Comment la mort tragique de Do Not Track a ruiné le Web pour tout le monde Commander sur Amazon -50%


Promotion -50% sur Amazon

Il y a une dizaine d'années, bien avant les controverses actuelles sur l'utilisation des données par les grandes entreprises, beaucoup de gens étaient déjà furieux face aux réseaux publicitaires qui suivaient leur activité sur plusieurs sites afin de cibler encore plus précisément les messages marketing. Une fonctionnalité appelée Ne pas suivre est apparue comme un moyen simple et compréhensible pour les utilisateurs de navigateurs de récupérer leur vie privée. Pour désactiver le suivi, cochez une case dans les paramètres de votre navigateur.

Cela n’a pas été exclu de la publicité, mais uniquement de la technologie utilisée pour cibler les annonces. Si l'option Ne pas suivre est cochée, aucun serveur Web ou code incorporé n'associerait votre comportement sur un site donné à des actions ailleurs sur le Web. C'était une bonne idée.

Et maintenant, c’est mort.

Oh, à toutes fins pratiques, DNT est mort il y a des années. Mais la suppression par Apple de la préférence Ne pas suivre de Safari pour Mac et iOS dans une mise à jour début février annonçait officiellement la fin de ce qui aurait pu être une entente viable entre les consommateurs et les annonceurs qui comptent sur les réseaux ad-tech pour les cibler.

La décision d’Apple fait suite à la dissolution d’un projet du World Wide Web Consortium (W3C), le groupe de travail sur la protection contre le suivi, qui a été fermé huit ans plus tard le 17 janvier. Les notes de publication de Safari 12.1 intitulée Ne pas suivre une norme «expirée» sont désormais disponibles. tristement précis.

En octobre 2018, sur sa liste de diffusion publique, le groupe W3C a expliqué comment décrire l’échec de Ne pas suivre dans la préface de son travail final. Après quelques échanges, le groupe s’est mis d’accord sur le libellé suivant:

… Le déploiement de ces extensions (telles que définies) n'a pas été suffisant pour justifier de futurs progrès, et aucun support prévu n'a été signalé, entre les agents utilisateurs, les tiers et l'écosystème en général.

Les participants du groupe, qui comprenaient des représentants de groupes professionnels du secteur de la publicité, de grands annonceurs et de plates-formes de diffusion d’annonces, ainsi que de groupes de défense de la vie privée, de gouvernements et de fabricants de navigateurs, se sont montrés très artisans. Après une série de travaux de 2011 à 2013, le groupe ne s’était pas rencontré face à face depuis 2013, d’après ses notes.

L’existence du groupe de travail impliquait jadis que l’industrie de la publicité s’acheminait activement vers un consensus sur l’autoréglementation en matière de vie privée en ligne. Mais DNT s'est avéré être une feuille de vigne utile, pas une solution. «Le meilleur moyen de saboter un processus consiste à y participer de tout cœur», déclare Alan Toner, conseiller spécial sur la confidentialité et la protection des données à Electronic Frontier Foundation (EFF), qui représente son organisation au W3C.

Ironiquement, Apple m'a dit via un porte-parole qu'elle avait supprimé Do Not Track après la fermeture du groupe du W3C, car, si elle était activée, elle pourrait aider les réseaux publicitaires à «prendre l'empreinte» d'un navigateur, technique utilisée par les systèmes de suivi pour combattre les bloqueurs de publicité en identifiant caractéristiques uniques dans la configuration du navigateur d'un utilisateur.

Cela aurait pu être si différent.

Confidentialité en un clic

Do Not Track est le résultat du succès apparent du registre national des numéros de téléphone exclus de la Commission fédérale du commerce, entré en vigueur en 2003. Il permettait aux consommateurs d’enregistrer leurs numéros de téléphone car ils étaient peu accueillants pour les sollicitations commerciales. Les entreprises qui téléphonent à des personnes autres que les clients doivent éliminer ces numéros des bases de données sur les appels. (Ne pas appeler était finalement un échec, car il empêchait seulement des parties scrupuleuses d'appeler, pas celles qui ignoraient allègrement la loi ou se livraient à des escroqueries.)

