Fin des cookies tiers sur Google, toute l'histoire expliquée

Qu’est-ce qu’un cookie ?

En dehors du petit biscuit rond importé d’outre-Atlantique, un cookie informatique (ou témoin de connexion) se définit comme étant « un texte envoyé par un serveur HTTP à un client http ».

De manière plus simple, un cookie informatique est une suite de paires « clés-valeurs » permettant à un site internet d’obtenir des informations sur le comportement de ses utilisateurs. C’est donc un fichier qui enregistre les données de navigation des utilisateurs sur un site web.

Exemple : Schématiquement, lorsqu’un utilisateur (un homme) se rend sur un site de quincaillerie et ajoute un produit (un marteau rouge) à son panier d’achat, un cookie informatique peut rassembler et enregistrer les données suivantes sur l’utilisateur en question :

• « gender = mal »
• « product = hammer »
• « color = red »

Enfin, les cookies ont une durée de stockage, soit une durée légale après laquelle ils doivent être supprimés par l’hébergeur du site internet, variable. La CNIL (Commission Nationale de l’Informatique et des Libertés) recommande une durée limite de conservation de 13 mois. Par exemple, un cookie de la plateforme Tarte au citron possède une durée de stockage de 12 mois.

A quoi sert un cookie informatique ?

Un cookie informatique n’est pas un fichier espion qui surveille l’utilisateur d’un site internet. Il permet aux éditeurs de site web de réaliser des analyses sur le comportement de leurs visiteurs, et ainsi d’améliorer la qualité de navigation sur le site.

Il permet également de tirer des enseignements sur les catégories d’un site les plus consultées d’un site. Ainsi le propriétaire du site peut proposer du contenu, dont il sait qu’il plaira ou intéressera ses visiteurs.

En bref, un cookie informatique sert donc à analyser le parcours et le comportement des utilisateurs d’un site internet et de l’optimiser en conséquence au regard des statistiques observées.

Quelle est la différence entre un cookie tiers et un cookie natif ?

Maintenant que nous savons ce qu’est un cookie informatique, intéressons-nous aux deux types de cookie principaux :

Les cookies natifs ou cookies fonctionnels

Lorsque l’on crée un espace client ou un compte sur un site e-commerce, l’ensemble des données renseignées lors de la création de cet espace (ou de ce compte) sont enregistrées grâce à ce que l’on appelle les cookies natifs.

On parle donc de « cookies natifs » quand les données recueillies par les cookies sont exploitées par le site web qui a installé ces derniers.

[Précision : les cookies natifs enregistrent des données fournies automatiquement par l’utilisateur. Cet élément constitue l’une des clés de compréhension des débats, souvent virulents, qui animent aujourd’hui l’actualité au sujet notamment de la notion de consentement pour les cousins des cookies natifs : les cookies tiers.]

A quoi servent les cookies natifs ?

1. Gagner du temps lors d’une prochaine visite du site web consulté (ex : préférence au niveau des langues, enregistrement de l’identifiant de connexion et du mot de passe, commandes déjà passées etc…)
2. Améliorer le site web en identifiant les rubriques ou catégories du site les plus consultées par les visiteurs. Ainsi, pour reprendre l’exemple cité plus haut, si la quincaillerie en ligne s’aperçoit que ses pages les plus consultées et ses produits les plus achetés sont des marteaux, cela permettra d’en tirer les enseignements et de mettre encore plus en avant l’offre de marteau.

Le cookie tiers

On parle de « cookie tiers » pour désigner les cookies qui ne sont pas hébergés directement sur le site web consulté. Les données recueillies par ces cookies sont exploitées par des « tierces parties », d’où leurs noms.

L’objectif n’est plus seulement d’améliorer le site web consulté ou d’en faciliter la navigation, mais de comprendre le comportement d’un utilisateur en dehors de son site web. Cela pour pouvoir lui proposer le bon produit (ou service) au bon moment. Pour ce faire, les données recueillies sont diffusées à différents partenaires commerciaux, souvent des régies publicitaires.

