Last Updated:

Après les cookies, la publicité veut utiliser votre e-mail pour vous suivre partout

Les cookies sont en train de mourir, et l'industrie du tracking se démène pour les remplacer. Google a proposé l'apprentissage fédéré des cohortes (FLoC), TURTLEDOVE et d'autres technologies sur le thème des oiseaux qui permettraient aux navigateurs d'effectuer une partie du profilage comportemental que les traceurs tiers effectuent aujourd'hui. Mais une coalition d'annonceurs indépendants spécialisés dans la surveillance a un plan différent. Au lieu d'intégrer davantage de technologies de suivi dans le navigateur (qu'ils ne contrôlent pas), ils aimeraient utiliser des identifiants plus stables, comme les adresses électroniques, pour identifier et suivre les utilisateurs sur tous leurs appareils.

Les fournisseurs de technologies publicitaires ont formulé plusieurs propositions visant à préserver les « médias ciblés » après la disparition des cookies. Nous nous concentrerons sur une seule d'entre elles : Unified Identifier 2.0 , ou UID2 en abrégé, développé par la société indépendante de technologie publicitaire The Trade Desk. UID2 est le successeur de l'« identifiant unifié » de The Trade Desk, basé sur les cookies. Tout comme FLoC, UID2 ne remplace pas les cookies, mais vise à remplacer certaines de leurs fonctionnalités. Il ne reproduira pas tous les problèmes de confidentialité des cookies tiers, mais il en créera de nouveaux. 

Am I floced

Il existe des différences essentielles entre l'UID2 et les propositions de Google. FLoC ne permettrait pas aux trackers tiers d'identifier des personnes spécifiques par eux-mêmes. FLoC pose encore de gros problèmes : elle continue de permettre les dommages collatéraux des publicités ciblées, comme la discrimination, et elle soutient d'autres méthodes de suivi, comme les empreintes digitales. Mais les concepteurs de FLoC ont l'intention d'évoluer vers un monde avec moins de suivi individualisé par des tiers. FLoC est un effort malavisé avec des objectifs louables.

identification

En revanche, UID2 est censé faciliter l'identification des personnes par les traqueurs. Il s'appuie sur le modèle commercial de suivi, de profilage et de ciblage. Si l'UID2 réussit, des sociétés de publicité sans visage et des courtiers en données continueront à vous suivre sur le web - et il leur sera plus facile de relier votre navigation sur le web à votre activité sur d'autres appareils. Les partisans de l'UID2 veulent que les annonceurs aient accès à des profils comportementaux à long terme qui capturent presque tout ce que vous faites sur n'importe quel appareil connecté à l'internet, et ils veulent faciliter le partage de vos données par les traqueurs. Malgré les prétentions peu convaincantes de ses concepteurs en matière de « vie privée » et de « transparence », l'UID2 constitue un pas en arrière pour la vie privée des utilisateurs.

Comment fonctionne l'UID2 ?

En résumé, UID2 est une série de protocoles de collecte, de traitement et de transmission des informations d'identification personnelle ("PII") des utilisateurs. Contrairement aux cookies ou à FLoC, UID2 ne vise pas à modifier le fonctionnement des navigateurs ; ses concepteurs souhaitent plutôt normaliser la manière dont les annonceurs partagent les informations. Les auteurs de l'UID2 ont publié un projet de norme technique sur Github. Les données circulent dans le système de la manière suivante :

  1. Un éditeur (comme un site Web ou une application) demande à un utilisateur des informations d'identification personnelle (IIP), comme une adresse électronique ou un numéro de téléphone.
  2. L'éditeur partage ces IIP avec un "opérateur" UID2 (une société de technologie publicitaire).
  3. L'opérateur hache les IIP pour générer un "identifiant unifié" (l'UID2). Il s'agit du numéro qui identifie l'utilisateur dans le système.
  4. Un administrateur centralisé (peut-être The Trade Desk lui-même) distribue des clés de cryptage à l'opérateur, qui crypte l'UID2 pour générer un "jeton". L'opérateur renvoie ce jeton crypté à l'éditeur.
  5. L'éditeur partage le jeton avec les annonceurs.
  6. Les annonceurs qui reçoivent le jeton peuvent le partager librement tout au long de la chaîne d'approvisionnement publicitaire.
  7. Toute société ad tech qui est un "membre conforme" de l'écosystème peut recevoir des clés de décryptage de l'administrateur. Ces entreprises peuvent décrypter le jeton en un identifiant brut (un UID2).
  8. L'UID2 sert de base à un profil d'utilisateur et permet aux traqueurs de relier entre eux différents éléments de données concernant une personne. Les UID2 bruts peuvent être partagés avec des courtiers en données et d'autres acteurs du système pour faciliter la fusion des données des utilisateurs.
identification

