AIO APEX
Privacy & Data

Le cookie qui n’est jamais mort : ce que six ans de promesses de confidentialité ont réellement donné

Partager:
Le cookie qui n’est jamais mort : ce que six ans de promesses de confidentialité ont réellement donné

Les funérailles du cookie tiers ont été programmées et annulées tant de fois que l’industrie publicitaire a cessé de s’y préparer. Google annonce la fin des cookies en janvier 2020, visant 2022. Puis 2023. Puis 2024. En juillet 2024, Google fait marche arrière : au lieu de supprimer les cookies, Chrome propose un choix à l’utilisateur. En avril 2025, même ce prompt est abandonné. Les cookies restent actifs dans Chrome avec les paramètres standards, exactement comme en 2019.

Le 17 octobre 2025, Google met fin à Privacy Sandbox – le projet censé bâtir l’infrastructure publicitaire respectueuse de la vie privée pour remplacer les cookies. Les Topics API, Protected Audience API, Attribution Reporting API et huit autres technologies sont abandonnées. Six ans de préparation, des centaines de millions de dollars de développement et plusieurs rounds de contrôle réglementaire aboutissent au statu quo.

Pourquoi Privacy Sandbox a échoué

Les raisons techniques étaient secondaires face aux raisons économiques. L’IAB Tech Lab, après six mois d’analyse, conclut que Privacy Sandbox « introduit des obstacles majeurs pour l’économie publicitaire numérique ». Criteo estime que les éditeurs pourraient perdre jusqu’à 60 % de leurs revenus publicitaires Chrome si Privacy Sandbox était le seul mécanisme de ciblage. Index Exchange constate une baisse de 33 % des CPM lors des tests. L’adoption des Topics API, censée remplacer le ciblage par centres d’intérêt, n’a jamais atteint le seuil de neutralité des revenus.

La Competition and Markets Authority britannique, qui avait encadré les engagements de Google sur Privacy Sandbox par une ordonnance contraignante en 2022, libère Google de ces obligations en octobre 2025 – malgré l’opposition des 15 répondants à la consultation publique. La CMA justifie : la fin des cookies n’étant plus à l’ordre du jour, les engagements qui devaient encadrer cette décision n’ont plus d’objet.

Annonceurs et éditeurs avaient passé des années à intégrer Privacy Sandbox, former leurs équipes aux nouvelles API, expliquer la transition à leurs clients. La réaction à l’abandon va du soulagement à l’épuisement, en passant par l’inquiétude pour la suite. Google conserve un contrôle immense sur la publicité dans Chrome – plus qu’avant la saga, car la surveillance qui avait produit l’ordonnance de la CMA est désormais levée.

La comparaison avec Apple qui éclaire tout

Pendant que la saga des cookies Chrome jouait au ralenti, Apple agissait simplement : demander aux utilisateurs s’ils acceptent d’être suivis, et faire respecter la réponse. App Tracking Transparency, lancé en avril 2021, oblige les apps à afficher un prompt avant d’accéder à l’identifiant publicitaire. Aux États-Unis, le taux de suivi passe de 72,6 % à 17,9 % – une chute de 54,7 points. Le taux d’opt-in global ATT à mi-2025 est d’environ 35 %, soit deux tiers des utilisateurs iOS refusant le suivi quand on leur demande directement.

Meta estime 13 milliards de dollars de pertes de revenus publicitaires dès 2022 à cause de l’ATT. Les campagnes optimisées pour les conversions voient leur taux de clics chuter de 37 %. Les apps qui n’atteignent pas 30 % d’opt-in perdent environ 58 % de revenus publicitaires. L’industrie s’est adaptée – via Conversions API de Meta, SKAdNetwork d’Apple, conversions modélisées, stratégies de données first-party – mais l’adaptation s’est faite dans un environnement réellement changé, et non dans un report permanent.

Le contraste est instructif. Apple impose le respect de la vie privée parce qu’Apple vend des appareils et des logiciels, pas de la publicité. Ses incitations sont alignées avec la confidentialité des utilisateurs. Privacy Sandbox, lui, tentait de résoudre un conflit entre la vie privée et le modèle économique publicitaire qui finance Chrome. Ce conflit n’a pas pu être résolu d’une manière satisfaisante pour les deux parties.

Ce que l’industrie a construit à la place

Six ans de préparation à la fin des cookies n’ont pas été inutiles. Ils ont accéléré le développement d’alternatives désormais déployées à grande échelle, même si la crise qui devait forcer l’adoption n’a jamais eu lieu.

