Le bac à sable de confidentialité Android sans dents ne respecte pas les restrictions de suivi iOS

Google annonce aujourd’hui le « Android Privacy Sandbox ». La société affirme qu’il s’agira d’une « initiative pluriannuelle » visant à apporter « plus de solutions de publicité privées » à Android. Après qu’Apple ait autorisé le suivi dans iOS 14, Android veut être considéré comme l’égal de son principal concurrent. L’annonce d’aujourd’hui est un ajout aux systèmes publicitaires existants, et non un remplacement, il est donc susceptible d’être encore moins efficace que le bac à sable de confidentialité de Chrome.

Le suivi des changements d’Apple a fait exploser l’industrie de la publicité et a déjà coûté 10 milliards de dollars de revenus annuels à des sociétés de publicité comme Facebook . Google, la plus grande société de publicité au monde, ne semble pas vouloir faire cela sur Android.

Voici ce que Google pense d’iOS 14 sur son blog :

Nous comprenons que d’autres plates-formes adoptent une approche différente de la confidentialité des publicités en limitant considérablement les technologies existantes utilisées par les développeurs et les annonceurs. Nous pensons que sans fournir d’abord une voie de confidentialité alternative, de telles approches peuvent être inefficaces et entraîner des conséquences pires pour la confidentialité des utilisateurs et les activités des développeurs.

(Google n’a pas expliqué pourquoi il pensait que le blocage des identifiants uniques d’Apple était le « pire résultat pour la confidentialité des utilisateurs ».)

Il s’agit d’un paramètre pour Android Privacy Sandbox. Les détails du plan de Google ne sont toujours pas clairs, car même la version bêta ne sera pas publiée avant la fin de 2022. Le site des développeurs Android propose plusieurs suggestions de conception sur ce à quoi pourrait ressembler un système publicitaire préservant la confidentialité. L’API de thème de Chrome est ici, qui partagera une liste d’intérêts des utilisateurs avec les annonceurs lorsqu’ils en feront la demande afin que les annonceurs puissent diffuser des annonces pertinentes. La nouvelle API Android FLEDGE suit le comportement des utilisateurs au sein de l’application et les organise en groupes pour un « ciblage d’audience individuel ». Google indique que les développeurs pourront créer des groupes comme « laisser l’article dans le panier » et afficher des publicités spécifiques à ces utilisateurs.

Jusqu’à présent, nous n’avons rien couvert qui réduise réellement le suivi. Pour ce faire, il existe le « SDK Runtime », un bac à sable pour les SDK liés à la publicité qui, selon Google, « réduira l’accès et le partage non divulgués des données de l’application utilisateur » pour les « SDK compatibles ». L’idée est que les développeurs peuvent regrouper un « SDK activé pour l’exécution » avec des autorisations limitées au lieu d’un SDK publicitaire traditionnel qui a le même accès que l’application principale.

Les annonceurs peuvent-ils s’inscrire pour bénéficier d’améliorations en matière de confidentialité ?

Le fait qu’il s’agisse d’un bac à sable « compatible SDK » est un gros problème pour le SDK Runtime et Android Privacy Sandbox. Ce n’est pas obligatoire. Le bac à sable de confidentialité de Chrome, même s’il s’agit d’une solution de confidentialité légère, commence au moins par bloquer les cookies tiers. Les méthodes de suivi existantes dans Chrome seront bloquées et Google propose une solution alternative qui présentera certains avantages (encore une fois, atténués) en matière de confidentialité. Google n’a pas annoncé son intention de bloquer ou de restreindre les méthodes de suivi existantes sur Android. Les applications Android ont beaucoup plus de privilèges que les sites Web et les développeurs peuvent ignorer cela et inclure un SDK publicitaire qui n’utilise pas le bac à sable SDK.

En ce qui concerne une véritable solution de confidentialité, les applications peuvent inclure le code de leur choix, il est donc difficile d’imaginer une solution technique pour le suivi des publicités. Comme Apple, Google peut restreindre artificiellement les SDK publicitaires via le Play Store et annoncer que toute application qui n’utilise pas le SDK publicitaire sandbox sera bloquée du magasin.

Le Play Store impose régulièrement des restrictions similaires sur les applications : le niveau minimum d’API Android pris en charge augmente chaque année, obligeant les développeurs à prendre en charge les dernières fonctionnalités et limitations d’Android. Google a également essayé d’utiliser le Play Store pour interdire les applications qui utilisent les API d’accessibilité d’une manière qu’il n’aime pas.

Si utiliser le Play Store serait une solution possible, il serait difficile pour Google de restreindre la publicité Android sans s’attirer les foudres des régulateurs. Google a déjà annoncé « Nous nous engageons également à travailler en étroite collaboration avec les régulateurs » à la fin de leur article de blog sans même promettre de restrictions réelles.

Étant donné que Google n’impose aucune modification de la confidentialité, il demande essentiellement aux agences de publicité de cesser volontairement de collecter les données des utilisateurs. Si les annonceurs le voulaient, ils pourraient faire ce changement aujourd’hui. Les annonceurs n’ont pas besoin d’attendre qu’une solution technique soit finalisée.