Pour illustrer, voici à quoi pourrait ressembler un cookie tiers dans vie de tous les jours :

Antoine est allé faire des emplettes cet après-midi. Il est à la recherche d’un beau pantalon noir pour se rendre au mariage de son meilleur ami.

Après être entré dans une première boutique, il tombe sur un pantalon pouvant correspondre à ce qu’il recherche. Manque de bol le vendeur lui apprend que sa taille n’est plus disponible. C’est à ce moment qu’Antoine remarque un autre homme derrière le vendeur, vêtu d’un anorak noir et portant des lunettes de soleil : le parfait agent en filature. Antoine n’y prête pas attention et se rend dans une seconde boutique qu’il affectionne (Les-vices). Il s’informe directement auprès du vendeur pour savoir s’il reste encore des pantalons de couleur noir. Malheureusement pour Antoine, le vendeur lui annonce qu’ils sont en rupture de stock sur ce produit. En sortant du magasin, Antoine croit reconnaître l’homme mystérieux qu’il a croisé dans la précédente boutique, en pleine discussion avec le vendeur.

Antoine se dit qu’il trouvera son pantalon plus tard et décide d’aller s’acheter un en-cas dans la boulangerie la plus proche.

En entrant dans la boulangerie, qu’elle n’est pas sa surprise en apercevant une nouvelle fois l’homme mystérieux en train de discuter avec la boulangère. Celle-ci, après l’avoir encaissé, l’informe qu’elle connait une très bonne boutique au coin de la rue, dans laquelle se vend de très jolis pantalons noirs…

En résumé, il est important de bien faire la distinction entre ces deux types de cookie. Les cookies natifs servent à améliorer l’expérience utilisateur, tandis que les cookies tiers permettent de recueillir des données à destination de partenaires commerciaux. Ces derniers pouvant notamment s’en servir pour proposer de la publicité ciblée.

Tout cela amène à la question suivante : Antoine a-t-il réellement consenti à ce partage de données personnelles ?

La problématique des cookies tiers et du consentement

Derrière les différentes polémiques dont font l’objet les cookies tiers, il y a la question du consentement. En effet, les détracteurs de ces petits fichiers HTML avancent l’argument de l’absence de consentement libre et éclairé des utilisateurs pour justifier leur interdiction.

Pour régler ce problème, qui remonte à quelques années déjà, la CNIL a obligé la mise en conformité de l’ensemble des sites internet au 1er avril 2021, sous peine d’amendes importantes et de mauvaises publicités pour les mauvais élèves. Plusieurs mises en demeure ont d’ailleurs été envoyées récemment à de gros acteurs e-commerce ainsi qu’à des organismes publics pour le non-respect du Règlement Général sur la Protection des Données (RGPD). Ces entreprises et organismes avaient un mois pour se mettre en conformité et proposer aux visiteurs de ces sites internet un bandeau de cookie permettant explicitement d’accepter ou de refuser les cookies informatiques.

La CNIL se veut intransigeante et sévère avec les acteurs qui poussent à l’acceptation des cookies par manque de boutons clairs pour les refuser. Cette instance a donc communiqué sur le fait que les sites web devaient proposer aux internautes une solution permettant « de refuser les cookies aussi facilement que de les accepter ».

Face à ces nouvelles contraintes imposées par la commission en matière de respect de la vie privée et de consentement des utilisateurs, certains sites web ont pris la décision de monétiser le refus des cookies. Ce choix, ces derniers l’expliquent par leur modèle économique qui « repose historiquement sur l’affichage de publicités personnalisées basées sur l’utilisation de cookies publicitaires […] » (voir ci-dessous).

Ci-dessous, les exemples des sites Allociné ou Marmiton :

Quelles solutions pour être en conformité avec le RGPD ?

De nombreuses solutions existent pour recueillir le consentement de l’utilisateur. Elles sont mises en place par des « plateformes de gestion du consentement » ou « Consent Management Platform » (CMP) en anglais.

Ces plateformes, à l’arrivée d’un internaute sur un site, détectent les différents cookies (tiers ou natifs) ainsi que les autres éventuelles actions de tracking qui peuvent être présentes sur la page consultée. Elles garantissent ensuite, en affichant généralement un pop-up, la transparence vis-à-vis des données recueillies par le site. Enfin, elles proposent à l’utilisateur d’accepter ou de refuser les cookies et autres actions de tracking effectués sur le site en question.