Initialement, Do Not Track devait constituer un type de registre central similaire. Mais en 2009, Chris Soghoian et Sid Stamm, défenseurs de la vie privée, ont mis en œuvre l'idée sous la forme d'un simple plug-in Firefox. Le plug-in ajouterait un en-tête Ne pas suivre aux métadonnées qu'un navigateur envoie à un serveur lors de l'établissement d'une connexion. Si un utilisateur avait activé Ne pas suivre, la valeur de l'en-tête serait «1». sinon, "0". C'était aussi simple que cela. D'un point de vue technique, peu importait qu'aucun serveur ne sache interpréter cet en-tête à l'époque et l'ignorait donc; les détails de la politique pourraient être élaborés plus tard.

Comme on le voit dans Firefox, Ne pas suivre était censé être une décision simple en un clic.

Cette idée simple a pris feu et, en l'espace de deux ans, tous les principaux navigateurs ont ajouté une option leur permettant d'exprimer une préférence. Stamm, maintenant professeur agrégé à l'institut de technologie Rose-Hulman, déclare que l'en-tête était «un moyen de crier:« Hé, je n'aime pas ça! ».» Il a développé le plug-in avec Soghoian car «les gens étaient vraiment ignorant combien de données ont été collectées à leur sujet. "

Stamm et Soghoian, qui est maintenant conseiller en matière de protection de la vie privée et de cybersécurité auprès du sénateur américain Ron Wyden (D-OR), faisaient partie d’un groupe de défenseurs de la vie privée et d’ingénieurs en sécurité qui plaidaient en faveur de DNT. En 2011, la FTC semblait prête à recommander à DNT de passer d'une fonction de navigateur naissante à une exigence réglementaire. Le W3C a ouvert un groupe de travail pour étudier comment transformer le DNT en un standard pleinement reconnu définissant les modalités de son implémentation.

Arvind Narayanan, maintenant professeur agrégé à Princeton et faisant partie de ce groupe qui formait déjà le DNT, a déclaré dans un communiqué par courrier électronique que la perspective d'une législation fédérale avait amené les acteurs de la publicité à la table. Mais lorsque cette législation ne s’est pas concrétisée, «les négociations prolongées se sont en fait révélées utiles pour que l’industrie crée l’illusion d’un processus d’autorégulation volontaire, en anticipant apparemment le besoin de réglementation».

Le moment est passé. Les acteurs du secteur de la publicité, qu’il s’agisse de réseaux sociaux ou de sociétés spécialisées dans les technologies de l’annonce, n’ont guère intérêt à poursuivre le DNT s’ils peuvent l’éviter. Les éditeurs n’ont pas demandé la technologie pour protéger les visiteurs de leurs sites; les annonceurs n’ont pas agi comme si cela les concernait directement.

L'une des clés en main était la question de savoir si Do Not Track était vraiment une déviation binaire. En tant qu'interrupteur à deux positions, il était allumé ou éteint. Mais si un utilisateur n’avait pas examiné la question – ou ne savait même pas que DNT existait – un troisième État existait: pas encore décidé. Si un utilisateur n'avait pas choisi d'activer DNT, les navigateurs l'avaient laissé désactivé ou n'envoyaient pas les informations DNT d'une manière ou d'une autre aux sites Web.

La décision de Microsoft d'activer Do No Track par défaut dans Internet Explorer n'a pas aidé l'acceptation de cette fonctionnalité par les agences de publicité.

Microsoft a cassé le modèle. En 2012, la société a choisi de prérégler le statut Ne pas suivre dans Internet Explorer sans demander à un utilisateur de choisir ou de confirmer ce choix. Bien que le déménagement ait été l'option par défaut la plus respectueuse de la vie privée, il a également mis à mal l'hégémonie publicitaire de Google, ce que Microsoft n'aurait pas considéré comme une mauvaise chose.

