L'empreinte digitale de votre appareil sera utilisée par les annonceurs à partir de février 2025

Google revient sur sa décision d'empêcher les annonceurs de collecter des données utilisateur en dehors du domaine des cookies, dans ce qui est techniquement décrit comme le « fingerprinting » - et le Bureau du Commissaire à l'information du Royaume-Uni n'est pas très heureux de ce changement.

« Hier, Google a annoncé aux organisations qui utilisent ses produits publicitaires qu'à partir du 16 février 2025, il ne leur interdira plus d'utiliser des techniques d'empreintes digitales », peut-on lire dans le premier paragraphe d'un billet de blog publié le 19 décembre par Stephen Almond, directeur exécutif du risque réglementaire de l'ICO.

« Notre réponse est claire : les entreprises ne sont pas libres d'utiliser les empreintes digitales comme bon leur semble. Comme toute technologie publicitaire, elle doit être déployée de manière légale et transparente - et si ce n'est pas le cas, l'ICO interviendra », a déclaré M. Almond.

Qu'est-ce que le fingerprinting ?

Comme nous l'expliquons dans notre petit guide sur les empreintes numériques, à la différence des cookies, les empreintes digitales des appareils sont un ensemble de signaux générés par votre activité en ligne, associés aux spécifications et aux paramètres de votre appareil. Ces balises comprennent

• l'adresse IP
• Type et version du système d'exploitation
• Type et version du navigateur
• la résolution de l'écran
• le réglage de la langue
• Fuseau horaire

...(etc)

Contrairement aux cookies des navigateurs, qui sont stockés localement et peuvent être facilement gérés par l'utilisateur en fonction de ses préférences, les empreintes digitales des appareils sont directement transmises à ceux qui vous fournissent votre musique, vos vidéos et vos publicités en ligne.

Et contrairement aux cookies, les empreintes digitales ne peuvent pas être facilement effacées et il n'est pas non plus évident de savoir qu'elles sont collectées.

Comme le souligne l'ICO, les empreintes digitales « reposent sur des signaux que vous ne pouvez pas facilement effacer. Ainsi, même si vous « effacez toutes les données du site », l'organisation qui utilise les techniques d'empreintes digitales pourrait immédiatement vous identifier à nouveau ».

Un revirement de Google

La position de Google sur les empreintes digitales en 2019 était très différente. Le géant du web avait alors ouvertement déclaré : « Nous pensons que cela subvertit le choix de l'utilisateur et que c'est une erreur ».

À partir de février 2025, Google pense qu'il est temps de desserrer ces chaînes, citant les progrès des technologies d'amélioration de la vie privée (appelées PET) qui lui permettent de le faire dans l'intérêt de tous.

Selon Google, les technologies renforçant la protection de la vie privée « offrent aux marques de nouveaux moyens de gérer et d'activer leurs données en toute sécurité [et] donnent aux gens les garanties de protection de la vie privée qu'ils attendent ».

L'ICO, logiquement sur ses gardes, interpelle le géant technologique sur sa volte-face en matière de collecte de données.

« Nous pensons que ce changement est irresponsable », déclare M. Almond.

« Google a déjà déclaré que la collecte d'empreintes digitales ne répondait pas aux attentes des utilisateurs en matière de protection de la vie privée, car ces derniers ne peuvent pas y consentir facilement comme ils le feraient avec des cookies. Cela signifie qu'ils ne peuvent pas contrôler la manière dont leurs informations sont collectées. [...]

« Nous continuons à dialoguer avec Google sur ce revirement de position et sur l'écart qu'il représente par rapport à ce que nous attendons d'un internet respectueux de la vie privée. Lorsque la nouvelle politique entrera en vigueur le 16 février 2025, les organisations utilisant la technologie publicitaire de Google pourront déployer le système d'empreintes digitales sans enfreindre les propres règles de Google. Compte tenu de la position et de l'envergure de Google dans l'écosystème de la publicité en ligne, il s'agit là d'une avancée significative ».

L'organisme britannique de protection de la vie privée avertit également les entreprises qui cherchent à tirer parti de cette évolution que « les techniques d'empreintes digitales utilisées dans la publicité devront démontrer qu'elles respectent les exigences de la législation sur la protection des données. Il s'agit notamment d'assurer la transparence auprès des utilisateurs, d'obtenir un consentement librement consenti, de garantir un traitement équitable et de faire respecter les droits à l'information tels que le droit à l'effacement », souligne M. Almond.

Les autres géants de la technologie reconnaissent le problème

En 2023, Apple prévoyait que les empreintes digitales ne disparaîtraient pas de sitôt. Le fabricant de l'iPhone a annoncé à l'époque de nouvelles exigences pour les développeurs d'applications désireux d'utiliser les empreintes digitales, précisant que pour éviter toute utilisation abusive de la technologie, « les développeurs devront déclarer les raisons pour lesquelles ils l'utilisent dans le manifeste de confidentialité de leur application ».

Les créateurs d'applications qui font affaire avec Apple ont été informés à l'époque qu'ils ne pouvaient plus collecter des données d'utilisateurs à tort et à travers, et que le colosse de la technologie savait parfaitement comment l'empreinte digitale pouvait être « utilisée à mauvais escient pour collecter des données sur les appareils des utilisateurs ».