Lorsque la publicité est passée du monde hors ligne au monde en ligne, les annonceurs se sont vus offrir une opportunité qu'ils n'avaient pas auparavant : le ciblage individuel des annonces.
Au lieu de se contenter d'un ciblage contextuel (par exemple, diffuser une publicité pour de nouveaux bateaux dans un magazine consacré aux bateaux), ils ont pu montrer leurs publicités aux internautes en fonction de leur comportement - par exemple, les sites web qu'ils ont visités précédemment - et d'autres données, comme leur localisation.
Cette méthode est devenue la norme en matière de ciblage publicitaire pour les sociétés de publicité en ligne à partir du milieu des années 2000 et reposait largement sur les cookies web.
Au fil des ans, cependant, la fiabilité des cookies a diminué - les utilisateurs les suppriment souvent, les navigateurs limitent leur utilisation, sans oublier l'essor des bloqueurs de publicité.
Dispositifs multiples
Pouvoir se connecter avec des clients potentiels au bon moment et sur le bon appareil est essentiel pour les marketeurs modernes.
C'est pourquoi, afin de préserver le ciblage comportemental et de garantir que les sociétés de publicité puissent identifier et suivre les utilisateurs sur le Web, une nouvelle forme de suivi sur le Web a été créée : l'empreinte digitale des appareils.
L'empreinte digitale d'un appareil (également appelée empreinte de toile, empreinte de navigateur et empreinte de machine) est un processus utilisé pour identifier un appareil (ou un navigateur) sur la base de sa configuration spécifique et unique. Contrairement aux cookies qui sont stockés côté client (c'est-à-dire sur l'appareil de l'utilisateur), les empreintes digitales doivent être stockées côté serveur, c'est-à-dire dans une base de données.
En plus des cookies de session, les empreintes digitales des appareils offrent une grande quantité de données, envoyées chaque fois qu'une requête web est envoyée à un serveur. Les services d'empreintes digitales de dispositifs créent des empreintes digitales sur la base d'une combinaison d'un certain nombre de points de données :
l'adresse IP
En-têtes de la requête HTTP
Chaîne de l'agent utilisateur
plugins installés
Fuseau horaire du client
Informations sur le périphérique client : résolution d'écran, support tactile, système d'exploitation et langue.
Données Flash fournies par un plugin Flash
Liste des polices installées
Données Silverlight
Liste des types de mime
Horodatage
Les gens étant de plus en plus connectés et effectuant un nombre croissant d'actions en ligne, ils sont de plus en plus enclins à utiliser plusieurs appareils pour accomplir leurs tâches. Il est donc plus difficile pour les marques d'établir un lien personnel avec leur public cible.
Ce problème est d'autant plus grave que les moyens habituels de suivi en ligne sont aujourd'hui plus difficiles à mettre en œuvre. Les cookies, qui ont été le pilier de la publicité numérique pendant des années, sont devenus de plus en plus intenables dans l'environnement actuel, sensible à la protection de la vie privée.
Tout d'abord, les cookies n'offrent pas un moyen fiable de suivre l'utilisation des mobiles.
Deuxièmement, les cookies peuvent être facilement supprimés par le consommateur.
Enfin, les cookies rendent les publicités et les campagnes publicitaires plus facilement reconnaissables par les bloqueurs de publicité, ce qui réduit à néant les chances d'un annonceur d'entrer en contact avec un client potentiel. L'utilisation des bloqueurs de publicité étant appelée à connaître une croissance à deux chiffres cette année, il s'agit d'une véritable préoccupation pour les annonceurs soucieux du retour sur investissement.
L'empreinte digitale des appareils offre une méthode de suivi de secours lorsque les cookies ne peuvent pas faire l'affaire.
Par exemple :
Une personne cherche à réserver des vacances à Paris. Au cours de sa navigation sur Internet, elle clique sur une bannière publicitaire annonçant un forfait tout compris proposé par une agence de voyage. Cependant, la personne ne réserve pas immédiatement son voyage. Au lieu de cela, elle ferme son navigateur web (et supprime donc potentiellement les cookies liés à la publicité payante avec laquelle elle a interagi) et va se coucher.
Le lendemain, la personne décide de consulter à nouveau le site Web de l'agence de voyage et, cette fois, tape simplement l'adresse de l'agence dans son navigateur Web. Après avoir parcouru un peu le site, elle finit par réserver le forfait tout compris qu'elle avait initialement vu dans la bannière publicitaire.
Comme la conversion a été effectuée la deuxième fois et qu'elle n'a pas pu être attribuée à la bannière publicitaire au moyen d'un cookie, l'agence de voyage est incapable de déterminer avec précision le retour sur investissement de cette publicité.
