Les cookies sont beaucoup utilisés sur Internet, car ils permettent aux éditeurs de sites Web de stocker des informations sur l'appareil de l'internaute.

Comme nous l'avons expliqué en vidéo1, ces cookies ne sont pas nécessairement mauvais, car ils peuvent être utilisés aussi bien pour conserver le panier d'un site d'e-commerce que pour proposer des publicités ciblées aux visiteurs.

Grâce aux cookies, l'auteur d'un site peut conserver des informations dans votre navigateur, mais ce n'est pas le seul à avoir cette capacité, car la page peut contenir des éléments provenant d'autres entités comme les commentaires des articles, un service de chat, des publicités ou les boutons de partage des réseaux sociaux. Ces modules, que l'éditeur du site fait le choix d'inclure à ses pages, peuvent aussi placer des cookies. Contrairement aux cookies placés par l'éditeur lui-même, ces cookies proviennent de tierces parties et ne sont pas simplement appelés cookies mais cookies tiers.

Vers la fin des cookies tiers

Les cookies tiers ont mauvaise réputation, car ils sont principalement utilisés par les publicitaires pour profiler les internautes et leur proposer des publicités ciblées. Les principaux navigateurs ont d'ailleurs déjà fait le choix de les bloquer pour protéger les internautes : Firefox2 en septembre 2019 et Safari3 en mars 2020.

Google n'a pas encore franchi le pas pour son navigateur Chrome, mais a annoncé4, en janvier 2020, son intention de le faire sous deux ans.

Si Google traîne les pieds, c'est parce que son navigateur est majoritairement utilisé par les internautes avec plus de 60 %5 de parts de marché. Les conséquences d'un tel changement sont importantes pour Google, la firme californienne étant la plus grande agence publicitaire au monde, mais aussi pour ses clients annonceurs, qui ne pourront plus aussi facilement traquer les internautes sur le Web.

La fin des cookies tiers n'est pas la seule mesure destinée à freiner le tracking généralisé. La législation européenne6 a, par exemple, récemment évolué pour limiter la collecte d'informations personnelles en obligeant les éditeurs à obtenir le consentement des internautes.

Google ne compte cependant pas abandonner les milliards de bénéfices7 qu'il engrange chaque année et s'efforce de trouver un système de remplacement, malgré sa promesse de ne pas le faire :

« Aujourd'hui, nous précisons que, lorsque les cookies tiers seront supprimés, nous ne créerons pas d'autres identifiants pour traquer les personnes sur le Web. »

Un nouveau système a déjà été pensé et est actuellement testé : FLoC pour Federated Learning of Cohorts, que l'on pourrait traduire par Apprentissage fédéré des cohortes9.

Au revoir les cookies, Bonjour FLoC

À travers ce nouveau système FLoC, Google propose10 d'inclure dans les navigateurs un algorithme qui étudiera votre historique de navigation pour comprendre vos centres d'intérêt. Chaque internaute sera ensuite intégré à un groupe (cohorte) avec d'autres internautes qui partagent les mêmes valeurs (l'apprentissage fédéré).

Une interface sera aussi proposée aux éditeurs de sites Web et leurs partenaires pour leur permettre de questionner votre navigateur et connaître l'identifiant du groupe dont vous faites partie.

En théorie, ce système est censé permettre aux annonceurs de proposer des publicités ciblées aux internautes sans connaître leur identité précise, car les navigateurs ne fourniront pas directement les préférences de l'internaute, mais uniquement l'identifiant du groupe dans lequel il a été placé. Ce sera ensuite le travail des publicitaires de découvrir les caractéristiques de ce groupe en étudiant la présence de cet identifiant lorsque les internautes surfent sur Internet.

Si vous pensez que c'est à la fois compliqué et complexe, c'est parce que ça l'est. Pour mieux comprendre, prenons un exemple.

