces choix technologiques voire philosophiques, ne sont évidemment pas exempts de critiques, notamment sur la légitimité d’acteurs du marché publicitaire, pour définir des normes techniques aussi (dé)structurantes pour l’ensemble de cette profession.
Les éditeurs dénoncent également une « privatisation des questions liées à la vie privée », avec une collecte de données qui ne se ferait plus sur leurs serveurs, mais qui serait gérée localement, par le navigateur ou le système d’exploitation, des logiciels contrôlés par Apple (iOS, Safari) et Google (Chrome, Android).
Deux entreprises privées, certes très engagées dans le respect de la vie privée, mais qui ne relèvent d’aucun contrôle démocratique ou politique, à l’inverse des parlementaires ou des régulateurs européens.
Une nouvelle donne pour le marché publicitaire
Si les Européens pensaient avoir un coup d’avance avec le RGPD, un texte qui impose de nouvelles normes en matière de consentement pour la publicité ciblée, il se pourrait qu’ils aient finalement un coup de retard sur les géants américains qui ne pensent déjà « cookie less et consent less », avec une publicité anonymisée par cohorte. Des géants un temps dénoncés pour leur « capitalisme de surveillance » mais qui pourraient, paradoxalement, imposer des normes encore plus strictes que la CNIL, en supprimant purement et simplement les traceurs individuels.
Sources
https://support.apple.com/fr-fr/HT205223
https://fr.scribd.com/document/485006035/Apple-Privacy-Letter
https://www.thinkwithgoogle.com/intl/fr-fr/futur-du-marketing/confidentialite-et-confiance/confidentialite-donnees-publicite-google/
https://www.thinkwithgoogle.com/intl/fr-fr/futur-du-marketing/confidentialite-et-confiance/cookies-tiers-confidentialite-web-chrome/
https://www.thinkwithgoogle.com/intl/fr-fr/futur-du-marketing/transformation-digitale/prioriser-confidentialite-utilisateurs/