AIO APEX
Privacy & Data

Chrome a tué les cookies tiers. L'industrie publicitaire s'est reconstruite autour de quelque chose de pire.

Partager:
Chrome a tué les cookies tiers. L'industrie publicitaire s'est reconstruite autour de quelque chose de pire.

Google a annoncé pour la première fois en janvier 2020 qu'elle supprimerait progressivement les cookies tiers de Chrome, avec une date cible fixée au début de l'année 2022. Après quatre ans de retards — dus aux réticences de l'industrie publicitaire, à l'intervention de l'Autorité britannique de la concurrence et des marchés, et à plusieurs itérations ratées des API de remplacement du Privacy Sandbox — Google a achevé la dépréciation à la mi-2025. Chaque utilisateur de Chrome sur la planète navigue désormais sans cookies tiers, rejoignant ainsi les utilisateurs de Firefox et Safari, qui s'en étaient passés respectivement depuis 2019 et 2017.

L'amélioration de la confidentialité tant promise est arrivée. L'industrie publicitaire s'est adaptée. Et un nombre croissant de recherches suggère que ce qui a remplacé les cookies tiers est, dans l'ensemble, plus intrusif — car plus difficile à détecter et impossible à effacer.

Ce que faisaient réellement les cookies tiers

Un cookie tiers est défini par un domaine autre que celui que vous visitez. Vous allez sur un site d'actualités ; un réseau publicitaire définit un cookie depuis son propre domaine qui vous suit sur d'autres sites utilisant le même réseau. Ce cookie permet le suivi intersite : le réseau publicitaire sait que vous avez visité le site d'actualités, le site de shopping et le site sportif, et peut construire un profil de vos centres d'intérêt pour cibler des publicités.

La raison pour laquelle les cookies étaient à la fois omniprésents et finalement dépréciés est qu'ils sont techniquement transparents. Les outils de développement de votre navigateur vous montrent exactement quels cookies sont définis et par qui. Des extensions de navigateur axées sur la confidentialité comme uBlock Origin pouvaient bloquer les cookies tiers sans difficulté. Les utilisateurs qui savaient qu'ils existaient disposaient d'outils pour les arrêter. Les régulateurs savaient comment rédiger des règles à leur sujet — les exigences de consentement du RGPD pour les cookies étaient imparfaites mais compréhensibles.

Le Privacy Sandbox de Google : ce qui a remplacé les cookies

Privacy Sandbox est le terme générique de Google pour les API qui ont remplacé les cookies tiers. Les deux plus importantes :

L'API Topics classe votre navigation dans environ 470 catégories d'intérêts (sports, finance, cuisine, technologie) et donne aux annonceurs participants accès à trois de vos sujets récents les plus importants sans révéler les sites que vous avez visités. L'historique des intérêts reste dans le navigateur, et non sur des serveurs externes. Google qualifie cela d'amélioration de la confidentialité — et c'en est une, comparée au suivi intersite granulaire que permettaient les cookies tiers. Les critiques notent que l'annonceur apprend toujours quelque chose sur vos intérêts, que la classification est effectuée par les modèles de Google, et qu'il n'existe aucun mécanisme de désinscription dans Chrome autre que la désactivation complète de la fonctionnalité.

L'API Protected Audience (anciennement FLEDGE) gère le reciblage — l'expérience de voir une publicité pour un produit que vous avez consulté sur un site tout en naviguant sur un autre. Avec Protected Audience, la logique de reciblage s'exécute dans un environnement cloisonné au sein du navigateur plutôt que sur un serveur publicitaire externe. L'annonceur peut vous cibler en fonction de vos visites passées sur des sites sans que le réseau publicitaire apprenne quels sites vous avez visités. C'est techniquement élégant. C'est aussi, du point de vue de l'expérience utilisateur, identique à ce que fournissaient les cookies : vous voyez des publicités pour des choses que vous avez récemment regardées.

Privacy Sandbox offre aux annonceurs environ 80 % de ce que les cookies tiers leur donnaient — assez pour que l'activité publicitaire de Google reste intacte — tout en rendant techniquement les données utilisateur visibles par moins de parties externes. Que cela constitue une amélioration significative de la confidentialité dépend de ce que vous pensiez être le problème avec les cookies au départ.

L'explosion de l'empreinte numérique

L'empreinte numérique du navigateur utilise les caractéristiques de la configuration de votre navigateur — résolution d'écran, polices installées, informations sur le rendu GPU, comportement de traitement audio, rendu canvas, fuseau horaire, paramètres de langue — pour générer un identifiant quasi unique pour votre appareil. Contrairement aux cookies, les empreintes ne sont pas stockées sur votre appareil, ne peuvent pas être effacées par l'utilisateur et ne nécessitent pas votre consentement dans la plupart des cadres juridiques actuels.

Les recherches publiées par le Web Transparency and Accountability Project de Princeton, l'Electronic Frontier Foundation et plusieurs groupes universitaires en 2024-2025 constatent systématiquement que l'utilisation de scripts de suivi tiers a modestement diminué après la dépréciation des cookies de Chrome, tandis que l'adoption de scripts d'empreinte numérique a considérablement augmenté. Une étude de 2025 portant sur 100 000 sites Web populaires a révélé des scripts d'empreinte numérique sur 42 % des sites, contre 26 % en 2022. L'empreinte canvas (dessiner du texte invisible dans un élément caché et mesurer comment le GPU le rend) est désormais présente sur une majorité de grands sites Web commerciaux.

