L’impact de la Politique de Confidentialité de Google sur la publicité en ligne
Prés de deux ans après que Google ait annoncé la mise en place de sa nouvelle “Politique de Confidentialité”, la CNIL sanctionne Google d’une amende de 150.000 euros. Google devra aussi publier un communiqué sur Google.fr pendant 48h. Si le montant peut sembler faible au regard des revenus de Google, il faut savoir que cela est dû au blocage du nouveau règlement européen qui aurait permit d’aller jusqu’à 2% du CA de Google (blocage dont le conseiller Privacy de Google en France se frotte les mains).
Dans ce post, je souhaite revenir sur l’impact qu’a eu la politique de Google sur le Web. La mise en œuvre des outils de traçage que cette politique de confidentialité autorise fut assez longue et n’est sans doute pas finie. Je m’intéresse uniquement à ce que cette politique permet en terme de croisement de données sur le Web, c’est à dire que je considère seulement les informations de votre profile Google or cela ne représente qu’une infime partie des données dont Google dispose.
Le croisement d’information avec DoubleClick
DoubleClick, la principale régie publicitaire sur le Web, appartient à Google depuis 2007. Un récent papier des chercheurs de l’INRIA montre que DoubleClick est présent sur 50% des principaux sites Web. Concrètement Google vous suit, via cette régie publicitaire, sur prés d’1 site sur 2 que vous visitez. Quand Google a annoncé sa nouvelle politique de confidentialité, une phrase dans la politique de confidentialité laissait sous-entendre que Google ne croiserait pas de donner provenant des comptes Google avec les données issues du traçage via DoubleClick (“Le recoupement de données en provenance de cookies DoubleClick avec des données permettant de vous identifier n’est possible qu’avec votre accord explicite.”).
Beaucoup ont compris que Google garderait les donnée provenant de DoubleClick et celles provenant de Google complètement isolées. De fait, les profiles publicitaires construits par Google à cette époque ne semblaient pas provenir de données précises et comportaient souvent des erreurs. Malheureusement cette phrase ne couvre que le croisement de donnée directement identifiantes et, une fois l’attention retombée, Google a corrigé les données utilisée pour le ciblage publicitaire.
Utilisation d’information en provenance du profile Google
En effet, plusieurs mois après l’annonce de sa nouvelle politique, Google a commencé à croiser les données provenant des profile Google avec les données issues du ciblage publicitaire. Ainsi, les publicités affichées par DoubleClick sont non-seulement adaptées aux sites web que vous visitez mais aussi aux données que vous avez indiquées lorsque vous avez créé votre compte Gmail (principalement Age et Sexe). Pour vous en apercevoir il suffit de se rendre sur la page de gestion des pub en étant logué sur votre compte GMail.
Au début, cette personnalisation avancée ne se faisait que si vous aviez consenti via la page de “personnalisation des +1” (voire ci-dessous) . Cela n’était pas évident car il était indiqué que vos pubs seraient personnalisées en fonction de vos “+1″ et des autres informations de profile”). Mais depuis quelques mois cela n’est plus le cas, Google se passe de votre autorisation pour croiser ces données.
En effet, Google considère que votre autorisation n’est pas requise puisque ces données ne sont pas identifiantes. Pire, il n’est plus possible de refuser que Google utilise votre age déclaré dans ses pubs sans s’opposer à toute personnalisation.
Publicité ciblée en fonction de votre navigation sur d’autres sites
La politique de Google ne les empêche pas non plus d’enregistrer dans votre profile Google, les pages web que vous avez visitées et sur lesquelles étaient présentes des publicités DoubleClick. En pratique, vous verrez sur le moteur de recherche de Google, des publicités basées sur les sites web que vous avez visités. Cette fonctionnalité passe par la création de “Listes de Reciblage pour Publicité sur le moteur de Recherche” (RLSA en anglais) et permet aux annonceurs de vous afficher une pub sur Google Search si vous avez visité leur site.
Techniquement, Google a besoin de bidouiller pour que cela puisse marcher car quand vous visitez un site externe à Google, vous n’envoyez souvent que votre identifiant de cookie DoubleClick . Or vous avez un identifiant attribué par DoubleClick qui est différent de celui attribué par Google. Quand vous vous rendez sur le site de Google, vous montrer un identifiant différent donc Google ne devrait pas pouvoir savoir quel site vous avez visité.
La bidouille de Google consiste à vous rediriger depuis le domaine doubleclick.net vers le domaine google.com. Du coup, vous présentez à la fois votre identifiant DoubleClick et votre identifiant Google, et Google saura où vous êtes allé et pourra vous cibler en fonction de vos visites sur d’autres sites. 
Conclusion
Bien que Google ne soit pas en droit de combiner des informations identifiantes avec des informations obtenues via DoubleClick:
– Ils utilisent des informations provenant de votre compte Google pour vous ciblez en fonction de votre age et sexe sur les sites affiliés à DoubleClick.
– Ils enregistrent vos visites sur les sites affiliés à DoubleClick sur votre compte Google.
En bref, la politique de Google concernant la publicité en ligne se résume à ça:
- [Ils] ne communiquent pas aux annonceurs les informations permettant d’identifier les utilisateurs.
- [Ils] n’autorisent pas les annonceurs à diffuser des annonces comportant des informations à caractère sensible, telles que l’origine ethnique, la religion, l’orientation sexuelle, la santé, certaines catégories liées à l’argent, etc.