L’association à but non lucratif noyb (abréviation de None Of Your Business), basée à Vienne, a déposé une plainte auprès de l’autorité autrichienne de protection des données (DPA) contre le fabricant de Firefox, Mozilla, pour avoir activé une nouvelle fonctionnalité appelée Privacy Preserving Attribution (PPA) sans demander explicitement le consentement des utilisateurs.
« Contrairement à son nom rassurant, cette technologie permet à Firefox de suivre le comportement des utilisateurs sur les sites Web », a déclaré Noyb dit« En substance, c’est désormais le navigateur qui contrôle le suivi, plutôt que les sites Web individuels. »
Noyb a également dénoncé Mozilla pour avoir prétendument pris exemple sur Google en activant « secrètement » la fonctionnalité par défaut sans en informer les utilisateurs.
PPA, qui est actuellement activé dans la version 128 de Firefox en tant que fonctionnalité expérimentale, a ses parallèles dans le projet Privacy Sandbox de Google dans Chrome.
L’initiative, désormais abandonnée par Google, visait à remplacer les cookies de suivi tiers par un ensemble d’API intégrées au navigateur Web avec lesquelles les annonceurs peuvent communiquer afin de déterminer les intérêts des utilisateurs et de diffuser des publicités ciblées.
En d’autres termes, le navigateur Web agit comme un intermédiaire qui stocke des informations sur les différentes catégories dans lesquelles les utilisateurs peuvent être classés en fonction de leurs habitudes de navigation sur Internet.
Selon Mozilla, le PPA est un moyen pour les sites de « comprendre les performances de leurs publicités sans collecter de données sur des personnes individuelles », le décrivant comme une « alternative non invasive au suivi intersite ».
C’est également similaire à celui d’Apple Attribution des clics publicitaires préservant la confidentialitéqui permet aux annonceurs de mesurer l’efficacité de leurs campagnes publicitaires sur le Web sans compromettre la confidentialité des utilisateurs.
Le fonctionnement du PPA est le suivant : les sites Web qui diffusent des publicités peuvent demander à Firefox de mémoriser les publicités sous la forme d’une impression qui inclut des détails sur les publicités elles-mêmes, comme le site Web de destination.
Si un utilisateur de Firefox finit par visiter le site Web de destination et effectue une action jugée utile par l’entreprise (par exemple, effectuer un achat en ligne en cliquant sur l’annonce, également appelé « conversion »), ce site Web peut inviter le navigateur à générer un rapport.
Le rapport généré est crypté et soumis de manière anonyme à l’aide du protocole d’agrégation distribuée (DAP) à un « service d’agrégation », après quoi les résultats sont combinés avec d’autres rapports similaires pour créer un résumé de telle sorte qu’il soit impossible d’en apprendre trop sur un individu.
Ceci est rendu possible par un cadre mathématique appelé confidentialité différentielle qui permet le partage d’informations agrégées sur les utilisateurs tout en préservant la confidentialité en ajoutant du bruit aléatoire aux résultats pour empêcher les attaques de réidentification.
« Le PPA est activé dans Firefox à partir de la version 128 », indique Mozilla dans un document d’assistance. « Un petit nombre de sites vont tester cette fonctionnalité et nous fournir des commentaires pour éclairer nos plans de standardisation et nous aider à comprendre si cette fonctionnalité est susceptible de gagner du terrain. »
« Le PPA n’implique pas l’envoi d’informations sur vos activités de navigation à qui que ce soit. Les annonceurs reçoivent uniquement des informations agrégées qui répondent à des questions de base sur l’efficacité de leur publicité. »
C’est cet aspect que noyb a trouvé à redire, car il viole les réglementations strictes de l’Union européenne (UE) en matière de protection des données en activant le PPA par défaut sans demander l’autorisation des utilisateurs.
« Bien que cette option soit moins invasive que le suivi illimité, qui est toujours la norme aux États-Unis, elle interfère néanmoins avec les droits des utilisateurs en vertu du RGPD de l’UE », a déclaré le groupe de défense des droits. « En réalité, cette option de suivi ne remplace pas non plus les cookies, mais constitue simplement une alternative – supplémentaire – pour les sites Web de cibler la publicité. »
Il a également noté qu’un développeur de Mozilla justifié cette démarche en affirmant que les utilisateurs ne peuvent pas prendre de décision éclairée et que « expliquer un système comme le PPA serait une tâche difficile ».
« C’est une honte qu’une organisation comme Mozilla considère que les utilisateurs sont trop bêtes pour dire oui ou non », a déclaré Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb. « Les utilisateurs devraient pouvoir faire un choix et cette fonction aurait dû être désactivée par défaut. »