Les data clean rooms – environnements sécurisés où annonceurs et éditeurs peuvent exécuter des requêtes sur des données combinées sans voir les enregistrements bruts de l’autre – sont devenues une infrastructure normalisée. Le marché atteint 3,2 milliards de dollars en 2025, avec une croissance annuelle de plus de 20 %. Google, AWS, LiveRamp et Snowflake détiennent la majorité du marché. En mai 2026, Publicis acquiert LiveRamp pour 2,167 milliards de dollars – la plus grosse acquisition d’une holding publicitaire dans l’infrastructure de données – signe que les capacités de clean room sont désormais un actif stratégique au niveau holding. WPP a acquis InfoSum en 2024.

Les solutions d’identité universelle ont progressé de manière inégale. Unified ID 2.0 de The Trade Desk, basé sur des adresses e-mail hachées avec consentement, couvre environ 75 % de l’écosystème de données tiers sur la plateforme Trade Desk selon ses propres chiffres. RampID de LiveRamp est disponible sur un réseau de plus de 1 000 partenaires couvrant 2,9 milliards d’appareils mobiles actifs par mois. Les réserves sont réelles : un grand éditeur CTV a passé trois mois à générer des tokens UID2 cryptographiquement cassés sans que Trade Desk ne signale les erreurs, et après correction, aucun changement mesurable dans les revenus publicitaires – suggérant que les acheteurs ne s’appuyaient pas encore sur les UID2 en pratique malgré des chiffres d’adoption théoriques.

Le suivi server-side est devenu un outil standard pour récupérer du signal de mesure. En envoyant les données de conversion directement du serveur de la marque aux plateformes publicitaires plutôt que via des pixels navigateur, les annonceurs récupèrent en moyenne 34 à 37 % de conversions attribuées supplémentaires. Avec 1,77 milliard d’utilisateurs de bloqueurs de publicité dans le monde, les pixels côté client seuls mesurent entre 60 % et 80 % de l’activité réelle.

Ce qui a été perdu, et ce qui a changé

Les cookies tiers permettaient un suivi cross-site déterministe : le même utilisateur qui clique sur une annonce sociale, navigue sur une page produit et revient via une recherche pouvait voir tout son parcours enregistré et attribué. Cette chaîne est désormais brisée en dehors des walled gardens – non pas à cause de la politique de Chrome, mais parce que Safari et Firefox ont supprimé les cookies tiers depuis des années et représentent une part substantielle de la navigation. Le maintien des cookies dans Chrome importe surtout dans l’écosystème programmatique ciblant spécifiquement les utilisateurs Chrome.

Le frequency capping entre éditeurs – empêcher un utilisateur de voir la même annonce quarante fois sur différents sites – relève désormais largement de la conjecture en dehors des environnements connectés. L’attribution multi-touch sur le web ouvert s’est effondrée en modèles probabilistes ou a été abandonnée au profit des tests d’incrémentalité et de marketing mix modeling. Les annonceurs B2B de niche, qui comptaient sur les signaux d’intention cross-site pour atteindre des audiences professionnelles spécifiques, ont été les plus touchés. Les annonceurs grand public disposant de données first-party importantes se sont mieux adaptés.

L’écosystème programmatique du web ouvert a absorbé les dégâts que les walled gardens ont entièrement évités. Google Search, YouTube, les plateformes Meta et Amazon Retail Media fonctionnent tous dans des environnements authentifiés first-party. Leurs capacités de ciblage n’ont jamais dépendu des cookies tiers et ne sont pas affectées par toute cette saga. La concentration des dépenses publicitaires vers ces plateformes, visible dans les chiffres de revenus depuis 2021, est au moins en partie un effet de l’incertitude créée par la saga de la fin des cookies – les marques ont déplacé leurs investissements vers des surfaces où les signaux sont fiables, et ces surfaces appartiennent toutes aux trois entreprises possédant les plus gros actifs de données first-party au monde.

La suite

Avec Privacy Sandbox retiré, le Private Advertising Technology Working Group du W3C devient le lieu où navigateurs, annonceurs et défenseurs de la vie privée négocieront la prochaine tentative de mesure publicitaire respectueuse de la vie privée. Le groupe s’appuie sur les principes de la differential privacy – un bruit mathématique ajouté aux rapports de mesure agrégés pour empêcher l’identification individuelle – qu’Apple a déjà déployée dans SKAdNetwork et la mesure ATT.

L’hypothèse de travail est que la voie imposée par Apple à la publicité mobile arrivera un jour sur le web, par la régulation ou la pression concurrentielle, même si Google n’a pas pu l’ingénier volontairement. Le Digital Markets Act et le règlement ePrivacy de l’UE sont toujours des fronts réglementaires actifs. L’industrie publicitaire construit une infrastructure de données first-party, des clean rooms et une mesure server-side, non pas parce que le cookie meurt cette année, mais parce que la trajectoire de son déclin n’a pas changé – seulement le calendrier.

data-clean-roomscookiesadvertisingprivacy-sandboxuid2apple-attcontextual-advertising
Partager:
Le cookie qui n’est jamais mort : ce que six ans de promesses de confidentialité ont réellement donné | AIO APEX