Tracking cross-site, gouvernance et intéropérabilité de la Privacy Sandbox : la CMA rassure
Le 26 avril dernier, la Competition and Markets Authority (CMA) publiait son rapport trimestriel sur la mise en conformité progressive de la Privacy Sandbox aux principes de la concurrence. Une publication de l'autorité britannique qui a fait lever plus d'un sourcil au sein du groupe d'experts de l'Alliance Digitale dédié au suivi de l'implémentation de la Privacy Sandbox sur Chrome. En effet, sur au moins trois points, un changement de ton et de priorités laissait transparaitre le risque de potentiellement retarder sur plusieurs années la suppression des cookies tiers sur Chrome et aussi d'affecter toutes les technologies publicitaires développant des solutions d'identifiant pour remplacer les cookies en question.
A la mi-mai, ces spécialistes ont obtenu auprès de la CMA plusieurs explications qu'ils livrent au Journal du Net. En résumé, "la CMA a tenu des propos rassurants mais il faut rester vigilant", confie Pierre Devoize, DGA en charge des affaires publiques chez Alliance Digitale. Voici les trois points qui posent problème.
Tracking cross domaine : la vigilance est maintenue
Pour rappel, la Privacy Sandbox sur Chrome a pour objectif de rendre possible le suivi de l'activité des internautes en ligne à de fins publicitaires, en conformité avec les obligations relatives au consentement des internautes et à la sécurisation de ces informations. Or, le dernier rapport de la CMA laisse entendre que le suivi de l'activité en ligne peut entrer dans le collimateur des autorités britanniques. Ce suivi fait partie des inquiétudes exprimées par le Bureau du commissaire à l'information (ICO), l'organisme en charge de veiller au respect de la loi britannique sur la protection des données (traduction nationale du RGPD), que la CMA a intégrées dans le document pour la toute première fois. "L'ICO fait directement référence au tracking cross domaine comme un problème. A première lecture, cet avis était plutôt alarmant pour l'industrie vu qu'un des principaux objectifs des solutions adtech et notamment par ID est d'établir le tracking cross domaine", relate Julien Delhommeau, membre du groupe d'experts de l'Alliance digitale et lead du groupe de travail TCF Framework Signals au sein de l'IAB Europe.
Après consultation avec la CMA, le quiproquo semble résolu : "Le reproche fait par l'ICO ne visait pas le tracking cross domaine en soi mais l'absence d'information claire sur ce sujet donnée à l'internaute par Google", explique Julien Delhommeau. "Les solutions doivent en revanche veiller à être extrêmement transparentes avec les utilisateurs, leur fournissant toutes les informations sur la création de l'identifiant, sa fonction dans le tracking cross domaine et la manière pour eux d'exercer leur contrôle", ajoute l'expert.
"Par ailleurs, la CMA a bien confirmé que son objectif est de contrôler la conformité des API de la Privacy Sandbox au droit de la concurrence et non de rajouter de nouvelles exigences plus sévères en matière de privacy", précise Pierre Devoize. "Ceci étant, il faut rester prudent car le prochain rapport continuera sans doute à accorder beaucoup d'attention aux remarques de l'ICO, qui pourrait se servir de cette occasion pour pousser de nouvelles exigences. De plus, la pondération entre d'un côté les exigences en matière de privacy, de l'autre les besoins de l'industrie publicitaire sera au cœur de l'analyse de la CMA pendant la standstill period (la période d'analyse de toute la documentation issue des tests, qui doit démarrer en juillet, ndlr)", ajoute-t-il.
Gouvernance de la Privacy Sandbox : un projet sérieux pourra suffire
Autre point bloquant majeur : la nécessité pour Google de mettre en place un dispositif défini pour la gouvernance de la Privacy Sandbox qui puisse favoriser la transparence et qui "offre des possibilités d'engagement d'autres acteurs de l'industrie". Une exigence qui pourrait très vite s'avérer incompatible avec une suppression des cookies tiers en 2025.
"Il fallait que l'on comprenne les attentes réelles de la CMA : souhaite-t-elle une gouvernance établie dans les faits ou juste un projet de gouvernance bien ficelé ? D'après notre compréhension de nos échanges avec la CMA, c'est la deuxième option qui est privilégiée : l'autorité pourra valider une gouvernance qui lui semble théoriquement opérante, d'autant qu'elle suivra cela de près jusqu'à 2028. Ce faisant elle ne bloquerait pas la suite des événements du moins pour ce qui est de la gouvernance. Il est fondamental pour l'industrie de pouvoir connaître précisément le calendrier de la suppression des cookies tiers pour pouvoir anticiper et s'adapter", déclare Pierre Devoize.
L'interopérabilité entre tous les navigateurs : une explication plausible pour débloquer la situation
Le dernier rapport de la CMA met plus en évidence également la nécessité pour l'API de mesure de la Privacy Sandbox (ARA) d'être interopérable avec les solutions de mesure et d'attribution proposées par les autres navigateurs. Le rapport indique notamment que "le manque d'interopérabilité pourrait nuire à la concurrence en créant des coûts et une complexité supplémentaires pour les entreprises qui cherchent à mesurer les publicités digitales". Au moins trois solutions différentes sont déployées.
"Si pour supprimer les cookies tiers il fallait que cette intéropérabilité soit déployée, on pourrait attendre encore des années. Mais c'est plutôt l'option d'une explication plausible de comment cela pourra se mettre en place à l'avenir qui est privilégiée par la CMA", déclare Julien Delhommeau. Plusieurs pistes sont sur la table et les discussions entre différentes moteurs de recherche, dont Chrome, Firefox, Safari et Edge est en cours au sein du Private advertising technology community group (PATCG) du W3C.