« Privacy Sandbox » sur Google Chrome : quelles conséquences pour les utilisateurs ?

Les outils de protections visant à limiter certaines pratique de traçage au sein des navigateurs ont été initiés en 2017 par Apple dans le cadre du navigateur Safari avec l’« Intelligent Tracking Prevention » (ou « prévention intelligente de pistage »), puis sur le navigateur Firefox en 2018. L’un des moyens utilisés par ces navigateurs est de limiter le dépôt de cookies tiers, en bloquant par défaut cette fonctionnalité. Ceux-ci sont en effet au cœur des pratiques les plus intrusives du secteur.

En 2019, en réaction à ces mesures de protection des utilisateurs de la part des navigateurs concurrents, Google a annoncé le lancement de la « Privacy Sandbox » (« bac à sable vie privée »). Ce projet consiste à proposer au sein de Google Chrome (le navigateur le plus utilisé sur le marché) une série de solutions techniques pour préserver les fonctionnalités publicitaires sans avoir recours à des cookies.

L’objectif poursuivit est ainsi de concilier le modèle économique du web reposant en grande partie sur le ciblage publicitaire et protection de la vie privée en promouvant des outils sensés être plus vertueux car moins intrusifs, ce qui n’est pas le cas actuellement avec l’utilisation des cookies tiers.
Ce n’est que lorsque les outils de la « Privacy Sandbox », en cours d’expérimentation, auront fait leurs preuves, que Google prévoit d’interdire l’usage de cookies tiers dans Chrome.

Quel calendrier de déploiement ?

Depuis 2021, différentes fonctionnalités ont été testées dans le cadre des « Origin Trials » de Chrome Beta. À la suite de ces tests, et à partir du 13 mars 2023, certains des utilisateurs de la version standard de Chrome se sont vu proposer d’activer trois nouveaux outils de ciblage et de mesure publicitaire.

Il est prévu que ceux-ci soient activés pour l’ensemble des utilisateurs au troisième trimestre 2023.

Comment fonctionne la Privacy Sandbox ?

La Privacy Sandbox, dans le cadre du navigateur Chrome, est constituée d’un ensemble d’interfaces (API) de Google accessibles par les éditeurs de sites. Ces interfaces permettent notamment aux éditeurs de continuer à proposer de la publicité ciblée en évitant les contraintes techniques qui pourraient émerger avec la fin des cookies tiers.

Google propose par exemple des API permettant :

• de cibler les utilisateurs par cohorte, c’est-à-dire par « groupe » avec des caractéristiques similaires, et non individuellement (FLoC API) ;
• d’analyser leur historique pour en déduire leurs centres d’intérêt (Topics API) ;
• ou encore de relier des actes d’achats à des publicités vues par l’utilisateur (Attribution reporting API).

Ces API, qui sont en constante évolution, reposent sur le même principe : tenter de permettre le ciblage publicitaire en visant à minimiser, à terme, leur intrusivité dans la vie privée des utilisateurs.

Comment savoir si je suis inclus dans l’expérimentation de la Privacy Sandbox ?

Les utilisateurs de Google Chrome inclus dans la phase expérimentale sont choisis aléatoirement et sont informés par un écran spécifique au lancement de leur navigateur leur demandant leur accord pour y participer. Un refus n’aura pas de conséquence sur la navigation.

Il reste possible pour les utilisateurs ayant accepté d’activer ces fonctionnalités de revenir sur leur choix au sein des paramètres de Chrome dans l’onglet « Confidentialité et sécurité » puis « Privacy Sandbox ».

Les cookies tiers sont-ils bloqués si la Privacy Sandbox est activée ?

Dans l’immédiat, l’activation de ces fonctionnalités ne sera pas accompagnée du blocage des cookies tiers dans Chrome. Il s’agira donc de fonctionnalités de ciblage et de mesure supplémentaires, qui pourront être utilisées en parallèle des cookies. Google a en effet repoussé la suppression des cookies tiers dans Chrome au troisième trimestre 2024.

Si les utilisateurs de Chrome souhaitent bénéficier d’un blocage des cookies tiers, il peuvent cependant le faire dans les paramètres de leur navigateur (menu ⁝ en haut à droite de la fenêtre sur Windows), dans l’onglet « Confidentialité et sécurité » puis « Cookies et autres données des sites ».

Cette option existe également sur la version mobile, sous « Paramètres de site » puis « Cookies ».

Quelles obligations pour les éditeurs de site web ?

Selon Google, cette période de transition est l’opportunité pour les sites et leurs partenaires de tester ces nouvelles fonctionnalités, et donc de préparer la transition vers la disparition des cookies tiers.

Même si l’utilisateur active ces fonctionnalités, les éditeurs souhaitant les utiliser doivent toujours respecter certaines obligations légales. En effet, l’usage de celles-ci implique toujours d’accéder à l’équipement de l’utilisateur pour lire des informations déjà stockées ou pour y inscrire de nouvelles informations, les règles sont donc similaires à celles relatives à l’usage de cookies :

• les éditeurs de site devront recueillir le consentement de l’utilisateur, dans des conditions rappelées dans les lignes directrices et la recommandation à ce sujet ;
• ils devront également bien informer les personnes. À titre de bonne pratique, la CNIL recommande aux éditeurs de mettre à jour les fenêtres de recueil du consentement sur leur site web pour indiquer qu’ils utilisent cette nouvelle modalité de traçage (en complément ou en remplacement des cookies).

En définitive, ce n’est que si l’information des personnes et le recueil de leur consentement sont correctement effectués que le recours à la « Privacy Sandbox » permettra des pratiques plus respectueuses de la vie privée.