Imaginez que vous visitez des sites de paris sportifs et aussi quelques sites pour nouveaux-nés. Le navigateur fournira votre historique de navigation à l'algorithme de Google qui vous associera à un groupe avec d'autres parents addict aux jeux d'argent. Ce groupe se verra assigné un identifiant aléatoire, j4gtH12 par exemple. Lorsque vous, ou les autres membres de votre groupe, visitez des sites, cet identifiant j4gtH12 sera communiqué aux publicitaires, qui pourront faire un profil commun des membres du groupe et vous proposer des publicités ciblées.

Cet identifiant n'est pas figé et doit théoriquement évoluer chaque semaine pour refléter l'évolution de vos habitudes de navigation. Aussi, il est indiqué que les groupes seront normalement composés de plusieurs milliers de personnes pour éviter d'être trop personnalisés.

FLoC ne fait pas l'unanimité

Ce nouveau système FLoC doit être intégré au sein des navigateurs pour fonctionner. Heureusement, bon nombre d'éditeurs ont déjà annoncé leur intention de ne pas l'implémenter comme Mozilla Firefox11, Brave12, Vivaldi13 et DuckDuckGo14.

Apple n'a pas communiqué publiquement, mais il serait difficilement compréhensible de le voir implémenter un système aussi intrusif dans son navigateur Safari, alors même que des protections contre les trackers ont été récemment ajoutées.

L'éditeur de WordPress, logiciel utilisé par 40 % des sites du Web, a également annoncé15 son intention de le bloquer, tout comme les CMS Joomla16 et Drupal17. Wikimedia, organisme derrière Wikipedia, a, pour sa part, déjà bloqué FLoC sur l'ensemble de ses sites18, de même que GitHub19. Oracle a aussi annoncé publiquement20 son opposition à cette initiative de Google.

De façon globale, rien n'indique qu'un tel système soit conforme à la règlementation européenne, notamment au RGPD21. Google a d'ailleurs choisi de ne pas tester son système sur les internautes européens dans un premier temps22.

Dans tous les cas, il n'est pas acceptable qu'un logiciel espion soit intégré dans le navigateur des internautes pour les espionner et analyser tous leurs faits et gestes.

Avec un tel système, le travail d'agrégation et d'analyse des données qui était auparavant réalisé par l'industrie de la publicité sera désormais fait directement par Google et mis à leur disposition gratuitement. Nous ne pouvons pas accepter cela. Les annonceurs possèdent déjà bien trop de données sur chacun de nous. Un tel dispositif leur apportera encore davantage d'informations en communiquant indirectement votre historique de navigation pour leur permettre de cibler certains internautes et d'en exclure d'autres.

Les cookies tiers étaient une erreur et leur suppression est un grand pas en avant d'un point de vue de la sécurité et la vie privée des internautes. Ne créons pas une technologie similaire pour la remplacer.

« Google, s'il vous plaît, ne faites pas ça. »

Comment s'opposer à FLoC et ne pas être traqué

Le système FLoC n'est pas définitif et les spécifications sont susceptibles d'évoluer avec l'apport des autres acteurs et la réaction du public.

Vous pouvez, à votre niveau, montrer votre désaccord en arrêtant d'utiliser Chrome, seul navigateur à avoir implémenté FLoC, et en privilégiant des navigateurs qui se soucient de votre vie privée comme Firefox. Si vous souhaitez tout de même utiliser Chrome, vous pouvez bloquer les cookies tiers pour vous opposer au système FLoC et consulter ce site pour savoir si vous faites partie des bêta-testeurs.

Si vous êtes éditeur de sites Web, vous pouvez aussi vous opposer à FLoC et protéger vos visiteurs en rajoutant un en-tête spécifique23 à vos pages. Cela empêche le système FLoC d'intégrer votre site dans le calcul de la cohorte et interdit au navigateur de communiquer l'identifiant de la cohorte de l'internaute.

