L'Information Commissioner's Office (ICO) du Royaume-Uni a partagé sa réponse au changement de politique de Google en matière d'empreintes digitales. Pour rappel, Google s'était opposé aux empreintes numériques, mais a décidé de les réintroduire. Ce changement sera effectif à partir du 16 février 2025 et fournira un outil supplémentaire aux annonceurs pour suivre le comportement des utilisateurs sur les sites web.Ces derniers temps, Google a pris des décisions controversées concernant les outils utilisés par les annonceurs. La plus marquante en date est la volt-face de Google concernant son projet de désactiver par défaut le suivi des cookies tiers dans Chrome. C'est en 2020 que Google a annoncé son intention de remplacer ces cookies par des solutions plus respectueuses de la vie privée des utilisateurs sans perturber le modèle publicitaire du web.
L'échéance initiale de 2022 a été repoussée à plusieurs reprises en raison des réactions des annonceurs, des éditeurs et des autorités de régulation. En avril 2024, la suppression progressive a été reportée une nouvelle fois à 2025. Puis en juillet 2024, Google a décidé d'abandonner soudainement son projet de désactiver par défaut le suivi des cookies tiers dans Chrome, permettant aux annonceurs de continuer à pister les utilisateurs de sites en sites.
Le 18 décembre 2024, Google a partagé une nouvelle décision controversée. Le géant a annoncé aux organisations qui utilisent ses produits publicitaires qu'à partir du 16 février 2025, il ne leur interdirait plus d'utiliser des techniques d'empreintes digitales. En réponse à cette décision, l'Information Commissioner's Office (ICO), un régulateur au Royaume-Uni, a délivré son point de vue. Selon l'ICO, les entreprises ne sont pas libres d'utiliser les empreintes digitales comme bon leur semble. Comme toute technologie publicitaire, elle doit être utilisée de manière légale et transparente, et si ce n'est pas le cas, l'ICO interviendra.
Voici l'avis de l'ICO concernant cette décision de Google :
Notre réponse au changement de politique de Google en matière d'empreintes digitales
Hier, Google a annoncé aux organisations qui utilisent ses produits publicitaires qu'à partir du 16 février 2025, il ne leur interdirait plus d'utiliser des techniques d'empreintes digitales. Notre réponse est claire : les entreprises ne sont pas libres d'utiliser les empreintes digitales comme bon leur semble. Comme toute technologie publicitaire, elle doit être utilisée de manière légale et transparente - et si ce n'est pas le cas, l'ICO interviendra.
La prise d'empreintes digitales implique la collecte d'éléments d'information sur le logiciel ou le matériel d'un appareil qui, une fois combinés, permettent d'identifier de manière unique un appareil et un utilisateur particuliers.
L'ICO estime que la collecte d'empreintes digitales n'est pas un moyen équitable de suivre les utilisateurs en ligne, car elle est susceptible de réduire le choix et le contrôle des personnes sur la manière dont leurs informations sont collectées. La modification de la politique de Google signifie que l'empreinte digitale pourrait désormais remplacer les fonctions des cookies tiers.
Nous pensons que ce changement est irresponsable. Google a déjà déclaré que les empreintes digitales ne répondaient pas aux attentes des utilisateurs en matière de protection de la vie privée, car les utilisateurs ne peuvent pas facilement y consentir comme ils le feraient avec des cookies. Cela signifie qu'ils ne peuvent pas contrôler la manière dont leurs informations sont collectées. Pour citer la position de Google sur l'empreinte digitale en 2019 : "Nous pensons que cela subvertit le choix de l'utilisateur et que c'est une erreur".
Nous continuons à dialoguer avec Google sur ce revirement de position et sur l'écart qu'il représente par rapport à ce que nous attendons d'un internet respectueux de la vie privée. Lorsque la nouvelle politique entrera en vigueur le 16 février 2025, les organisations utilisant la technologie publicitaire de Google pourront déployer le fingerprinting sans enfreindre les propres règles de Google. Compte tenu de la position et de l'envergure de Google dans l'écosystème de la publicité en ligne, il s'agit d'une avancée significative.