Les entreprises qui faisaient partie de l'économie de la publicité avaient déjà des raisons de se méfier de DNT; une DNT qui empêchait les utilisateurs d'être suivis sans leur consentement explicite ressemblait à une menace existentielle. «Do Not Track a commencé avec une jambe coupée au moment où Microsoft l'a utilisé comme outil marketing, en l'activant par défaut», explique Dan Jaye, un vétéran de la publicité en ligne, récemment fondateur de aqfer.

Sam Tingleff, directeur technique du laboratoire technique du bureau de la publicité interactive, explique également pourquoi les acteurs de l'industrie de la publicité ont contesté DNT: De leur point de vue, il était aussi simple. Un utilisateur ne pouvait l'activer ou le désactiver que pour l'ensemble du navigateur, sans options de liste blanche ou de liste noire par site, ce sur quoi le groupe W3C travaillait.

L’absence d’action législative ou réglementaire, les erreurs de DNT de Microsoft (que la société a inversées – trop tard – en 2015) et le mouvement bloqué du W3C ont laissé la case à cocher DNT en place, mais sans aucun pouvoir. Narayanan dit qu'il était clair pour lui que Do Not Track avait échoué en 2013. Le cadavre n'a que récemment cessé de frapper. Ne pas suivre est décédé avant que les consommateurs aient eu le goût de se faire dépister.

La course aux armements bloquant les publicités

En l’absence de capacité des consommateurs à exprimer une préférence et en l’absence de réglementation américaine en matière de suivi, qu’attendait l’industrie de la publicité? Ce n'est pas clair.

Même lorsque DNT se frayait un chemin dans les navigateurs, le suivi et la publicité devenaient ridicules. Certains sites de contenu grand public, tels que ceux affiliés à des journaux, peuvent comporter 70 à 100 éléments individuels de code JavaScript ou d'images de suivi téléchargés à distance, ce qui gonfle une page de texte relativement simple en plusieurs mégaoctets tout en amenant les navigateurs à une analyse à mesure qu'ils exécutent tout ce code.

Les consommateurs ne peuvent pas lire les procès-verbaux des réunions des groupes de travail du W3C ni étudier les détails du code de page Web sous-jacent, mais ils remarquent des choses comme l’achat d’une souffleuse à feuilles ou la lecture de recommandations à ce sujet, puis laissent les publicités les suivre sur Internet pendant des semaines. . Ils peuvent également savoir si le chargement d’un site Web prend une éternité. Sans connaître les détails, les utilisateurs sont généralement conscients qu’ils sont suivis sans consentement explicite et que cela gâche leur expérience sur Internet.

Cela a conduit inexorablement à la montée des bloqueurs de publicités. Les bloqueurs de publicité empêchent ou dissuadent une partie de ce code de suivi de se charger, ce qui réduit le nombre de navigations et la vitesse des navigateurs tout en minimisant les possibilités de suivi des utilisateurs.

Dans son rapport de 2017, couvrant l'année précédente, PageFair a révélé que 11% des internautes dans le monde utilisent un bloqueur de publicité et que leur utilisation a augmenté de 30% d'une année à l'autre. (L'un des plus populaires, AdBlock Plus, est controversé, car il permet aux grands annonceurs de payer pour contourner son filtre avec des annonces qui répondent à certains critères.)

Bien que le secteur de la publicité subisse une perte de revenus avec les bloqueurs de publicité, certaines personnes profondément ancrées dans l’industrie ne blâment pas l’utilisateur. Jaye d’Aqfer a déclaré: «L’adoption de ce principe concerne en grande partie l’expérience utilisateur médiocre», et dit que l’industrie de la publicité a créé ce problème pour elle-même. "Nous pensons que la plupart des utilisateurs qui choisissent les bloqueurs de publicité le font pour améliorer leur expérience utilisateur – un objectif que nous soutenons pleinement", fait écho à Tingleff de IAB Tech Lab.

Face à l'augmentation du nombre de bloqueurs, certains réseaux publicitaires ont commencé à examiner toutes les caractéristiques d'un navigateur et les résultats de l'exécution de JavaScript en mode silencieux sur la machine d'un utilisateur pour créer une empreinte composite pouvant identifier avec un degré de confiance variable un navigateur, et donc un utilisateur. uniquement. Vous pouvez avoir une idée de cela dans le projet de recherche Am I Unique ?, qui examine votre navigateur et vous indique à quel point il est vulnérable à ce type de suivi.