A noter que la quasi-totalité des plateformes fournissent ensuite le taux de consentement des utilisateurs. Ce taux peut servir à expliquer, par exemple, une chute de trafic observée sur Google Analytics.

Voici quelques exemples de CMP ci-dessous :

• OneTrust
• Axeptio
• Cookiebot
• TrustCommander
• Tarteaucitron
• Quantcast

Un monde sans cookies ?

Comme nous l’avons vu plus haut dans cet article, les cookies informatiques sont de plus en plus décriés et font l’objet de réglementation vis-à-vis du consentement nécessaire de l’utilisateur. Certains les rejettent totalement du fait de leur caractère invasif dans la vie privée des personnes. Ils les considèrent comme des fichiers regroupant des informations privées, à l’instar d’un carnet de santé, qui doit, a minima, nécessiter le consentement des utilisateurs.

Pour autant, serons-nous amenés à vivre dans un monde sans cookie ?

La réponse est relativement mitigée puisque le débat concerne uniquement la fin des cookies tiers et non celle des cookies natifs. Les solutions de gestion du consentement offrent, en effet, le choix à l’utilisateur d’accepter ou non les cookies tiers seulement. Ainsi, un monde sans cookies n’est pas pour tout de suite…

Néanmoins, Google développe actuellement une mise à jour de son navigateur Chrome pour mettre fin aux cookies tiers. Un premier (petit) pas vers un monde sans cookie… tiers.

Notre agence SEA vous donne d’ailleurs des conseils Google Ads pour faire face à la chute des conversions liée à la limite des cookies tiers.

FLoC en stock

Google connait les enjeux derrière la promesse du respect de la vie privée des utilisateurs. En effet, même si cet acteur domine encore de très loin le marché des navigateurs avec Chrome, de plus en plus de concurrents proposent des solutions plus respectueuses de la vie privée de leurs utilisateurs (Tor / Brave / Vivaldi ou Opera, pour ne citer qu’eux).

Néanmoins, Google connaît aussi les bénéfices que génère la publicité ciblée et personnalisée puisque cela représente, selon les derniers chiffres, plus de 80% de son chiffre d’affaires mondial.

Google se doit de trouver un compromis : ne pas apparaître comme le mauvais élève concernant la protection des données des internautes, mais pas question pour autant de dire adieu à la publicité, synonyme de rentabilité.

La solution ? Le programme Google Privacy Sandbox !

Ce programme, lancé en août 2019, a pour objectif de régler une bonne fois pour toutes les problèmes que posent les cookies tiers en matière de vie privée. Ainsi, il permettrait de garantir la sécurisation des données et le respect de la vie privée des utilisateurs.

Concrètement, le programme Privacy Sandbox de Google est une suite d’API (Application Programming Interface) permettant d’assurer aux annonceurs une continuité dans leurs opérations publicitaires, tout en supprimant les cookies tiers. Les données seraient ainsi stockées au sein du navigateur Chrome avec, grâce aux API, la possibilité pour les annonceurs d’y avoir accès. Là où les données sont directement collectées par les sites internet, elles le seraient désormais par un seul et même acteur : Chrome.

Parmi les différentes API sur lesquelles travaille Google, on peut citer la Trust Token API, qui a pour but de lutter contre la fraude. Celle-ci serait capable de distinguer les humains des robots et pourrait ainsi garantir aux annonceurs la vue de leur publicité par de vraies personnes.

Autre exemple, Gnatcatcher, une solution qui vise à lutter contre le « fingerprinting » (prise d’empreinte) qui, selon la CNIL se définit comme une « technique probabiliste visant à identifier un utilisateur de façon unique sur un site web ou une application mobile en utilisant les caractéristiques techniques de son navigateur »NBP. Ainsi, Gnatcatcher permettrait de masquer l’adresse IP de l’utilisateur pour éviter ce type de pratique qui pose également un problème majeur sur la sécurité des données utilisateurs sur le web.