Mais grâce à la technique de l'empreinte digitale, il est possible de vérifier que le client qui a réservé le forfait voyage a utilisé le même navigateur web (avec la même "empreinte digitale") que celui où la publicité a été diffusée précédemment.
Le calcul de l'empreinte d'un appareil commence lorsqu'un utilisateur visite un site web. Le traceur d'empreinte, qui est généralement un élément de JavaScript, recueille toutes les informations pertinentes sur l'appareil (version/type de navigateur, système d'exploitation, etc.)
À partir de là, c'est un peu comme si vous jouiez au jeu de détective Clue en utilisant des bribes d'informations sur les internautes - vous n'avez pas toujours une image complète de chaque utilisateur, mais plus vous avez d'informations, plus il est facile d'appliquer des statistiques et de réduire à une seule personne.
De même, les fournisseurs d'empreintes digitales de dispositifs rassemblent des points de données, comme ceux mentionnés ci-dessus. Ils leur attribuent ensuite une empreinte unique (c'est-à-dire un hachage). Lorsqu'elle est utilisée en combinaison avec des cookies ou d'autres identifiants, la précision du suivi et de l'attribution est grandement améliorée.
L'inconvénient, c'est que le calcul du hachage et le stockage de toutes les données associées exigent beaucoup de temps de calcul.
L'utilisation de l'empreinte digitale d'un appareil nécessite de grandes quantités de stockage car les empreintes digitales (ou identifiants) ne sont pas distribuées au navigateur, comme c'est le cas lorsque des cookies sont utilisés, mais doivent être conservées côté serveur (c'est-à-dire dans une base de données). L'avantage pour les entreprises qui utilisent l'empreinte digitale des appareils est qu'il est pratiquement impossible de bloquer la création d'empreintes digitales d'appareils (voir ci-dessous).
Les empreintes digitales des appareils peuvent également être enrichies en reliant la "personne" à d'autres empreintes digitales (c'est-à-dire des appareils) - en identifiant des modèles d'empreintes digitales similaires provenant d'une source similaire. Avec suffisamment de données, il est également possible d'associer l'identité d'un utilisateur à plusieurs appareils.
Il existe également une certaine controverse concernant l'utilisation de l'empreinte digitale de l'appareil en conjonction avec les cookies pour la création d'un "supercookie" ou "evercookie" complet.
L'empreinte d'un appareil contient des informations recueillies sur votre appareil à des fins d'identification. Il est généralement difficile de déterminer si l'empreinte de l'appareil ou du navigateur est en place.
Il existe des plugins de navigateur qui, dans une certaine mesure, protègent les utilisateurs contre le risque de laisser des empreintes trop complètes et un suivi non consensuel sur le web (par exemple, Privacy Badger) et des services "auditant" les navigateurs et générant des rapports sur l'empreinte de votre appareil. Panopticlick ou AmIUnique sont des exemples de tels services. Le navigateur Tor offre également une certaine protection contre le suivi d'une personne à partir de l'empreinte digitale de son navigateur.
L'ironie de la chose est que plus vous installez de modules complémentaires de protection de la vie privée sur votre navigateur (par exemple Privacy Badger, Do Not Track Me, Ghostery, pour n'en citer que quelques-uns) dans le but de protéger les restes de votre vie privée, plus il devient facile de vous identifier en raison du caractère unique de la configuration de votre navigateur.
Bien que de nombreuses personnes utilisent le même type d'appareil (par exemple, la même marque d'ordinateur portable ou le même modèle de smartphone), chacune d'entre elles utilise une configuration légèrement différente - par exemple, un navigateur différent, un ensemble de plugins, des polices système, du matériel - il y a simplement trop de variables pour rester unique.
Sur la base de ces informations, il est possible de créer une empreinte digitale de l'appareil qui a très peu de chances d'être la même pour deux utilisateurs individuels.
L'empreinte digitale d'un appareil est évidemment utile pour le ciblage, mais elle ne doit pas être considérée comme une chose intrinsèquement mauvaise qui ne profite qu'aux annonceurs et aux spécialistes du marketing. L'empreinte digitale a un certain nombre d'applications utiles - de l'aide à la gestion des droits numériques à la lutte contre la fraude bancaire. Voici quelques exemples d'utilisation de l'empreinte digitale des appareils :
L'exemple le plus répandu d'empreintes digitales d'appareils est probablement celui de l'analyse et du suivi publicitaire. Dans un contexte d'analyse web, l'empreinte digitale de l'appareil est utilisée pour identifier avec précision les visiteurs uniques (c'est-à-dire ceux qui reviennent) et établir des rapports à leur sujet.
Les annonceurs et les fournisseurs AdTech utilisent également l'empreinte digitale des appareils pour identifier et suivre les utilisateurs sur Internet, ce qui leur permet de créer des profils d'utilisateurs et de les cibler avec des publicités personnalisées.
