Les cookies, c'est bientôt fini

Depuis quelques mois, des navigateurs majeurs tels que Firefox ou Safari annoncent tour à tour la fin des cookies tiers. Google Chrome devrait également les enlever d’ici 2022.

Que sont les cookies ?

Les cookies sont des éléments techniques qui permettent notamment aux annonceurs et aux serveurs publicitaires de mieux cibler leurs produits. Ils permettent de suivre le comportement et les préférences des internautes.

Ainsi un site web par exemple peut mettre en place un tracking analytics pour déterminer les pages les plus consultées, les principales source de trafic ou encore ce qui déclenche ou avorte un achat, etc.

En profilant ainsi l’internaute, on peut, entre autre, maximiser les chances qu’il clique sur telle ou telle publicité et même qu’il convertisse son clic en un achat concret.

Techniquement, un cookie, aussi appelé cookie HTTP, est un petit paquet de données qu’un ordinateur va recevoir et renvoyer sans l’altérer.

RGPD vs publicité

Nouveaux concepts

Certains acteurs du marché de la publicité ont connu un âge d’or grâce à l’utilisation de ces cookies.

Des poids lourds de la pub comme Critéo, spécialiste du retargetting, autrement dit du reciblage publicitaire, sont désormais contraints de changer de modèle économique car leurs modèles actuels reposent entièrement sur les cookies tiers.

La RGPD a introduit le concept de donnée personnelle en l’associant à « toute information se rapportant à une personne physique identifiée ou identifiable » ainsi que le concept de traitement des données personnelles.

Ce nouveau réglement ne concerne d’ailleurs pas seulement les systèmes informatisés, le format papier doit aussi garantir un respect de la vie privée et une protection des données personnelles.

Nouvelles contraintes

Globalement l’esprit de la RGPD est d’améliorer le consentement de l’utilisateur en l’informant sur les données collectées et leur utilisation.

Le deuxième objectif est de forcer les entreprises à améliorer la sécurité pour réduire les fameuses fuites de données personnelles qui font régulièrement l’actualité.

Enfin, l’utilisateur doit pouvoir accéder aux données collectées afin de les modifier ou encore de les supprimer.

Changements concrets

Cela s’est principalement traduit par des mentions légales remaniées ainsi que des popups dans tous les sens, sur tous les sites web, invitant l’utilisateur à donner plus ou moins son consentement.

Plusieurs écoles : certains se contentent encore d’un simple bandeau d’information dans le pied de page, d’autres le mettent tout en haut de la page, certains rajoutent des éléments cliquables dans leurs bandeaux notamment pour permettre aux internautes de désactiver le traçage.

D’autres vont jusqu’à utiliser une CMP, Consent Management Platform. Le but de ce genre de plateformes est de collecter en un ou deux clic un consentement global qui sera transmis à tous les partenaires publicitaires.

Gros cafouillages

Un beau bordel !

Passez-moi l’expression mais en même temps elle décrit bien ce qui se passe avec la RGPD et sa mise en application pour les sites web.

La vérité est que, même si la plupart des sites font de leur mieux pour respecter la RGPD, personne ou très peu sont véritablement dans la légalité sur cet aspect.

La blogosphère essaie de vulgariser les concepts et les outils censés permettre aux sites de se mettre en conformité mais cette initiative est un peu à double tranchant car les obligations peuvent différer d’un site à l’autre et car, malheureusement, beaucoup de fausses informations, du moins incomplètes, sont relayées.

Pratiques douteuses ?

J’ai déjà constaté des pratiques très douteuses comme le principe du consentement au scroll. Ne riez pas, je suis très sérieux, certains sites ont parfois mis en place des CMP (dont je parlais plus haut) complexes remplies de cases à cocher et décocher mais qui disparaissent quasi instantanément au scroll ou encore au rechargement de la page.

Je ne crois pas que scroller, autrement dit faire défiler l’écran de bas en haut ou de haut en bas, puisse être considéré comme un consentement aux cookies publicitaires !

En revanche, à mon sens, il ne faudrait pas se méprendre sur les véritables raisons qui motivent ces pratiques ou qui font que certains sites ne vont pas jusqu’au bout de la RGPD.

