Alors que la fin des cookies tiers dans Chrome se rapproche doucement, après avoir été repoussée de nombreuses fois, Google doit affronter une plainte déposée par l'association Noyb devant l'autorité autrichienne de protection des données ce 13 juin.
Des cookies tiers à l'API Topics
"Google a tout simplement menti à ses utilisateurs", a déclaré Max Schrems, le président honoraire de Noyb, connu pour ses croisades contre Meta qui ont notamment abouti à l'invalidation du Privacy Shield. Au coeur de cette nouvelle contestation : une "fenêtre pop-up" reçue par le plaignant en octobre 2023 lors de l'ouverture du navigateur Chrome. Baptisée "Turn on an ad privacy feature", elle annonçait le lancement d'une "nouvelle fonctionnalité de confidentialité" mise en place dans le cadre de la Privacy Sandbox. Il s'agit, pour rappel, du programme de Google constitué d'un ensemble d'API dédiées aux éditeurs de site leur permettant de proposer de la publicité ciblée sans utiliser les cookies tiers.
Baptisée "Topics", anciennement "FLoC", cette nouvelle fonctionnalité – qui prend la forme d'une API – remplace les cookies tiers de la manière suivante : le navigateur identifie des thèmes (fitness, voyage...) représentatifs des principaux centres d'intérêts pour une semaine donnée en fonction de l'historique de navigation. Ils sont gardés en mémoire trois semaines avant d'être supprimés. Ainsi, lorsqu'un internaute consulte un site web, Topics sélectionne trois thèmes, un thème pour chacune des trois dernières semaines, que l'API transmet à ce site et aux annonceurs.
Source : Google
Pour l'entreprise américaine, qui dit vouloir protéger davantage les données personnelles de ses utilisateurs, Topics a l'avantage de ne pas nécessiter pour les sites d'accéder à l'historique de navigation des personnes, tels que les sites web visités ou encore leur identité. En effet, ils ne reçoivent plus que les thèmes susceptibles d'intéresser les utilisateurs du site, indique Google.
Un discours trompeur
En pratique, l'association de Max Schrems argue de la violation de deux articles du RGPD : l'article 5 et l'article 6. En vertu du premier, les données personnelles doivent être traitées "de manière licite, loyale et transparente au regard de la personne concernée". Or, d'après la plainte, la fenêtre de Google est trompeuse car "les personnes pensaient qu'ils acceptaient une fonctionnalité de confidentialité mais ils ont été amenés à accepter le suivi des publicités de Google".
En vertu de l'article 6, qui porte sur la licéité du traitement, le traitement des données personnelles n'est licite que si la personne concernée a consenti à ce traitement. Google se repose sur cette condition en proposant un choix apparaissant à la fin de la fenêtre litigieuse ("Turn it on" ou "No thanks"). Ce que l'entreprise a confirmé auprès de Noyb. Or, rétorque l'association dans sa plainte, "le plaignant ne savait pas qu'il consentait (...) au traitement de ses données à des fins de publicité ciblée". Elle ajoute que le bouton "Turn it on" ne ressemble pas "aux boutons de consentements classiques qui utilisent les termes 'accepter' ou 'consentir'".
Plus généralement, Noyb a une lecture très critique de la nouvelle politique de Google visant à supprimer les cookies tiers pour les remplacer par des technologies présentées comme étant moins intrusives pour les utilisateurs. "Le principal argument de Google est que le nouveau Privacy Sandbox est moins invasif que le système de suivi tiers. Même si cela peut être vrai, cela ne signifie pas que Google peut faire ce qu'il veut", écrit-elle.
La fin des cookies tiers n'est pas si simple
La fin des cookies tiers a provoqué de nombreuses réactions. Des organismes, rassemblés sous la bannière de l'association Movement for an Open Web (MOW), ont soulevé des préoccupations relatives à la protection de la confidentialité en ligne. Elle accuse Google de collecter de nombreuses données personnelles via "un processus adhésion qu'il est difficile pour la plupart des internautes d'éviter". De son côté, la Commission nationale de l'informatique et des libertés (Cnil) a pris position en déclarant que "ce n'est que si l'information des personnes et le recueil de leur consentement sont correctement effectués que le recours à la 'Privacy Sandbox' permettra des pratiques plus respectueuses de la vie privée".
Google doit notamment faire face à l'action engagée par la Competition Market Authority (CMA), l'autorité britannique de la concurrence. Il a ainsi décalé à trois reprises la fin totale des cookies tiers. Elle devrait désormais avoir lieu à partir de début 2025... si tout va bien. D'après le Wall Street Journal, la version préliminaire du rapport de l'Information Commissioner's Office (ICO) – l'autorité britannique de protection des données – relèverait une "non-conformité systémique" de la Privacy Sandbox. En effet, il serait toujours possible de pister les utilisateurs de site en site. Or, peu de chance que la CMA accorde un blanc-seing à Google si l'ICO n'en fait pas de même.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