Un outil a été développé par nos soins pour vous permettre de savoir, en un clic, si un site protège ses visiteurs contre FLoC : ewatchers.org/floc

Utilisez-le et vérifiez si les sites que vous consultez au quotidien ont ajouté la protection contre FLoC. Si ce n'est pas le cas, envoyez-leur un message pour les sensibiliser et leur demander de le faire.

Chaque geste compte : internautes, changez de navigateur et montrez que vous êtes opposés à ces pratiques, éditeurs, ne soyez pas complices et paramétrez vos pages pour protéger vos visiteurs. Les habitudes de navigations reflètent nos valeurs et nos centres d'intérêt, c'est-à-dire qui nous sommes. Ces données sont confidentielles, elles doivent restées personnelles.

MAJ du 27/04/2021 : ajout de Drupal et de Joomla.
MAJ du 28/04/2021 : ajout de GitHub.
MAJ du 17/05/2021 : ajout du communiqué de Oracle.

Notes et références

  1. Le fonctionnement des cookies est expliqué dans l'article « Que sont les cookies et comment peuvent-ils être utilisés pour vous espionner ».
  2. Mozilla, éditeur du navigateur Firefox, annonce bloquer les cookies tiers, utilisés pour traquer les internautes (source).
  3. Apple, éditeur du navigateur Safari, annonce bloquer les cookies tiers (source).
  4. Google, éditeur du navigateur Chrome, annonce son intention de bloquer les cookies tiers sous deux ans (source).
  5. Parts de marché des navigateurs en avril 2021 : Chrome 64,19 % - Safari 19,03 % - Firefox 3,68 % - Edge 3,45 % (source : Statcounter.com).
  6. Notre décryptage de la nouvelle loi sur les cookies « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  7. Alphabet, la maison-mère de Google, a déclaré un profit net de 15,2 milliards d'euros en 2020 (source).
  8. Communiqué de Google sur la fin annoncée des coookies tiers : « Today, we’re making explicit that once third-party cookies are phased out, we will not build alternate identifiers to track individuals as they browse across the web ».
  9. Une cohorte, en français, signifie un groupe de gens ayant des particularités communes.
  10. Spécifications de FLoC en cours de réalisation : wicg.github.io/floc.
  11. Un porte-parole a indiqué à TheVerge que Mozilla n'avait pas l'intention d'implémenter FLoC et que des protections additionnelles seront ajoutées à Firefox, en complément des systèmes implémentés (source).
  12. L'éditeur Brave considère FLoC comme nocif pour les internautes et le retire de son navigateur (source).
  13. L'éditeur Vivaldi pense qu'il ne devrait pas être légal de créer un profil sur les internautes et annonce que FLoC ne sera pas implémenté dans son navigateur (source).
  14. Le moteur de recherche DuckDuckGo, éditeur d'une application mobile, estime que FLoC est mauvais pour la vie privée des internautes et annonce le bloquer (source).
  15. WordPress considère FLoC comme un problème de sécurité et envisage de le bloquer (source).
  16. Joomla traite FLoC comme un problème de sécurité et va ajouter une mesure de protection à son CMS (source).
  17. Drupal souhaite bloquer FLoC dans son CMS (source).
  18. Wikimedia, éditeur de Wikipedia, considère que FLoC est un risque pour la vie privée de ses visiteurs (source).
  19. La plateforme pour développeurs GitHub bloque désormais FloC sur l'ensemble de ces pages et celles générées par ses clients (source).
  20. Oracle annonce publiquement son opposition à FLoC (source).
  21. RGPD : Règlement Général sur la Protection des Données.
  22. Les premiers tests de FLoC sont réalisés sur un petit pourcentage d'utilisateurs dans les pays suivants : Australie, Brésil, Canada, Inde, Indonésie, Japon, Mexique, Nouvelle-Zélande, Philippines avant de l'étendre à d'autres régions (source).
  23. L'en-tête Permissions-Policy: interest-cohort=() peut être ajouté à une page Web pour désactiver FLoC (source).