- Il y a de moins en moins de cookies tiers sur le Web. On s'en doutait un peu, on en a désormais la certitude grâce à des données communiquées en exclusivité par Didomi pour Minted.
- L'occasion de s'interroger sur les conséquences de cette disparition qui ne signifie pas pour autant celle du tracking. Car, comme vous le verrez dans cet article, ce dernier prend de nouvelles formes, pas toujours facilement visibles.
Les cookies tiers se font de plus en plus rares sur les navigateurs des utilisateurs. On s’en doutait mais on en a enfin la preuve, grâce aux données communiquées par Didomi en exclusivité pour Minted.
Agnostik, solution rachetée par Didomi en janvier 2022, monitore en effet depuis plus de 3 ans le volume de traceurs présents sur les sites membres du Syndicat des régies Internet, soit une soixantaine de sites parmi les plus consultés de l’Internet français.
“Un travail de vigie qui permet à ces derniers de mieux comprendre et maîtriser leur écosystème”, explique Frank Ducret, fondateur d’Agnostik, désormais VP Strategy chez Didomi. Un travail qui nous permet aujourd’hui de mettre en lumière la disparition progressive des cookies tiers.
Le volume de traceurs différents présents au sein de chaque site membre du SRI est en effet passé de 9 981 en moyenne sur l’année 2021 à 6 765 pour l’année 2023. Avec une bascule qui s’est surtout opérée à partir de fin 2022.
2021 | 9981 |
2022 | 9230 |
2023 | 6765 |
Plusieurs explications à cette chute de plus de 30%. Il y a d’abord la politique menée par Firefox et Safari, qui interdisent le recours à ces dispositifs de tracking depuis plusieurs années. Les deux navigateurs représentent un peu moins de 25% du trafic Web dans le monde. Pas anodin mais pas forcément explicatif de cette bascule puisque l’interdiction date de 2019 pour Firefox, 2020 pour Safari.
Il y a surtout eu le durcissement des recommandations de la Cnil sur les cookies et les traceurs qui a fait chuter, à partir d’avril 2021, le taux de consentement au tracking par les utilisateurs. Ce taux, qui avoisinait les 95-98% avant cette date, est désormais plutôt situé autour des 80-90% selon les typologies de sites. Le nombre de cookies (1st ou 3d) déposés par chaque site a mécaniquement été impacté.
On peut aussi citer une rationalisation dans les pratiques des partenaires publicitaires qui, se sachant sous surveillance, ont fait preuve de modération au fil des années, arrêtant de déposer des cookies pour des évènements qui ne les intéressent pas forcément. “On est passé de 20 à 15 traceurs déposés en moyenne par chaque vendor”, chiffre Frank Ducret.
Les utilisateurs sont-ils moins trackés pour autant ? Pas vraiment, si l’on en croit Frank Ducret, qui explique qu’on assiste, en réalité, à une transformation du type de cookies déposés sur votre navigateur.
"Une bonne partie des cookies tiers se sont transformés en cookies first party"
“On observe qu’une bonne partie des cookies tiers se sont transformés en cookies first party, une typologie de cookies qui est toujours autorisée par Safari et par Chrome”, observe Frank Ducret. Une typologie de cookies qui, pour la plupart des finalités (notamment publicitaires) n’est évidemment pas exempte de consentement.
“En 2021, les cookies tiers représentaient environ 60% des traceurs identifiés au sein des sites du SRI en période de forte activité publicitaire, chiffre Frank Ducret. Depuis le troisième trimestre 2022, le ratio s’est inversé.” Depuis cette date, les cookies tiers ne pèsent jamais plus de 40% des cookies déposés, quel que soit le niveau d’activité publicitaire.
“Ce ratio est en constante baisse sous l’essor de pratiques comme la délégation de sous-domaine, via la méthode du Cname ou le tracking server-side”, poursuit Frank Ducret. Popularisé par Criteo début 2020, le Cname a essaimé au sein des sites français. On peut aussi citer l’apparition de FirstID, la solution lancée par des anciens de Prisma Media en août 2022, une solution permettant aux éditeurs de s’appuyer sur un cookie 1st party pour faire du tracking cross-domaines.
Le tracking server-side, pratique qui consiste à envoyer les données collectées par un site web vers un serveur “first party”, lequel se chargera de les traiter et de les dispatcher auprès de vos partenaires publicitaires, a lui aussi le vent en poupe. Du côté des grandes plateformes publicitaires, qui y voient un moyen d’attribuer jusqu’à 30% de conversions supplémentaires comme des annonceurs, qui y voient eux l’occasion de reprendre le contrôle.
