Pourquoi Google FLoC est problématique pour la sécurité des utilisateurs du web
Publié le 28 avril 2021
Sources : https://www.eff.org/fr/deeplinks/2021/03/googles-floc-terrible-idea & https://plausible.io/blog/google-floc
Google mène la charge pour remplacer les cookies tiers au profit d’une nouvelle série de technologies permettant de proposer un meilleur ciblage tout en préservant la vie privée des utilisateurs. Parmi elles, se trouve une technologie nommée FLoC, qui renforce à nouveau le pouvoir des GAFAM et renforce le fingerprinting. Découvrons ensemble en quoi cette solution consiste et pourquoi elle est problématique.
Le Federated Learning of Cohorts ou l'apprentissage fédéré des cohortes (FLoC) est une solution proposée par Google qui permet aux entreprises de réaliser un ciblage publicitaire ou comportemental sans cookie, sans consentement et avec un respect du RGPD discutable.
Au lieu de suivre les individus sur le web à l'aide d'outils tels que Google Analytics qui reposent sur les cookies tiers, c’est le navigateur Chrome lui-même qui va observer le comportement de tous les internautes et qui va les classer dans des cohortes aux intérêts, habitudes et comportements similaires, pour ensuite les cibler avec des publicités personnalisées. Selon Google, chaque cohorte devrait regrouper au minimum quelques milliers d'utilisateurs.
Google teste FLoC depuis la sortie de la version 89 de son navigateur aux États-Unis, au Canada, en Australie, au Brésil, au Japon et dans plusieurs autres pays. Le géant américain prévoit de l'activer pour tous les utilisateurs d’ici la fin de l’année.
Avec cette technologie, le navigateur de chaque utilisateur partagera avec les sites web et les annonceurs des identifiants de cohortes, indiquant à quels groupes d’internautes il ou elle appartient. En résumé, vos identifiants de cohortes seront comme un résumé succinct de votre activité récente sur le Web et cette activité de navigation sera réduite à une étiquette comportementale envoyée aux sites et annonceurs.
De l’autre côté, les sites et régies publicitaires communiquent avec l’API du système de cohortes et délivrent des publicités ciblées non plus individuellement, mais à des groupes d'utilisateurs relativement similaires. Cette API démocratise l'accès à certaines informations relatives à l'historique de navigation d'une personne (et donc à ses intérêts généraux) pour tout site qui en fait la demande. Les sites qui connaissent les données personnelles d'une personne (par exemple, lorsqu’une personne se connecte en utilisant son adresse email) pourraient enregistrer et révéler leur cohorte. Cela signifie que les informations sur les intérêts d'une personne peuvent éventuellement devenir publiques, par exemple suite à une fuite de données comme celle qui a récemment touché 533 millions d’utilisateurs de Facebook. Pour que FLoC soit utile aux annonceurs, la cohorte d'un utilisateur révélera forcément des informations sur son comportement et sans surprise, cela créera des risques concernant la protection de la vie privée.
Les cohortes FLoC ne devraient pas fonctionner comme des identifiants en soi sauf que toute entreprise capable d'identifier un utilisateur - par exemple, en offrant des services de "connexion avec Google" - sera en mesure de relier les informations obtenues par FLoC au profil de l'utilisateur.
Deux catégories d'informations peuvent être exposées de cette manière :
- Des informations spécifiques sur l'historique de navigation. Les traqueurs peuvent être en mesure de déterminer que tout utilisateur appartenant à une cohorte spécifique a probablement ou certainement visité des sites spécifiques (si en recoupant nos données avec celles d'autres sources et sachant que Pierre, Paul et 100 autres utilisateurs ont visité le site A et font partie de la cohorte B, on peut statistiquement inférer que Martin a très probablement aussi visité ce site).
- Des informations générales sur les données démographiques ou les centres d’intérêts.