En attendant, les obligations des entreprises en matière d'empreintes digitales et de protection de la vie privée ne doivent faire aucun doute. La loi sur la protection des données, y compris le règlement sur la protection de la vie privée et les communications électroniques (PECR), s'applique. Les entreprises doivent donner aux utilisateurs des choix équitables quant à la possibilité d'être suivis avant d'utiliser la technologie de prise d'empreintes digitales, y compris en obtenant le consentement de leurs utilisateurs si nécessaire.
Nous avons pris l'initiative de publier aujourd'hui un projet de lignes directrices sur la manière dont la législation relative à la protection des données, y compris le règlement relatif à la protection de la vie privée et des communications électroniques, s'applique aux technologies de stockage et d'accès telles que la prise d'empreintes digitales. Nous lancerons une consultation sur ces orientations le vendredi 20 décembre afin de donner aux organisations l'occasion de nous faire part de leurs réflexions.
Les organisations qui souhaitent déployer des techniques d'empreintes digitales à des fins publicitaires devront démontrer qu'elles se conforment aux exigences de la loi sur la protection des données. Il s'agit notamment d'assurer la transparence auprès des utilisateurs, d'obtenir un consentement librement consenti, de garantir un traitement équitable et de faire respecter les droits à l'information tels que le droit à l'effacement.
D'après ce que nous savons de la manière dont les techniques d'empreintes digitales sont actuellement utilisées pour la publicité, il s'agit là d'une barre très haute à franchir. Les entreprises ne doivent pas considérer le fingerprinting comme une solution simple à la perte des cookies tiers et autres signaux de suivi intersites.
Nos orientations s'inscrivent dans le cadre de la future stratégie de l'ICO visant à donner aux citoyens un contrôle significatif sur la manière dont leurs informations sont utilisées pour leur présenter des publicités personnalisées. Nous donnerons plus de détails sur nos projets dans le courant de l'année prochaine.
Explicatif : Que signifie la prise d'empreintes digitales pour le public ?
Hier, Google a annoncé aux organisations qui utilisent ses produits publicitaires qu'à partir du 16 février 2025, il ne leur interdirait plus d'utiliser des techniques d'empreintes digitales. Notre réponse est claire : les entreprises ne sont pas libres d'utiliser les empreintes digitales comme bon leur semble. Comme toute technologie publicitaire, elle doit être utilisée de manière légale et transparente - et si ce n'est pas le cas, l'ICO interviendra.
La prise d'empreintes digitales implique la collecte d'éléments d'information sur le logiciel ou le matériel d'un appareil qui, une fois combinés, permettent d'identifier de manière unique un appareil et un utilisateur particuliers.
L'ICO estime que la collecte d'empreintes digitales n'est pas un moyen équitable de suivre les utilisateurs en ligne, car elle est susceptible de réduire le choix et le contrôle des personnes sur la manière dont leurs informations sont collectées. La modification de la politique de Google signifie que l'empreinte digitale pourrait désormais remplacer les fonctions des cookies tiers.
Nous pensons que ce changement est irresponsable. Google a déjà déclaré que les empreintes digitales ne répondaient pas aux attentes des utilisateurs en matière de protection de la vie privée, car les utilisateurs ne peuvent pas facilement y consentir comme ils le feraient avec des cookies. Cela signifie qu'ils ne peuvent pas contrôler la manière dont leurs informations sont collectées. Pour citer la position de Google sur l'empreinte digitale en 2019 : "Nous pensons que cela subvertit le choix de l'utilisateur et que c'est une erreur".