Jaye a déclaré avoir été obligé d'installer AdBlock Plus en 2018, non pour désactiver les publicités ou le suivi, mais pour éviter les blocages dans son navigateur Chrome. Il a déclaré avoir déterminé qu'un grand nombre de sites Web visités reposaient sur une fonction JavaScript obscure indiquant l'état du gyroscope de son ordinateur portable Lenovo: informations utiles pour la prise d'empreintes digitales, mais pas pour les fonctionnalités du site. Un bug dans la manière dont Lenovo a autorisé les navigateurs à accéder à ces données dans son modèle d’ordinateur portable a provoqué le crash.

C’est dans cet environnement que Apple a identifié Do Not Track comme un problème potentiel d’empreintes digitales. Seul un sous-ensemble d'utilisateurs Safari a activé la fonction Ne pas suivre, ce qui signifie que ces utilisateurs peuvent être différenciés de la grande majorité de ceux qui ne l'ont pas fait. Comme le dit Apple dans une déclaration, «l'empreinte digitale tente d'identifier un périphérique uniquement en fonction de sa combinaison de paramètres détectables. Du fait que Do Not Track était un paramètre optionnel visible pour les sites Web, il pourrait potentiellement être utilisé en tant que variable d’empreinte digitale. ”

Comme Narayanan noté dans une série de tweets, ces informations augmentent la capacité d’un réseau de suivi d’identifier un navigateur de manière unique, et ce, seulement de manière limitée. Mais il suffisait qu'Apple désactive DNT.

Apple a de plus en plus intégré des méthodes anti-suivi dans les versions successives d'iOS et de MacOS sous la rubrique Protection intelligente (ITP), contrecarrant les tentatives des réseaux publicitaires de suivre les déplacements des utilisateurs sur le Web. Mozilla a suivi avec son navigateur Firefox et Enhanced Tracking Protection. Google Chrome – eh bien, Google a poursuivi une direction différente qui correspond à son modèle commercial basé sur les annonces.

Tout le monde perd

Les perdants de cette course aux armements sont les éditeurs et leur public potentiel. Plus les gens se tournent vers le dernier recours, le blocage des publicités, moins les revenus sont générés par les sites qui en dépendent. Lorsque les sites licencient du personnel ou sont fermés, les lecteurs et les téléspectateurs souffrent d'un manque de variété et d'une baisse du journalisme d'investigation. Certains éditeurs bloquent les lecteurs qui ont installé des bloqueurs de publicités et diffusent des messages allant de polis à accusateurs. (Certains bloqueurs de publicité utilisent la technologie anti-anti-blocage des publicités pour tromper les bloqueurs de publicité, etc.).

Les annonces ciblées ne représentent que quelques points de pourcentage de toutes les dépenses publicitaires. Jaye dit qu'ils sont beaucoup plus puissants que ceux qui ne sont pas ciblés, générant peut-être une différence de revenu dix fois plus grande. Il fait valoir que le fait de ne pas fournir de contrôle de suivi aux utilisateurs réduit la diversité du contenu financé par la publicité sur Internet, en raison de l'hégémonie des revenus de quelques sites, principalement Google, Facebook et Amazon, qui sont beaucoup moins dépendants. réseaux publicitaires tiers et interactions intersites pour diffuser des annonces ciblées.

Cependant, il est compréhensible qu’un nombre croissant d’internautes recourent à des moyens techniques pour empêcher le suivi, qui semble présenter peu d’avantages pour le site qu’ils visitent. «Vous devriez pouvoir faire du ciblage sans faire de suivi», déclare le Toner de l’Eff. L’industrie a déployé tant d’efforts dans la mise en place de systèmes ciblés basés sur le suivi qu’elle n’a pas passé beaucoup de temps à examiner d’autres approches, at-il ajouté.