Tous les sites que vous visitez sauront quel type de personne vous êtes au premier contact, sans avoir à vous suivre à travers le web. De plus, comme votre cohorte FLoC sera mise à jour au fil du temps, les sites qui peuvent vous identifier par d'autres moyens seront également en mesure de suivre l'évolution de votre navigation.
L'objectif affiché de FLoC est d'éviter de laisser des traqueurs accéder à des informations spécifiques liées à des personnes spécifiques, sauf que FLoC peut en réalité aider les traqueurs dans d’autres contextes. Même si Google est en mesure d'itérer sur sa conception, l'objectif principal du FLoC est en contradiction avec les libertés civiles. Les préjudices de la publicité ciblée ne se limitent pas aux violations de la vie privée, la publicité ciblée a aussi le pouvoir de discriminer.
Par définition, les publicités ciblées permettent aux annonceurs d'atteindre certains types de personnes tout en en excluant d'autres. Au fil des ans, le mécanisme de la publicité ciblée a souvent été utilisé à des fins d'exploitation, de discrimination ou de manipulation.
FLoC utilise un algorithme non supervisé pour créer ses cohortes. Cela signifie que personne n'aura un contrôle direct sur la façon dont les gens seront regroupés. Idéalement, pour les annonceurs, FLoC créera des groupes ayant en commun des comportements et des intérêts significatifs. Mais le comportement en ligne est lié à toutes sortes de caractéristiques sensibles - des données démographiques telles que le genre, l'origine ethnique, l'âge et le revenu, des traits de personnalité et même la santé mentale. Il est fort probable que FLoC regroupera également les utilisateurs selon certains de ces axes.
Avec un système d'opt-in pour les annonceurs, et d’opt-out pour les utilisateurs, Google se vante d’une transparence et d’un contrôle fait directement par l'utilisateur, tout en sachant pertinemment que la grande majorité de ses utilisateurs ne comprendront pas le fonctionnement du FLoC, voire n’auront pas conscience de son existence, et que très peu d'entre eux feront l'effort de le désactiver.
Chez Les-Tilleuls.coop, nous rejetons catégoriquement cette technologie. Le web devrait avant tout être au service des utilisateurs, et non à celui des publicitaires ou de la surveillance de masse.
N'utilisez pas Google Chrome. Utilisez Firefox et installez l'extension uBlock Origin qui bloque toutes les publicités et trackers. Dans les paramètres de Firefox, section "Vie privée et sécurité", activez le mode "Strict". Si vous aimez utiliser Google Chrome, il est possible de désactiver le FLoC. Cela signifie que Google vous placera dans une cohorte aléatoire au lieu d'une cohorte précise.
Google a aussi annoncé une option dans les paramètres de Chrome pour refuser FLoC :
- Déconnectez-vous de votre compte Google et désactivez la synchronisation des données d'historique avec Chrome.
- Bloquez les cookies tiers ou naviguez en mode privé.
- Désactivez les options suivantes dans les contrôles d'activité : "Activité sur le Web et les applications", “Inclure l'historique Chrome et l'activité liée aux sites, aux applications et aux appareils qui utilisent les services Google".
- Décochez l’option de personnalisation dans les paramètres de Google Ads. Vous pouvez aussi consulter et contrôler cette personnalisation ici.
L'EFF a aussi lancé début avril Am I FLoCed, un site permettant de savoir si votre navigateur fait partie d’une cohorte.
Vous pouvez déclarer à Google que votre site ne souhaite pas être inclus dans la liste des sites pour le calcul de la cohorte. Si vous ne déclarez rien, cela sera activé uniquement si le site affiche des publicités ciblées ou utilise l'API JavaScript de FLoC.
Pour le désactiver sur votre site, définissez l’en-tête HTTP suivante :
Plusieurs outils ou technologies sont déjà en train de mettre en place cet en-tête sur leurs sites parmi lesquels :
Et vous, que pensez-vous de cette initiative de Google ? Connaissez-vous d'autres projets qui ont mis en place l'en-tête empêchant d'être inclus dans ces listes ? Dites-le nous !