Nous continuons à dialoguer avec Google sur ce revirement de position et sur l'écart qu'il représente par rapport à ce que nous attendons d'un internet respectueux de la vie privée. Lorsque la nouvelle politique entrera en vigueur le 16 février 2025, les organisations utilisant la technologie publicitaire de Google pourront déployer le fingerprinting sans enfreindre les propres règles de Google. Compte tenu de la position et de l'envergure de Google dans l'écosystème de la publicité en ligne, il s'agit d'une avancée significative.
En attendant, les obligations des entreprises en matière d'empreintes digitales et de protection de la vie privée ne doivent faire aucun doute. La loi sur la protection des données, y compris le règlement sur la protection de la vie privée et les communications électroniques (PECR), s'applique. Les entreprises doivent donner aux utilisateurs des choix équitables quant à la possibilité d'être suivis avant d'utiliser la technologie de prise d'empreintes digitales, y compris en obtenant le consentement de leurs utilisateurs si nécessaire.
Nous avons pris l'initiative de publier aujourd'hui un projet de lignes directrices sur la manière dont la législation relative à la protection des données, y compris le règlement relatif à la protection de la vie privée et des communications électroniques, s'applique aux technologies de stockage et d'accès telles que la prise d'empreintes digitales. Nous lancerons une consultation sur ces orientations le vendredi 20 décembre afin de donner aux organisations l'occasion de nous faire part de leurs réflexions.
Les organisations qui souhaitent déployer des techniques d'empreintes digitales à des fins publicitaires devront démontrer qu'elles se conforment aux exigences de la loi sur la protection des données. Il s'agit notamment d'assurer la transparence auprès des utilisateurs, d'obtenir un consentement librement consenti, de garantir un traitement équitable et de faire respecter les droits à l'information tels que le droit à l'effacement.
D'après ce que nous savons de la manière dont les techniques d'empreintes digitales sont actuellement utilisées pour la publicité, il s'agit là d'une barre très haute à franchir. Les entreprises ne doivent pas considérer le fingerprinting comme une solution simple à la perte des cookies tiers et autres signaux de suivi intersites.
Nos orientations s'inscrivent dans le cadre de la future stratégie de l'ICO visant à donner aux citoyens un contrôle significatif sur la manière dont leurs informations sont utilisées pour leur présenter des publicités personnalisées. Nous donnerons plus de détails sur nos projets dans le courant de l'année prochaine.
Explicatif : Que signifie la prise d'empreintes digitales pour le public ?
- Les contrôles de la protection de la vie privée s'appuient sur des technologies existantes. Lorsque vous choisissez une option sur une bannière de consentement ou que vous effacez toutes les données du site dans votre navigateur, vous contrôlez généralement l'utilisation de cookies et d'autres formes traditionnelles de stockage local.
- Les empreintes digitales, en revanche, s'appuient sur des signaux que vous ne pouvez pas facilement effacer. Ainsi, même si vous « effacez toutes les données du site », l'organisation qui utilise les techniques d'empreintes digitales pourrait immédiatement vous identifier à nouveau. Cela n'est pas transparent et ne peut pas être facilement contrôlé.
- L'empreinte digitale est plus difficile à bloquer pour les navigateurs et, par conséquent, même les utilisateurs soucieux de leur vie privée auront du mal à y mettre un terme.
Le W3C espérait que Google revienne sur sa décision et poursuive la suppression des cookies tiers. Cette nouvelle décision de Google de réintroduire des empreintes numériques pourrait provoquer d'autres réactions des autorités de surveillance et des organismes soucieuses de la vie privée des utilisateurs.
Source : Information Commissioner's Office (ICO) du Royaume-Uni
Et vous ?
Pensez-vous que la réponse de l'ICO est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
Google fait volte-face et réintroduit les empreintes numériques pour permettre aux annonceurs de tracer les utilisateurs, un choix critiqué par l'autorité britannique de régulation des données personnelles Les États-Unis affirment que Google est un monopole dans le domaine de la publicité dans leurs plaidoiries finales, accusant Google d'avoir truqué les règles pour exercer un contrôle excessif sur le marché Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute, même s'il se sert de plusieurs navigateurs