Jaye promeut la notion de choix en renvoyant la propriété des données entre les mains des utilisateurs et en s'appuyant sur des techniques mathématiques avancées qui utilisent des preuves cryptographiques pour montrer qu'une annonce a été livrée à la bonne cible démographique sans qu'il soit nécessaire de taguer et de suivre la personne en question sur plusieurs sites. . Plus généralement, il serait plus sain pour le marketing d'impliquer moins d'intermédiaires technologiques, en demandant: «Comment pouvons-nous redonner le dialogue au consommateur et à l'annonceur directement?

Stamm, le co-créateur du plugin DNT original pour Firefox, dit que la situation actuelle est dommage, car l’échec de l’industrie de la publicité à s’engager pour Ne pas suivre a signifié une bataille qu’il n’était pas nécessaire de mener. «Cela aurait pu être tellement mieux si les gens venaient juste d'avoir des conversations avec les consommateurs et d'écouter avec eux ce qu'ils veulent», a-t-il déclaré.

Tingleff du IAB Tech Lab exprime un espoir: «Une approche collaborative – navigateurs et systèmes d'exploitation mobiles collaborant avec le secteur des médias – visant à améliorer l'expérience des utilisateurs contribuerait grandement à garantir un accès libre et continu au contenu et aux services qui rendent Internet ouvert. et utile. "

L'échec de Do Not Track a eu un résultat. Cela a conduit à l’imposition d’une réglementation plus sévère que prévu, du fait que les acteurs de l’industrie n’ont pas trouvé de terrain d’entente. Le règlement général sur la protection des données entré en vigueur dans l’Union européenne en mai 2018 n’était pas conçu en réponse à l’échec de DNT, mais reposait sur le principe que trop de sites suivent les utilisateurs sans consentement ni divulgation.

Avec des sanctions importantes, les dispositions relatives à la divulgation et à l’adhésion du GDPR renforcent la protection. L’autorité française chargée de la protection des données a infligé une amende de 50 millions d’euros à Google pour «manque de transparence, informations inadéquates et manque de consentement valable concernant la personnalisation des annonces» en janvier. Toner dit que nous ne sommes «qu’au début», car le GDPR offre de nombreuses possibilités aux citoyens et aux groupes de défense des droits de porter plainte, dont beaucoup sont en cours contre Amazon, Apple, LinkedIn, Facebook et Google.

À la suite du GDPR, la Californie a adopté un projet de loi moins exhaustif sur la protection de la vie privée qui concerne l’une des plus grandes économies du monde, mais la loi a également une certaine force derrière sa réglementation. Il entrera en vigueur en 2020. Au niveau fédéral, les législateurs et les régulateurs américains ont envisagé des lois qui préempteraient les règles de confidentialité et de divulgation de la Californie, certaines les affaiblissant et d'autres se rapprochant du RGP.

Le sénateur Wyden a fait circuler un projet de loi en novembre 2018, la Loi sur la protection des données des consommateurs, qui exigerait quelque chose de proche du registre original Ne pas suivre. Il interdirait aux entreprises de refuser des services à ceux qui refusent le suivi et leur demanderait de leur proposer des versions payantes qui ne pourraient pas facturer plus que le manque à gagner.

Le gouvernement aura son mot à dire, mais le marché aussi. Les publicités ayant généré un retour sur investissement moindre, de nombreux éditeurs ont modifié leur stratégie de revenus en érigeant des murs de paiement et en incitant les consommateurs à payer pour avoir accès à un contenu de qualité. Cela a été efficace pour certains.

Do Not Track a tenté d’offrir un moyen simple de surmonter une situation épineuse et d’éviter une bataille, en laissant les utilisateurs exprimer clairement leur intention afin que les annonceurs puissent l’honorer. Lorsque la noble idée s'est effondrée dans le monde réel, les réseaux d'annonces ont cédé le terrain aux régulateurs (pour déclarer quel type de suivi était légal) et à la technologie de blocage des annonces (qui écrase tout ce qu'il voit). Face à un public de plus en plus sceptique, les annonceurs et les éditeurs ont de nombreuses motivations pour trouver une voie différente qui respecte la vie privée.

Promotion -50% sur Amazon