Limitez la quantité de données utilisateur individuelles exposées aux sites pour empêcher tout suivi dissimulé.
État de l'implémentation
Ce document présente une nouvelle proposition visant à empêcher le suivi dissimulé: le budget dédié à la confidentialité.
- La proposition de budget Privacy Budget est entré dans la discussion publique.
- Privacy Budget n'a été implémenté dans aucun navigateur pour le moment.
- Le calendrier de la Privacy Sandbox indique les délais d'implémentation de Privacy Budget et d'autres propositions de cette fonctionnalité.
Pourquoi avons-nous besoin de cette proposition ?
Alors que les navigateurs continuent de modifier la façon dont les cookies sont traités, certains efforts de suivi des utilisateurs ont été faits pour adopter des méthodes plus difficiles à détecter qui nuisent aux contrôles des cookies. Ces méthodes, appelées empreintes digitales, reposent sur diverses techniques pour identifier les navigateurs uniques et que les utilisateurs ne les voient pas.
La proposition Privacy Budget suggère de limiter la quantité de données utilisateur individuelles pouvant être exposées aux sites, de sorte qu'elle ne permette, au total, de suivre et d'identifier les individus. Pour cela, vous devez quantifier le volume de partage des utilisateurs avec des tiers, qui peut être déterminé à l'aide des éléments suivants:
- K-anonymat: propriété possédant des données anonymisées, où "k" correspond au nombre d'autres utilisateurs ayant des informations identiques.
- Entropie: théorie de l'information qui, lorsqu'elle est appliquée, signifie qu'il existe un niveau d'incertitude inhérent à la limite possible de données
- Confidentialité différentielle : système garantissant qu'aucune donnée individuelle ne peut être déterminée dans un ensemble de données agrégées
La tolérance maximale pour une quantité d'informations révélées sur chaque utilisateur est le budget dédié à la confidentialité. Moins il y a de surfaces de fingerprinting disponibles pour un site, et plus la précision des informations révélées est faible, moins il est possible d'identifier un seul utilisateur.
Mesurer les données de fingerprinting
Le succès de la proposition Privacy Budget repose sur le fait que les navigateurs estiment les informations révélées par chaque surface d'empreinte. Les navigateurs doivent également mesurer l'ensemble des informations exposées à un site. Ces mesures devront être communiquées à un seul service.
Il existe plusieurs façons de mesurer ces données, et Chrome explore activement des solutions.
Réduire le nombre total d'informations exposées aux sites
Une fois que toutes les informations ont été mesurées sur le Web, nous prévoyons d'analyser les surfaces d'API exposées afin de hiérarchiser les informations nécessaires et celles qui ne doivent pas être partagées.
En tenant compte du budget dédié à la confidentialité, les données révélées par le fingerprinting passive sont supposées être utilisées par un site. Il est important de réduire les surfaces d'empreinte passive, ce qui est possible grâce à la réduction user-agent et proposée par IP Protection.
Comment un budget dédié à la confidentialité peut-il être appliqué ?
Une fois qu'un site moyen accède à une quantité raisonnable de données, le navigateur peut appliquer un budget de manière significative. La proposition Privacy Budget suggère qu'au-dessus d'un seuil de données défini, le budget pourrait être appliqué de plusieurs manières. Exemple :
- Les appels d'API qui ne respectent pas le budget peuvent entraîner une erreur.
- Si possible, les appels d'API peuvent être remplacés par un appel protégeant la confidentialité qui renvoie des résultats avec bruit ou des résultats génériques qui ne sont pas liés à un seul utilisateur.
- Les requêtes réseau et de stockage peuvent être refusées, ce qui empêche le site d'exfiltrer de nouvelles informations.
Exceptions au budget
Certaines applications, telles que les jeux 3D et la visioconférence, risquent de ne jamais s'exécuter avec un budget raisonnable dédié à la confidentialité. Certaines options, y compris une invite d'autorisation pour les utilisateurs, peuvent permettre l'exécution de ces applications. La manière dont ces exceptions seront gérées est ouverte à la discussion.
Quand le budget Privacy Budget sera-t-il disponible ?
La date la plus proche de la disponibilité ajustée correspond à la date la plus proche à laquelle Privacy Budget pourrait être appliqué. Cela ne se produira pas avant 2024.
À l'heure actuelle, Privacy Budget est une proposition et n'a été mise en œuvre pour aucun navigateur.
Interagir et donner votre avis
La proposition de budget pour la confidentialité est en cours de discussion active et peut être modifiée à l'avenir.
- GitHub: consultez la proposition, soulevez des questions et participez à la discussion.
- Assistance aux développeurs: posez des questions et participez à des discussions sur le dépôt de l'assistance pour les développeurs Privacy Sandbox.