D’autres solutions sont en cours de développement. La plus connue, qui est aussi la plus controversée, est sans aucun doute la méthode alternative pour le ciblage publicitaire. Appelé Federated Learning of Cohorts (FLoC), ce modèle propose de mettre fin au ciblage « one-to-one » et de le remplacer par un ciblage « one-to-few, basé sur des centres d’intérêts ». Concrètement, FLoC est une solution qui propose de faire reposer le ciblage publicitaire sur le principe de « cohortes » d’internautes, c’est-à-dire d’utilisateurs qui possèdent les mêmes caractéristiques de recherche, grâce à leur historique de navigation.

Ainsi, pour illustrer cela, si une boutique de vêtements haut de gamme, possédant des points de vente à Lyon et Bordeaux, souhaite faire de la publicité en ligne grâce à Google, elle pourra sélectionner la cohorte des personnes résidant dans ces deux villes. Puis, parmi eux, la cohorte des utilisateurs ayant fréquenté récemment des sites de vêtements haut de gamme. Il ne restera finalement qu’un échantillon restreint d’internautes ayant un potentiel de conversion élevé du fait des cohortes auxquelles ils appartiennent .

Google travaille donc bien sur la suppression des cookies tiers et tente d’innover en la matière. Cependant de nombreuses personnes restent sceptiques sur leurs propositions. En plus des questions techniques de faisabilité de ces nouvelles mesures, se pose la question du respect des données personnelles des utilisateurs (NBP). En effet, l’approche de Google est perçue par certains comme un simple passage d’un ciblage individuel à un ciblage collectif, mais ne respectant pas d’avantage le consentement de chacun (NBP). Cela consisterait simplement, grâce à une API, d’aller faire son marché sur les audiences qui intéressent le plus les annonceurs, sans régler pour autant les critiques historiques liées aux consentements de l’utilisateur. La CNIL a d’ailleurs contesté ce nouveau procédé (FLoC) proposé par Google.

FLoC en flop

Plusieurs éléments sont venus récemment assombrir le paysage pour Google.

Tout d’abord, les différentes sorties critiques sur le système FLoC. Les dirigeants de Brave ont par exemple déclaré dans un article diffusé sur leur blog:

« Le pire aspect de FLoC est qu’il porte matériellement atteinte à la vie privée des utilisateurs, sous prétexte d’être respectueux de la vie privée ».

On peut également évoquer la réaction de Vivaldi dans un billet de blog :

« La nouvelle entreprise de Google en matière de collecte de données est perfide ».

Cet article qui d’ailleurs commence par un titre qui en dit long « FLoC off! Vivaldi does not support FLoC ».

En plus de faire face à de nombreuses critiques et refus de la part des autres navigateurs, Google a fait l’objet récemment d’une enquête de l’autorité de la concurrence britannique (CMA – Competition and Markets Authority) concernant son programme Privacy Sandbox.

Plus récemment encore, l’Autorité de la Concurrence en France a sanctionné le moteur de recherche « pour avoir favorisé ses propres services dans le secteur de la publicité en ligne ». Montant de la sanction : 220 millions d’euros.

Face à tous ces obstacles, Google a annoncé le mois dernier le report de la fin des cookies tiers, initialement prévu pour le début de l’année 2022. Ainsi, le géant numérique s’est donné jusqu’à mi-2023 pour parfaire son programme Privacy Sandbox. Dans un communiqué, publié le 24 juin 2021, Google déclare « Ainsi, nous devons progresser à une allure raisonnable afin de permettre la tenue de discussions publiques sur les solutions adéquates, un engagement continu avec les régulateurs, et de permettre aux éditeurs et au secteur de la publicité dans son ensemble de faire migrer leurs services. […] Par ailleurs, en fournissant des technologies de protection de la vie privée, le secteur dans son ensemble contribue à assurer que les cookies ne seront pas remplacés par une autre forme de pistage individuel et empêche le déploiement de techniques de pistage dissimulées comme le fingerprinting. »

Le débat reste entier : les nouvelles solutions proposées par Google parviendront-elles à répondre à l’ensemble des enjeux (économique, social, éthique, technique, libertaire…) et réconcilier les différents acteurs ?

Affaire à suivre…