Pour certains business, appliquer à la lettre les principes de la RGPD, aussi justifiés soient-ils du point de vue utilisateur, c’est mourir.

Google le tueur

Ce qui fait trembler le marché de la publicité c’est bien la récente annonce de M. Schuh, directeur de l’ingénierie sur le navigateur web Chrome.

Chrome capte plus de 60% des parts du marché des navigateurs en 2020. Cette annonce de la fin des cookies tiers a semé un vent de panique, Critéo a perdu plus de 15% en bourse par exemple.

Le consortium IAB a publié un framework qui est un support technique à destination des différents acteurs du marché afin de facilité la mise en conformité vis-à-vis de la RGPD.

Google est un autre géant de la publicité. Il aura attendu mars 2020 pour se mettre en règle. La RGPD est entrée en vigueur en 2018 pour rappel…

Si Google se permet d’annoncer la fin des cookies, c’est parce qu’il est en mesure de continuer à pister les internautes sans. Non content de ne pas avoir respecté la RGPD jusque là, il a développé des armes de guerre pour littéralement tuer le marché ainsi qu’un message commercial très axé sur le « respect de la vie privée ».

Privacy sandbox

Pour éliminer les cookies tiers, Google propose sa privacy sandbox.

Le but affiché est de les remplacer par des APIs plus respectueuses de la vie privée. On parle pour l’instant de 5 APIs différentes que les annonceurs devront utiliser pour récupérer les informations dont ils ont besoin.

Par exemple, la Trust API viendrait remplacer les horribles CAPTCHA que Google a tendance à mettre partout d’ailleurs, ce qui est très pénible mais peut-être pas autant que les CAPTCHA d’Orange :

Vers l’ID universel

Beaucoup disent que le projet de privacy sandbox de Google ouvre la voie à ce qu’on a appelé Google universal identifier.

Actuellement, les cookies tiers permettent déjà une sorte d’identification numérique par le comportement. Il ne s’agit pas d’une identification avec un nom, un email ou autre mais plus d’un profil qui se retrouve classé dans une catégorie pour le reciblage publicitaire.

Google pourrait aussi tuer cette partie de la chaîne afin de s’assurer un plus large contrôle.

Cela présente certains avantages pour les internautes mais les acteurs du marché dénoncent une dérive potentielle, à savoir un accès privilégié aux données utilisateurs pour l’écosystème Google…

A suivre. Google s’est donné 2 ans pour la mise en place.

Un peu de technique

Depuis la version 80 de Chrome, l’attribut SameSite est obligatoire pour déposer des cookies tiers.

Si cette valeur n’est pas précisée, Google attribue une valeur Lax. SameSite peut prendre d’autre valeurs bien sûr.

Cet article sur webdev est très bien fait, je vous recommande sa lecture. Les valeurs possibles sont donc Lax, Strict et None mais à quoi sert cet attribut ?

Cet attribut fonctionne un peu comme le HttpOnly et le Secure, il agit sur le comportement des cookies. Le but ici est de lutter plus efficacement contre des attaques de type CRSF et XSSI (Cross-site script inclusion).

En mode strict, les cookies ne sont envoyés que si la requête provient du même site. En mode lax, ce n’est pas le cas.

Mais comment les pirates utilisent ces failles ?

Il y a plein de moyens possibles mais l’envoi d’emails contenant des images vérolées est très fréquent. C’est pour ça au passage que, sur Gmail ou d’autres client mail, les images ne sont pas affichées par défaut.

On peut faire cliquer facilement la cible sur une image avec un lien qui lance des actions en profitant du fait que la victime est connectée à tel service ou telle application.

A noter que Chrome a annoncé avoir rollback (~ annulé provisoirement) le SameSite suite à la pandémie du covid19.

Source

Conclusion

Une transition qui va faire des victimes sur le marché de la pub mais également dans les écosystèmes rattachés qui vivent des revenus publicitaires.

Côté utilisateur, en revanche, c’est plutôt une bonne nouvelle même si les intentions monopolistiques qu’on prête à Google sont préoccupantes.