La polémique du "cookie zombie" secoue les Etats-Unis
Si l'affaire du "cookie zombie" n'a pas forcément fait grand bruit en France, elle a eu plus d'écho aux Etats-Unis où deux sociétés renommées, l'opérateur télécom, Verizon, et le DSP, Turn, ont été épinglées pour avoir continué à tracker les internautes même après que ceux-ci avaient supprimé leurs cookies. En cause, l'utilisation d'un outil de tracking baptisé par Verizon, Unique Identifier Header (UIDH) initialement imaginé pour le Web fixe et rapidement déployé sur le mobile où les cookies fonctionnent mal, auprès de quatre sociétés ad-tech (dont Turn). Un outil que Verizon a développé au cours des deux dernières années en intégrant aux flux de données qui relient un site Internet à l'internaute qui le visite une série de lettres et chiffres qui permettent d'identifier ce dernier. Un outil de tracking sur lequel Verizon, qui compte plus de 120 millions d'abonnés, a construit une bonne partie de l'attractivité de son réseau publicitaire. La pratique s'apparente d'ailleurs à celle, très critiquée cet été, du canvas fingerprinting.
L'inquiétude qu'un FAI altère les flux de données entre un site Internet et l'internaute
Dans ce cas précis, elle fait d'autant plus polémique que Verizon est un fournisseur d'accès à Internet et peut donc passer outre tous les dispositifs de "Do not track" et systèmes de navigation privée. "Les fournisseurs d'accès à Internet sont les garants de la connexion des utilisateurs et ne devraient à ce titre pas modifier les flux de données vers Internet", s'est ainsi ému Jacob Hoffman-Andrews, spécialiste de l'association Electronic Frontier Foundation, interrogé par le magazine Wired. Celui-ci va même jusqu'à parler de "perma-cookie" pour illustrer le caractère inaltérable de ce type d'outil de tracking. La polémique a pris une telle ampleur que le chief privacy office de Turn a dû se fendre d'une note de blog dans laquelle il explique que le société prenait les mesures nécessaires pour "revoir cette méthode". Même son de cloche du côté de Verizon où une porte-parole, Debra Lewis, a préféré calmer le jeu. "Nous sommes en train d'évaluer la manière avec laquelle les sociétés tierces utilisent l'UIDH dans cet écosystème en perpétuelle évolution et réfléchissons à une réponse appropriée", rassure-t-elle.
Seul Facebook sort aujourd'hui clairement du lot
Les acteurs du monde ad-tech sont quoi qu'il en soit plus que jamais tiraillés entre la nécessité de trouver une alternative viable au cookie (pour s'accaparer une part consistante du gâteau publicitaire) et celle de respecter la vie privée d'utilisateurs de plus en plus attachés à cette notion. Apple n'y a pas échappé, lui qui a été contraint courant 2012 de supprimer un identifiant auquel les mobinautes ne pouvaient pas échapper, l'UDID. C'est dans cette perspective que beaucoup d'acteurs, à l'image d'Appnexus, se refusent quant à eux à pratiquer du fingerprinting, mesure probabiliste sur laquelle le mobinaute ne peut pas non plus faire d'opt-out. A ce petit jeu le grand gagnant semble être Facebook et son "Facebook connect", moyen de connexion sans friction popularisé au sein de la majorité des applications. Les mobinautes ont beau avoir conscience du "danger" de faire un "opt-out" sur ce type de données, l'avantage qu'ils retirent à l'utiliser prend le dessus. Facebook l'a bien compris, lui qui s'apprête à lancer un DSP propulsé par Atlas dont on devine déjà la puissance de frappe, nourri par les informations de connexions de plus d'1,5 milliard d'utilisateurs.