La description du système soulève plusieurs questions. Par exemple :

  • Qui jouera le rôle d'"administrateur" dans le système ? Y en aura-t-il un ou plusieurs, et quel sera l'impact sur la concurrence sur Internet ?
  • Qui jouera le rôle d'"opérateur" ? En dehors des opérateurs, qui seront les "membres" du système ? Quelles seront les responsabilités de ces acteurs vis-à-vis des données des utilisateurs ?
  • Qui aura accès aux identifiants bruts UID2 ? Le projet de spécification implique que les éditeurs ne verront que des jetons cryptés, mais la plupart des annonceurs et des courtiers en données verront des identifiants bruts et stables.

Ce que nous savons, c'est qu'un nouvel identifiant, l'UID2, sera généré à partir de votre courriel. Cet UID2 sera partagé entre les annonceurs et les courtiers en données, et il servira de base à leurs profils comportementaux vous concernant. Et votre UID2 sera le même sur tous vos appareils.

Comment l'UID2 se compare-t-il aux cookies ?

Les cookies sont associés à un seul navigateur. Il est donc facile pour les traqueurs de recueillir l'historique de navigation. Mais ils doivent toujours lier les ID des cookies à d'autres informations - souvent en travaillant avec un courtier en données tiers - afin de relier cet historique de navigation à l'activité sur les téléphones, les téléviseurs ou dans le monde réel. 

cookies

Les UID2 seront liés à des personnes, et non à des appareils. Cela signifie qu'un annonceur qui collecte des UID2 à partir d'un site Web peut les relier aux UID2 qu'il collecte par le biais d'applications, de téléviseurs connectés et de véhicules connectés appartenant à la même personne. C'est là qu'intervient la partie "unifiée" de l'UID2 : elle est censée rendre le suivi inter-appareils aussi facile que le suivi inter-sites l'était auparavant.

L'UID2 ne remplace pas les cookies. L'une des caractéristiques les plus dangereuses des cookies est qu'ils permettent aux traqueurs de suivre les utilisateurs "anonymement". Un traqueur peut installer un cookie dans votre navigateur la première fois que vous ouvrez une nouvelle fenêtre ; il peut ensuite utiliser ce cookie pour commencer à établir un profil de votre comportement avant même de savoir qui vous êtes. Ce profil "anonyme" peut ensuite être utilisé pour cibler des publicités ("nous ne savons pas qui est cette personne, mais nous savons comment elle se comporte") ou être stocké et joint ultérieurement à des informations permettant de vous identifier personnellement.

buisiness des données personnelles

En revanche, le système UID2 ne pourra pas fonctionner sans une certaine forme de contribution de l'utilisateur. D'une certaine manière, c'est une bonne chose : si vous refusez de partager vos informations personnelles sur le Web, vous ne pourrez pas être profilé avec UID2. Mais cela incitera également les sites, les applications et les appareils connectés à demander aux utilisateurs leur adresse électronique. Les documents UID2 indiquent que cela fait partie du plan : 

La publicité ciblée permet aux éditeurs et aux développeurs de fournir le contenu et les services que les consommateurs ont appris à apprécier, que ce soit par le biais d'applications mobiles, de la télévision en continu ou d'expériences sur le Web. ... [UID2] permet aux créateurs de contenu d'avoir des conversations d'échange de valeur avec les consommateurs tout en leur donnant plus de contrôle et de transparence sur leurs données.

Les auteurs de la norme considèrent comme acquis que la "publicité ciblée » (ainsi que le suivi et le profilage) est nécessaire pour maintenir les éditeurs en activité (ce n'est pas le cas). Ils précisent également que dans le cadre de l'UID2, les éditeurs sont censés exiger des IIP en échange du contenu.

Fonctionnement de l'UID2 sur les sites web, selon la documentation :
1. Un utilisateur visite le site Web, l'application mobile ou l'application TV Connectée d'un éditeur.
2. L'éditeur explique les avantages qu’a l'utilisateur de se connecter et récupère ses informations personnelles.

Cela crée de mauvaises nouvelles incitations pour les éditeurs. Certains sites exigent déjà que l'on se connecte pour consulter le contenu. Si UID2 décolle, attendez-vous à ce que beaucoup plus de sites Web axés sur la publicité vous demandent votre adresse électronique avant de vous laisser entrer. Avec UID2, les annonceurs signalent que les éditeurs devront acquérir et partager les IIP des utilisateurs avant de pouvoir diffuser les publicités les plus lucratives. 

Quelle est la place de Google ?