Les empreintes digitales des appareils peuvent également être utilisées à bon escient dans le domaine financier. Il s'agit par exemple d'identifier si une session bancaire sur Internet a été détournée.
Elles peuvent également être utilisées pour identifier les fraudes à la carte de crédit. L'unicité de l'empreinte digitale fait ressortir les demandes frauduleuses adressées à un site web, car elle montre que les demandes sont faites à partir du même appareil - bien que par l'intermédiaire d'un proxy, avec une carte de crédit différente, un nom différent sur la carte, ou même en utilisant une fausse adresse IP.
Les empreintes digitales des appareils peuvent contribuer à déterminer si une commande provient d'un fraudeur et doit être annulée. Il existe de nombreuses autres applications permettant de résoudre ce problème, mais les empreintes digitales y contribuent généralement, car les empreintes digitales des clients réguliers sont prévisibles et normales, ce qui facilite quelque peu l'identification des clients frauduleux.
Ce qui rend le GDPR difficile en termes de cookies et de diverses méthodes de suivi est sa définition relativement vague des données personnelles.
Même si l'empreinte digitale d'un appareil ne collecte que des données sur l'appareil d'un utilisateur (et non des informations comme son nom ou son adresse électronique), le fondement de l'empreinte digitale entre dans la catégorie des données personnelles. Le principe est que ces bits d'information se rapportent à un individu et peuvent être utilisés pour l'identifier, directement ou indirectement.
Dans le contexte du GDPR, les données personnelles sont toutes les informations qui peuvent être utilisées pour identifier une personne. Il ne s'agit pas d'établir l'identité de la personne - il s'agit d'être en mesure d'identifier une personne, par exemple d'identifier les visiteurs qui reviennent sur un site web. Cette définition fait des cookies et des empreintes digitales des appareils des exemples de données personnelles.
D'autre part, le GDPR est agnostique en ce qui concerne la technologie et ne fournit pas de directives explicites sur les empreintes digitales des appareils. En revanche, il fournit des lignes directrices générales concernant le suivi des utilisateurs sur Internet, quelles que soient les méthodes ou les techniques utilisées.
L'article 4 du GDPR définit les données à caractère personnel comme toute information relative à une personne physique identifiée ou identifiable à l'aide d'identifiants en ligne tels que les cookies, les identifiants d'appareils et les adresses IP.
Et c'est là que la technique de l'empreinte digitale du dispositif entre en collision avec le règlement, car, dans la plupart des cas, ces données ne peuvent être traitées qu'après le consentement de l'utilisateur.
Le traitement des données à caractère personnel au titre du GDPR peut être légal, mais uniquement lorsqu'il répond à l'une des 6 bases légales, telles que l'intérêt légitime ou le consentement.
Pour traiter des données sur la base d'intérêts légitimes, vous devez vous assurer que les droits et libertés des personnes concernées ne sont pas supplantés par l'intérêt légitime du responsable du traitement des données.
Par conséquent, le recours à l'intérêt légitime dans le contexte de la prise d'empreintes digitales sera probablement réservé à des situations particulières, telles que la prévention de la fraude ou le vol d'identité.
Si une entreprise souhaite utiliser l'empreinte de l'appareil à des fins de publicité et de marketing, elle devra obtenir le consentement explicite de l'utilisateur pour le faire.
ePrivacy, une loi accompagnant et complétant le GDPR . Elle vise à protéger les données et la vie privée des citoyens de l'UE et de l'EEE, mais se concentre sur le respect de leur vie privée lors de l'utilisation des communications électroniques (par exemple, les courriels et les SMS).
Pour l'instant, selon le groupe de travail Article 29, le fingerprinting - même s'il n'implique pas de données personnelles en soi - est toujours couvert par la directive ePrivacy et nécessite donc de demander le consentement de l'utilisateur dans la plupart des cas.
Pour s'assurer que les entreprises qui utilisent l'empreinte digitale des appareils agissent conformément à la loi, la meilleure chose qu'elles puissent faire est d'évaluer si elles ont un intérêt légitime à collecter et traiter l'empreinte digitale d'un utilisateur ou à recueillir son consentement.
Comme indiqué précédemment, le paysage numérique devient de plus en plus complexe. Pour les spécialistes du marketing et les annonceurs, cela signifie qu'ils doivent s'efforcer de suivre le nombre croissant de points de contact créés à mesure que les consommateurs deviennent de plus en plus spontanés dans leurs habitudes de navigation.
Alors que les cookies deviennent de moins en moins efficaces pour identifier les utilisateurs en ligne, de nouvelles technologies telles que l'empreinte digitale des appareils - qui reposent sur des informations statiques et immuables - joueront un rôle important dans le développement de la publicité numérique, tout en étant confrontées à un certain nombre de défis liés aux nouvelles règles de confidentialité, telles que le GDPR.