Qui connaît Trust Token API, l'outil de lutte contre la fraude de la Privacy Sandbox ?
Dans la panoplie d'API de la Privacy Sandbox, dispositif prévu par Google pour remplacer à terme les cookies tiers et dont la mise à disposition générale du marché est toujours maintenue au troisième trimestre, une API semble oubliée des commentaires et des articles : Trust Token API très récemment rebaptisée Private State Tokens. Ce dispositif de nature collaborative, parmi les premiers à avoir été validés par Google, a l'ambition d'aider les éditeurs de sites à authentifier le trafic qui les visite.
Le principe paraît simple, en théorie : un site jouant le rôle de vérificateur du trafic attribue au navigateur de l'internaute, via l'API Private State Tokens, un jeton de confiance anonyme si ce dernier "est digne de confiance", peut-on lire dans les pages explicatives de l'API sur le site de Chrome dédié aux développeurs. Cela peut être le cas par exemple d'un visiteur assidu qui remplit un formulaire pour s'authentifier, qui se logue ou qui complète un achat. Lorsque ce même internaute visite un autre site (dit site récepteur), ce dernier peut vérifier si le visiteur dispose dans son navigateur des tokens déposés par des publishers de confiance pour s'assurer qu'il ne s'agit pas d'un trafic fake. Il le fait en sollicitant le site émetteur, via la même API. Une information que le publisher pourrait ensuite fournir à la plateforme publicitaire pour autoriser la diffusion d'une publicité, explique Google. Et ainsi de suite. Google prend la précaution de préciser que ces tokens sont encryptés de manière à rendre impossible l'identification des internautes.
Les éditeurs s'en désintéressent
En théorie toujours, l'avantage serait double : l'éditeur validerait le trafic apparemment sans coût et l'utilisateur serait moins obligé de prouver son authenticité à travers le remplissage de formulaires. Le souci, c'est que les éditeurs ne s'y intéressent pas, puisque tous les éditeurs et régies que nous avons consultés sur ce sujet n'y prêtent pas attention, une majorité ne sachant même pas de quoi il ressort.
On peut s'interroger sur l'intérêt qu'auraient les publishers à émettre ces tokens. De plus, même si c'était le cas, un tel outil serait-il suffisant pour rassurer l'industrie de la publicité sur la qualité du trafic exposé aux campagnes ? Vu l'état d'intérêt des acteurs pour ce sujet, on semble loin du compte d'autant que les outils de vérification de la qualité publicitaire demandés par les annonceurs et utilisés également par les publishers et régies jurent ne pas se baser sur les cookies tiers pour fonctionner.
"Cette API n'a aucun impact sur notre activité : notre solution ne s'est jamais basée sur les cookies pour fonctionner. Notre capacité à détecter la fraude, mais également à mesurer la visibilité, la brand safety et suitability, vient de l'analyse que nous faisons de différents signaux en temps réel des paramètres du navigateur et du comportement de navigation sur un ensemble d'impressions que nous combinons à une analyse en big data sur les IP (qui nous permet de détecter, via des volumétries étranges, des infiltrations d'ordinateur)", déclare Clément Bascoulergue, directeur commercial France d'IAS, une des solutions de référence du marché.
A son tour, Adloox, adtech française d'ad verification accréditée par le MRC, mesure la qualité du trafic et détecte des comportements suspects en se servant notamment de scripts embarqués dans les créations publicitaires, comme précise son CEO Romain Bellion : "Les cookies servent plutot à suivre les internautes et à les (re)cibler. Pour traquer la fraude nous utilisons des traceurs en JavaScript, une technologie plus adaptée. Cette ligne de code embarquée dans les créations nous permet d'analyser toute sorte de signaux, par exemple des comportements suspects comme l'absence d'écran ou la génération de nombreux appels provenant de différents endroits", déclare-t-il.
Google défend de son côté l'utilité de son API par le fait qu'elle serait protectrice et respectueuse de la vie privée des utilisateurs. Au contraire des outils de marché, qui font appel à des mécanismes de collecte de données dans le collimateur des autorités de la protection des données personnelles, selon Google.
Mais d'autres voix se sont déjà levées pour s'interroger sur la légitimité de Trust Token API. "Ce projet d'apparence légitime et sans lien direct avec le ciblage ou la publicité, risque néanmoins de renforcer la capacité de certains acteurs, comme Google, à surveiller l'évolution du trafic de nombreux sites web", prévient dans une note d'éclairage rendue publique sur le web en mars 2022 le Pôle d'expertise de la régulation numérique du gouvernement français. "L'ensemble des contraintes fait que ce rôle d'émetteur de jetons pourrait être peu attractif et n'intéresser qu'un nombre limité d'acteurs. Il pourrait paradoxalement se révéler particulièrement intéressant pour certains acteurs, dont Google. D'une part, l'émission de jetons et la remontée en temps réel des demandes de confiance pourrait offrir aux acteurs concernés une connaissance anonymisée mais très fine des sites visités par les internautes ainsi que de leur trafic. Cette connaissance pourrait être à même de constituer un avantage sur des marchés connexes (utile au classement pour le référencement, information stratégique sur l'audience de concurrents, etc.). D'autre part, il ne faut pas exclure à terme que ce service présenté comme gratuit devienne payant", conclut le document.