Dans cette configuration, ce n’est, en effet, plus le partenaire qui récupère un peu ce qu’il veut, via des cookies tiers, c’est l’annonceur qui collecte la donnée et l’envoie dans un serveur qui sera chargé de la dispatcher (selon le bon vouloir de l’annonceur) aux concernés. “Tout cela se fait évidemment avec l’accord des éditeurs de sites et des opérateurs”, précise Frank Ducret.
Vous l’aurez donc compris, les internautes ne sont pas, comme la Cnil ou les navigateurs l’espéraient, moins trackés. Ils le sont différemment. Surtout, ils le sont d’une manière qui est beaucoup plus difficile à identifier. Erwan Lohezic, le cofondateur de 3qtz, ne manquait pas de relever ce problème d’opacité dans notre article consacré au tracking server-side.
“Avec les cookies tiers, la Cnil pouvait facilement voir qui collectait quoi et s’assurer que le consentement de l’utilisateur était bien respecté. Bon courage pour faire de même avec le tracking server-side.” De là à imaginer les experts de la Cnil débouler dans les locaux de certains médias, accompagnés d’huissiers, pour voir ce qui se passe dans les fameux serveurs intermédiaires ?
Ils n’en auront pas forcément besoin, lui répond Pixel de tracking, activiste spécialisé dans les sujets de protection de la vie privée. “On peut généralement voir les échanges "first party" depuis des outils comme la Chrome DevTools ou Charles Proxy même si un éditeur peut, avec un effort non négligeable, cacher tout ce qui touche à l'analytics et au tracking des conversions via du tagging server-side.”
Plutôt que des considérations techniques, ce sont des considérations juridiques qui seraient susceptibles de freiner le travail de la Cnil, comme le révélait le site spécialisé dans les sujets liés au tracking, Dignilog. Le gendarme des données personnelles a ainsi reconnu que ses lignes directrices sur les traceurs ne s’appliquent qu’aux opérations de lecture et d’écriture qui s’effectuent au sein du terminal de l’utilisateur. “Si des données sont lues et échangées entre des serveurs “en back-office”, sans passage par le terminal de l’utilisateur, l’article 82 de la directive eprivacy ne s’applique pas”, répondait le gendarme des données personnelles à un groupement d’éditeurs en octobre 2020.
“Si des données sont lues et échangées entre des serveurs “en back-office”, sans passage par le terminal de l’utilisateur, l’article 82 de la directive eprivacy ne s’applique pas”
Il n’en fallait pas plus pour que certains se demandent si, du coup, le tracking server-side pouvait être exempté de consentement. C’est précisément la question qu’a posée l’un des clients de Didomi à Frank Ducret, s’interrogeant sur la possibilité de se passer d’une CMP avec l’avènement du server-side et la disparition des cookies tiers.
“La réponse est évidemment non, puisque le RGPD impose d’obtenir le consentement de l’internaute avant de collecter des données qui le concernent”, prévient d’emblée Frank Ducret. Mais on ne doute pas qu’ils sont nombreux à se poser la question et qu’ils le seront encore plus dans les mois à venir alors que Chrome a fait disparaître les cookies tiers des navigateurs de 1% de ses utilisateurs, ce 4 janvier, et que la démocratisation du tracking server-side n’en est sans doute qu’à ses prémices.
Un exemple de plus, s’il en fallait, de l’incertitude dans laquelle la disparition des cookies tiers jette le marché de la pub. “On a mis un terme aux cookies tiers sous couvert de mieux respecter la vie privée mais on va peut-être se rendre compte que la disparition de ces outils qui étaient identifiables, attribuables, traçables, universels et gratuits, va donner lieu à des pratiques plus atomisées et opaques”, résume Frank Ducret.
Les navigateurs, qui ont le tracking server-side dans leur viseur, en ont eux aussi conscience. C’est le cas de Safari, le navigateur d’Apple, qui a annoncé récemment qu’il prendrait désormais en compte l’IP du site web et celle du serveur du sous-domaine lié au serveur où sont envoyées les données, dans sa définition d’un cookie 1st party.
“Il faut à présent une correspondance minimum de 50% entre les IP du site et du serveur pour être considéré comme first-party par Apple”, nous expliquait Julien Mante, manager data marketing chez M13h. Pas de quoi refroidir les spécialistes de la mesure, qui ont déjà imaginé des subterfuges pour y remédier, via un cookie master ou du reverse proxy. Un jeu du chat et de la souris, comme c’est souvent le cas avec Apple.