En mars, Google a annoncé qu'il « ne créera pas d'identifiants alternatifs pour suivre les personnes lors de leur navigation sur le Web et qu'il ne les utilisera pas dans ses produits ». Google a précisé qu'il ne rejoindrait pas la coalition UID2 et qu'il ne soutiendrait pas les efforts similaires visant à permettre le suivi des internautes par des tiers. C'est une bonne nouvelle, car cela signifie probablement que les annonceurs ne seront pas en mesure de cibler les utilisateurs avec UID2 dans les produits publicitaires de Google, les plus populaires au monde. Mais UID2 pourrait réussir malgré l'opposition de Google.

grafiti

Unified ID 2.0 est conçu pour fonctionner sans l'aide du navigateur. Il repose sur le partage par les utilisateurs d'informations personnelles, comme les adresses électroniques, avec les sites qu'ils visitent, et utilise ensuite ces informations comme base d'un identifiant inter-contexte. Même si Chrome, Firefox, Safari et d'autres navigateurs veulent limiter le suivi intersite, ils auront du mal à empêcher les sites Web de demander l'adresse électronique d'un utilisateur.

L'engagement de Google de renoncer aux identifiants tiers ne signifie pas que ces derniers vont disparaître. Et cela ne justifie pas la création de nouvelles technologies de ciblage telles que FLoC. Google peut essayer de présenter ces technologies comme des alternatives et nous obliger à choisir : vous voyez, FLoC n'a pas l'air si mauvais par rapport à Unified ID 2.0. Mais il s'agit d'une fausse dichotomie. Il est plus probable que, si Google choisit de déployer FLoC, il complétera - et non remplacera - une nouvelle génération d'identifiants comme UID2.

email

UID2 se concentre sur l'identité, tandis que FLoC et d'autres propositions de "bac à sable de la vie privée" de Google se concentrent sur la révélation des tendances de votre comportement. L'UID2 aidera les traqueurs à obtenir des informations détaillées sur votre activité sur les applications et les sites Web auxquels vous avez révélé votre identité. FLoC résumera la manière dont vous interagissez avec le reste des sites du web. Déployés ensemble, ils pourraient constituer un puissant cocktail de surveillance : des identifiants spécifiques et intercontextes reliés à des étiquettes comportementales complètes.

Que se passera-t-il ensuite ?

L'UID2 n'est pas une technologie révolutionnaire. Il s'agit d'une nouvelle étape dans la direction prise par l'industrie depuis un certain temps. L'utilisation d'identifiants du monde réel a toujours été plus pratique pour les traqueurs que l'utilisation de cookies pseudonymes. Depuis l'apparition des smartphones, les annonceurs veulent relier votre activité sur le Web à ce que vous faites sur vos autres appareils. Au fil des ans, une industrie artisanale s'est développée parmi les courtiers en données, vendant des services de suivi sur le web qui relient les identifiants des cookies aux identifiants des publicités mobiles et aux informations du monde réel. 

emails

La proposition UID2 est l'aboutissement de cette tendance. L'UID2 est plus un changement de politique qu'un changement technique : l'industrie de la publicité s'éloigne du profilage anonyme que permettaient les cookies et prévoit d'exiger des adresses électroniques et d'autres IIP à la place. 

La disparition des cookies est une bonne chose. Mais si une technologie de suivi basée sur l'identité réelle les remplace, il s'agira d'un recul important pour les utilisateurs. Tout d'abord, il sera plus difficile pour les utilisateurs dans des situations dangereuses - pour lesquels l'activité sur le web pourrait être retenue contre eux - d'accéder au contenu en toute sécurité. Naviguer anonymement sur le web pourrait devenir plus difficile, voire impossible. L'UID2 et ses semblables faciliteront probablement l'achat ou la demande de données sensibles sur des personnes réelles par les services de police, les agences de renseignement, les armées et les acteurs privés.

inscription

Deuxièmement, l'UID2 incitera les sites Web axés sur la publicité à ériger des « murs de suivi », refusant l'accès aux utilisateurs qui préfèrent ne pas partager leurs informations personnelles. Bien que ses concepteurs aient fait du « consentement » un principe directeur, l'UID2 est plus susceptible de forcer les utilisateurs à fournir des données sensibles en échange de contenu. Pour beaucoup, ce ne sera pas du tout un choix. L'UID2 pourrait normaliser le principe du "paiement pour la vie privée", creusant ainsi le fossé entre ceux qui sont contraints de renoncer à leur vie privée pour un accès de première classe à l'Internet, et ceux qui peuvent se permettre de ne pas le faire.

Source : https://www.eff.org/deeplinks/2021/04/after-cookies-ad-tech-wants-use-your-email-track-you-everywhere