Les mécanismes sont de plus en plus sophistiqués. L'empreinte AudioContext traite un petit signal audio et mesure comment la pile audio de l'appareil le traite — les variations matérielles et logicielles créent une signature détectable. L'empreinte WebGL rend une scène 3D et lit la sortie — les variations GPU produisent des différences cohérentes et traçables. Ces techniques fonctionnent même en mode de navigation privée, même avec la plupart des extensions de blocage de cookies, et même lorsque l'utilisateur s'est désinscrit du suivi au sein de la plateforme de gestion du consentement d'un site Web.

Le suivi côté serveur : le changement d'infrastructure

Simultanément aux modifications au niveau du navigateur, l'industrie publicitaire a déplacé une infrastructure de suivi importante côté serveur. Le balisage côté serveur — placer Google Tag Manager, l'API de conversion (CAPI) de Meta et d'autres outils de suivi sur un serveur propriétaire plutôt que de les charger depuis un domaine tiers — rend effectivement le blocage des cookies au niveau du navigateur sans objet. Lorsque votre serveur d'analyse effectue les appels, votre navigateur ne voit jamais de requête tierce à bloquer.

Le CAPI de Facebook, lancé en 2020 en prévision des restrictions de suivi d'iOS, permet aux annonceurs d'envoyer des données de conversion directement depuis leurs serveurs à Meta — contournant ainsi complètement les contrôles de confidentialité au niveau du navigateur. Les données de Meta suggèrent que CAPI récupère 10 à 15 % du suivi des conversions qu'Apple's App Tracking Transparency et les bloqueurs de publicités auraient autrement empêché. Enhanced Conversions de Google fait de même pour Google Ads. Les deux outils utilisent des adresses e-mail et des numéros de téléphone hachés comme identifiants, faisant correspondre les utilisateurs entre sessions d'une manière légale au titre du RGPD (car ils s'appuient sur des données que l'utilisateur a volontairement fournies) mais invisible pour l'utilisateur et impossible à empêcher sans jamais partager d'informations de contact avec un site Web.

Ce qui s'est réellement amélioré

Le Web post-cookies n'est pas entièrement une mauvaise nouvelle pour la confidentialité. Certaines choses se sont réellement améliorées :

La longue traîne des traqueurs tiers obscurs — petits réseaux publicitaires et courtiers en données qui comptaient sur la synchronisation des cookies entre éditeurs pour construire des profils — a été considérablement perturbée. La synchronisation des cookies (deux traqueurs partageant des identifiants de cookies pour faire correspondre les identités des utilisateurs dans leurs bases de données respectives) ne fonctionne pas sans cookies. Cela a consolidé l'écosystème de suivi autour d'un petit nombre de grands acteurs (Google, Meta, quelques grands CDP) plutôt que de le répartir entre des centaines de petits courtiers. Savoir si un suivi concentré par trois grandes entreprises est meilleur qu'un suivi distribué par 300 petites entreprises est une question philosophique légitime.

La collecte de données propriétaires et la publicité contextuelle sont toutes deux véritablement moins intrusives que le suivi comportemental à grande échelle. Un éditeur qui vend des publicités en fonction du contenu d'un article plutôt que de votre historique de navigation ne construit pas un profil de surveillance. La publicité contextuelle fait son retour, et plusieurs grands éditeurs qui ont investi dans la qualité éditoriale et les relations directes avec l'audience ont dépassé les attentes dans un monde post-cookies.

L'environnement réglementaire s'est également renforcé. L'Information Commissioner's Office britannique a publié des directives d'application sur l'empreinte numérique en 2024, la traitant comme un traitement de données personnelles au titre du RGPD britannique et exigeant le même cadre de consentement que pour les cookies. L'EDPB de l'UE a publié des directives similaires. Reste à savoir si l'application sera efficace à l'échelle du Web — les régulateurs ont du mal à suivre le rythme de la mise en œuvre technique — mais le paysage juridique ne traite plus l'empreinte numérique comme une alternative gratuite aux cookies.

Les conséquences pratiques pour les utilisateurs

Si vous utilisez Firefox avec uBlock Origin ou la Protection intelligente contre le suivi de Safari, votre posture de confidentialité s'est améliorée avec la dépréciation des cookies et reste meilleure que celle de Chrome. Firefox bloque les scripts d'empreinte numérique connus. L'ITP de Safari limite le partage de données intersite qui rend l'empreinte numérique commercialement utile. Le Privacy Sandbox de Chrome vous protège d'un certain suivi intersite tout en vous maintenant dans l'écosystème publicitaire de Google.

Si vous êtes un exploitant de site Web qui dépendait des cookies tiers pour l'analyse ou l'attribution, la réponse pratique d'ici 2026 a été : les plateformes de données propriétaires, le suivi d'événements côté serveur et la correspondance basée sur les e-mails avec consentement. Les lacunes de mesure sont réelles mais plus petites qu'on ne le craignait initialement. Ce qui a été perdu, c'est principalement la capacité de suivre les utilisateurs qui se sont explicitement désinscrits — une capacité qui n'aurait probablement pas dû exister en premier lieu.

La question la plus difficile — à savoir si le Web est significativement plus privé sans cookies qu'avec eux — a une réponse inconfortable. Pour la plupart des utilisateurs sur Chrome, dans la plupart des pays, avec les paramètres par défaut, la réponse est : marginalement, à certains égards, tandis que l'empreinte numérique et le suivi côté serveur se sont développés pour combler les lacunes. La dépréciation était une étape réelle et nécessaire. Ce n'était aussi qu'une seule étape.

privacygdprbrowser fingerprintingcookiestrackingadvertisingprivacy-sandbox
Partager: