Comprendre les restrictions sur les cookies

Sommaire

1. Comment fonctionnent les cookies (récapitulatif)
2. Le cadre légal, aka le RGPD
3. Les Ad Blockers
4. Les protections natives des navigateurs
   1. Google Chrome
   2. Mozilla Firefox
   3. Microsoft Edge
   4. Safari

Conclusion et conséquences sur le monde de l’analytics

#1 Comment fonctionnent les cookies (récapitulatif)

Avant de rentrer dans le vif du sujet et sans revenir sur l’article publié précédemment sur le fonctionnement des cookies, il est important de rappeler quelques notions essentielles :

• Les cookies sont un simple fichier texte avec un nom et une valeur associée, un nom de domaine rattaché et une durée de vie.
• Ils sont déposés de deux manières : soit par le protocole HTTP utilisé dans l’échange entre le navigateur et le serveur du site web qu’on cherche à consulter; soit en exécutant du JavaScript dans le navigateur.
• Ils sont stockés sur l’appareil de l’utilisateur et accessibles en lecture seulement depuis le même navigateur et appareil sur lequel ils ont été déposés.
• Les cookies ont plusieurs finalités: certains améliorent l’expérience en ligne en retenant les actions passées comme les produits ajoutés dans un panier, d’autres servent à la personnalisation du site en retenant les préférences de langues par exemple et enfin certains servent au suivi statistique des visiteurs d’un site, à la publicité et au marketing en ligne.
• Le contexte définit si un cookie est propriétaire (1st party) ou tiers (3rd party). Si le site sur lequel on navigue a le même nom de domaine que le cookie, alors le cookie est propriétaire. Si le nom de domaine du cookie est différent, alors c’est un cookie tiers.

Nous allons maintenant nous intéresser au cadre dans lequel les cookies évoluent. 

#2 Le cadre légal, aka RGPD

Pour ceux qui se souviennent du web avant 2017, on peut dire que c’était un plus le far west qu’aujourd’hui. Les cookies tiers étaient souvent posés à l’insu de l’utilisateur et en grandes quantités, lorsqu’on collectait un email peu importait si l’utilisateur avait coché une case ou pas on pouvait le harceler de mails etc.

Mais ça c’était avant. Avant l’apparition du RGPD qui a donné un cadre légal à la collecte et au traitement des données personnelles. D’abord nouveau et flou pour les acteurs du web, ce cadre légal s’est précisé avec le temps. Le plus gros changement est arrivé au 31 Mars 2021 quand la CNIL a demandé à tous les sites internet de se mettre en conformité avec ses nouvelles directives.

Pour bien comprendre l’impact de ces nouvelles règles, il faut d’abord saisir la différence faite par la CNIL entre cookies essentiels et non essentiels. J’en profite pour préciser que sur le site de la CNIL les cookies sont aussi appelés traceurs.

• Les cookies essentiels

La CNIL définit les cookies essentiels comme étant “strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ayant pour finalité exclusive de permettre ou faciliter une communication par voie électronique.”

De manière pragmatique les cookies considérés comme essentiels sont ceux permettant par exemple :

• de garder en mémoire son identifiant et mot de passe pour ne pas avoir à s’authentifier à chaque visite 
• de garder le contenu de son panier sur un site ecommerce
• de mesurer son audience dans certaines conditions
• de sauvegarder la langue de préférence de l’utilisateur etc. 
• de conserver le choix de l’utilisateur concernant les cookies (cookieception)

Une liste plus exhaustive des cas d’usage est disponible sur le site de la CNIL.

• Les cookies non essentiels

A l’inverse, les cookies qui ne rentrent pas dans ces cas d’usage sont considérés comme des cookies non essentiels et doivent faire l’objet d’un consentement préalable de l’utilisateur avant qu’ils puissent être déposés sur son appareil. Les cookies non essentiels les plus courants ont des objectifs de publicité, de mesure d’audience avancé ou encore de personnalisation marketing.

Le recueil du consentement doit se faire avant le dépôt ou la lecture des cookies.  Concrètement le recueil du consentement se fait via un bandeau qui s’affiche sur le site avec un premier niveau d’information concise, et généralement un lien vers une page apportant un deuxième niveau d’information plus détaillée sur les cookies. 

Pour que le consentement de l’utilisateur soit considéré comme juridiquement valide, il faut qu’il réponde à certaines conditions :  

• Le site internet doit fournir une information de qualité à l’internaute sur les finalités des différents cookies afin que celui-ci puisse donner un consentement libre et éclairé. 
• Il doit être aussi facile pour l’utilisateur d’accepter les cookies que de les refuser. Cela se traduit par la présence de boutons “Tout accepter” et “Tout refuser” sur le bandeau cookie. 
• Le silence ou la non réponse ne vaut pas acceptation. Le consentement est valide s’il correspond à un “acte positif clair” de l’utilisateur. 
• La fermeture du bandeau ne vaut pas acceptation, c’est au contraire un signe de refus de l’utilisateur.
• Le site internet doit également permettre à l’utilisateur de retirer son consentement à tout moment et de manière simple. 
• L’acceptation des CGU ne se substitue pas au recueil du consentement.

Lorsque l’utilisateur donne son consentement, le site internet peut alors déposer des cookies non essentiels, peu importe que ces cookies soient 1st party ou 3rd party.

Les différentes études en ligne estimant la perte de trafic collectée dans les solutions de mesure d’audience varient grandement : on parle de baisse allant de 15% à 50%. Il semblerait que l’impact soit différent en fonction du produit ou service proposé, de la typologie d’utilisateur et du device utilisé. Si le sujet vous intéresse j’ai rédigé un article sur les différentes méthodes pour redresser sa donnée suite aux nouvelles directives de la CNIL de Mars 2021.

Petit aparté sur le cas du cookie wall.

Le cookie wall est une pratique qui revient à forcer l’utilisateur à accepter les cookies non essentiels ou à souscrire à un abonnement de quelques euros pour accéder au contenu du site. C’est le cas notamment pour les sites des groupes Webedia, Prisma Media ou AuFeminin. On peut observer des cookies walls sur leurs sites comme par exemple: jeuxvideo.com, Allociné, Marmiton, Terrafemina, 750g, Capital, Cuisine Actuelle etc.

Cette pratique est-elle légale ? Dans un premier temps la CNIL a indiqué que non. Mais le conseil d’Etat a jugé par une décision du 19 Juin 2020 que la CNIL ne pouvait pas interdire l’accès à un site pour le motif que celui-ci conditionne l’accès à son contenu uniquement après acceptation des cookies.

Nous sommes maintenant dans l’attente d’une clarification au niveau européen concernant la licéité de cette pratique. La CNIL indique en attendant déterminer au cas par cas si la pratique du cookie wall est licite et si le consentement de l’utilisateur est libre. Affaire à suivre.

Je recommande cet article de Numerama pour mieux comprendre le cas du cookie wall pour aller plus en détail.

#3 Les Ad Blockers

Les ad blockers sont des extensions qu’un internaute peut installer sur son navigateur et dont le but est de bloquer les contenus publicitaires pour améliorer l’expérience utilisateur. Les ad blockers les plus populaires sont : AdBlock, AdBlock Plus, Ghostery, uBlock Origin, et bien d’autres. 

Ces bloqueurs de publicité font aujourd’hui partie intégrante du web, on estime qu’un internaute sur quatre dans le monde les utilisent lors de leur navigation. L’apparition d’Adblock remonte à 2002 lorsqu’un étudiant danois Henrik Aasted Sørensen a développé la première version de l’extension. Son adoption s’est ensuite rapidement propagée et a favorisé le développement d’extensions similaires.

Au commencement les utilisateurs indiquaient eux-mêmes dans la configuration des ad blockers les domaines qu’ils souhaitaient bloquer. Mais aujourd’hui le modèle a évolué, les bloqueurs de publicité fonctionnent comme un bouclier par défaut. Ils se basent sur des listes d’URL régulièrement mis à jour par les utilisateurs. Au chargement d’une page, le bloqueur va intercepter le contenu venant de domaines contenant des termes comme ads ou advertising par exemple et empêcher l’affichage de ce contenu, comme des images ou des pop-in. La liste utilisée par Adblock Plus est EasyList et les domaines bloqués sont diffusés publiquement. 

De nombreux ad blockers fonctionnent aussi avec des listes blanches de domaines pour laisser passer les publicités considérées comme non intrusives. L’impact négatif des ad blockers sur les revenus publicitaires est tel que Google, Microsoft, Amazon et d’autres versent depuis 2015 une partie de leur revenu à la société Eyeo GmbH, l’éditrice d’AdBlock plus, pour que leurs publicités au format texte ne soient plus bloquées par l’extension. 

Enfin, en plus de bloquer l’affichage de contenus de nombreux adblockers empêchent certains domaines de déposer ou d’accéder aux cookies déjà présents sur le navigateur. Dans la FAQ de Ghostery, l’extension précise qu’elle autorise la communication entre le navigateur et le serveur web mais intercepte cette communication pour ne pas que certains domaines puissent déposer de cookie.

Avec l’extension Adblock sur Google Chrome, il est possible de voir dans la console depuis l’onglet Adblock, les scripts et les images bloquées ainsi que les publicités non filtrées. 

Image et script Facebook bloqués par Adblock

Image de Google Analytics non bloqué et script publicitaire de Google Doubleclick est autorisé

Impact sur la publicité en ligne & la web analyse

L’impact des ad blockers sur la publicité est assez évident : moins d’impressions des annonces donc moins de clics et de revenus. Le fait de bloquer le dépôt et l’accès aux cookies pour certains domaines rend plus difficile le profilage des utilisateurs ainsi que l’attribution des conversions.

De la même manière, certains ad blockers impactent aussi les outils de web analyse en bloquant les scripts ou les cookies de ces outils comme Google Analytics par exemple. C’est alors une partie du trafic et leurs conversions qui est absente de nos rapports.

Quelques ressources pour aller plus loin :

• Un bon article de Ionos sur le fonctionnement et l’impact des Adblockers
• Une analyse de la démographie des utilisateurs des Adblockers
• Un décryptage des idées reçus sur les Adblocker par la solution de mesure d’audience AT Internet
• Pour avoir plus de chiffres sur l’usage des adblockers 

#4 Les protections natives des navigateurs

Les navigateurs sont des logiciels qui permettent à l’internaute d’afficher le contenu de site web sur son appareil. Les plus connus sont Google Chrome, Mozilla Firefox, Safari, Microsoft Edge et d’autres.

Lorsqu’un internaute charge une page web sur un navigateur, celui-ci utilise l’URL de la page pour demander au serveur du site web de lui envoyer les ressources de la page, c’est-à-dire le code HTML contenant le texte, les images, et les autres contenus à afficher. 

Les navigateurs disposent également d’un interpréteur de JavaScript qui permet d’exécuter du code JavaScript et d’une mémoire qui va stocker sur l’appareil de l’utilisateur des données comme les cookies, l’historique de la navigation et le cache. 

Source : article Ionos expliquant le fonctionnement des navigateurs

Les navigateurs sont des cadres qui façonnent l’expérience qu’un utilisateur va avoir sur internet. Depuis quelques années les navigateurs font évoluer leurs paramètres pour essayer de protéger l’utilisateur et lui procurer une meilleure expérience en ligne en travaillant sur la sécurité et la rapidité de la navigation. Cela se traduit concrètement par une certaines limitations sur le dépôt de cookie, la durée de vie des cookies et le blocage de l’exécution de code JavaScript faisant appel à des domaines jugés malveillants ou intrusifs. 

Les cookies et les domaines qui vont être considérés comme dangereux ou intrusifs vont varier d’un navigateur à l’autre. Et cette appréciation évolue dans le temps : les navigateurs ont tendance à renforcer de plus en plus leur protection de l’utilisateur. 

Nous allons faire un tour d’horizon des protections mises en place sur les principaux navigateurs.

Source : le site statcounter.com

Google Chrome

C’est le navigateur le plus utilisé en France, et dans le monde. A ce jour, Google Chrome est un des rares navigateurs à ne pas avoir de mécanisme de protection du tracking de l’utilisateur. 

Aucun domaine ne se voit limiter son accès aux cookies et il n’y a aucune restriction sur les cookies tiers ou propriétaires.

Chrome a annoncé vouloir mettre fin aux cookies tiers progressivement de mi 2023 à fin 2023. Google cherche à combiner protection des données des internautes et maintien d’un écosystème digital où la publicité permet à de nombreux annonceurs de proposer leur contenu gratuitement en ligne. Dans cette optique, la firme américaine a lancé le projet Privacy Sandbox qui sera disponible à terme sur Chrome et sur Android. 

Il faut prendre ces dates annoncées avec un peu de recul car le projet de Privacy Sandbox a démarré en Août 2019 et est toujours en développement, l’arrêt des cookies tiers avait été annoncé dans un post de Janvier 2020 pour être prévu à fin 2022 et a depuis été décalé d’un an. 

Au-delà des dates fluctuantes, ce qui est sûr c’est la tendance de fond de Google Chrome à vouloir mettre fin aux cookies tiers. 

Quelques ressources pour aller plus loin sur Google Chrome : 

• Le blog Chromium qui répertorie les annonces d’évolution de Chrome et du projet de Privacy Sandbox.
• La page sur les protections en place sur Chrome, sur le site cookiestatus. Très bon projet open source, initié par Simo Ahava, qui fait un état des lieux des mécanismes de protections des différents navigateurs.

Mozilla Firefox

Firefox a développé son propre mécanisme de protection : Enhanced Tracking Protection (ETP). Depuis sa mise en place en Septembre 2019 avec la sortie de Firefox version 69.0, les utilisateurs peuvent choisir parmi plusieurs configurations possibles de l’ETP : Standard, Strict et Custom. 

En mode standard, le mode activé par défaut, Firefox bloque l’accès aux cookies tiers pour les requêtes vers des domaines étant reconnus comme trackant l’utilisateur. Pour différencier les domaines fiables des domaines suspicieux ETP se base sur une liste open source, Disconnect.me, qui répertorie des domaines collectant des données sur le parcours des utilisateurs en ligne. Disconnet.me classe ces domaines par catégories : advertising, analytics, cryptomining, fingerprinting etc.

Les cookies propriétaires ne sont pas bloqués sur Firefox. Sauf pour les cookies déposés par des domaines reconnus pour tracker l’utilisateur, dans ce cas Firefox supprime ces cookies s’il n’y pas eu d’interactions sur ces domaines pendant 45 jours. Par exemple, si je navigue sur facebook.com, ce domaine est reconnu pour son pistage des utilisateurs donc si je n’interagit pas directement sur le site facebook.com pendant 45 jours mes cookies propriétaires seront supprimés et je devrais m’authentifier de nouveau sur le site la prochaine fois.

Quelques ressources pour aller plus loin sur Mozilla Firefox : 

• La présentation de l’Enhanced Tracking Protection (ETP) par Firefox.
• Les mécanismes de protection en place contre le redirect tracking
• La page cookie status sur Mozilla Firefox

Microsoft Edge

Le mécanisme de protection de Microsoft Edge s’appelle simplement Tracking Prevention. 

Cette protection par défaut a été déployée en Septembre 2019 avec la version 78.0.276.8 de Microsoft Edge. L’utilisateur a le choix entre trois modes de protection : Basic, Balanced et Strict. Le mode Balanced est sélectionné par défaut.

De manière similaire à Firefox, Microsoft Edge bloque l’accès au cookie pour les domaines reconnus comme trackant l’activité de l’utilisateur en ligne. La classification des domaines se base sur des Trust Protection Lists, elles-même dérivées de la liste Disconnect.me, également utilisée par Firefox.

L’accès aux cookies tiers est bloqué pour certains domaines, ceux inclus dans les Trust Protection Lists. 

Il n’y a pas de restrictions sur les cookies propriétaires.

Quelques ressources pour aller plus loin sur Microsoft Edge : 

• La présentation initiale de Tracking Prevention par Microsoft Edge
• La page cookiestatus sur Microsoft Edge

Safari

Safari est le navigateur le plus strict sur la protection anti tracking. Il utilise son propre mécanisme : Intelligent Tracking Prevention (ITP) déployé initialement en Septembre 2017 avec la sortie de Safari 11 et qui s’est renforcé progressivement depuis. Plus précisément Safari utilise la technologie WebKit qui est un moteur de recherche open source intégré également dans d’autres applications sur macOS et iOS. L’ITP fait partie de WebKit.

L’ITP utilise un algorithme basé sur l’historique de navigation de l’utilisateur pour détecter les domaines suspicieux, couplé à une liste établie de domaine utilisé pour suivre l’utilisateur en ligne, Tracker Radar. Les domaines classés ainsi se voient refuser l’accès à la lecture des cookies, aux données stockées sur le navigateur et à l’adresse IP de l’utilisateur.

Safari bloque également tous les cookies tiers.

Concernant les cookies propriétaires (1st party) :

• Leur durée de vie est limitée à 7 jours s’ils ont été déposés via JavaScript.
• Si l’utilisateur arrive sur une page en provenance d’un domaine connu pour tracker les utilisateurs et que son URL d’arrivée comporte un paramètre de tracking ou une ancre, alors la durée de vie des cookies déposés via Javascript est limitée à 24h
• Les cookies déposés par le protocole HTTP ne sont pas impactés par les restrictions et leur durée de vie n’est pas limitée.

Exemple d’impact sur les régies publicitaires, comme Google Ads / Facebook Ads

Si un internaute clique sur un lien vers un site exemple.com depuis facebook.com ou google.com, ces deux domaines ajoutent un paramètre à l’URL de type fbclid=xxxx ou gclid=xxxx à l’URL d’arrivée qui sera donc exemple.com?fbclid=xxx. Ces deux domaines sont connus pour tracker les utilisateurs et parce qu’en plus l’URL comporte des paramètres, alors ITP bloque la durée de vie des cookies déposés via JavaScript, grâce à un pixel ou un tag, à 24h. 

La conséquence est que si l’utilisateur réalise une conversion dans les 24h elle remontera bien dans Facebook Business Manager ou Google Ads. Si l’utilisateur ne convertit pas directement, revient sur le site plus de 24h après et réalise une conversion à ce moment-là. Alors la conversion ne remontera pas dans les régies publicitaires car le cookie permettant de faire le lien entre le clic initial sur l’annonce publicitaire et la conversion aura été supprimé entre temps. 

Exemple d’impact sur les solutions de web analyse, aka Google Analytics

De la même manière, si un internaute visite le site exemple.com qui a un tag Google Analytics. Le tag va alors déposer via JavaScript un cookie propriétaire avec un identifiant qui va permettre de reconnaître l’utilisateur lors de ses prochaines visites. C’est ainsi que Google Analytics distinguent les new et les returning visitors. Par défaut, le cookie de Google Analytics a une durée de vie de 2 ans qui est réinitialisée à chaque déclenchement d’un tag Google Analytics. Lorsqu’il revient sur le site, le tag Google Analytics détecte qu’un cookie avec un identifiant est déjà présent et l’internaute est alors classé comme returning visitor.

Mais avec ITP si l’utilisateur ne consulte pas le site pendant 7 jours ou plus, le cookie propriétaire de Google Analytics est alors purgé. A la prochaine visite du site, le tag Google Analytics constatera qu’il n’y a pas de cookie et en déposera alors un nouvel identifiant. L’utilisateur sera alors considéré comme un new visitor même s’il a déjà interagi avec le site il y a plus de 7 jours. 

Source: le site cookiestatus.com, qui explique en détail les impacts techniques des protections des navigateurs. 

Quelques ressources pour aller plus loin sur Safari : 

• Un très bon résumé de l’historique de l’ITP depuis ses débuts sur le blog de Simo Ahava
• Le post original de WebKit sur l’ITP
• Les mesures détaillées de l’ITP par WebKit
• Les conséquences de l’ITP sur la publicité et la mesure d’audience

Conclusion et conséquences sur le monde de la web analyse

Les cookies sont depuis longtemps une composante essentielle des secteurs de la publicité en ligne et de la mesure d’audience. On note une tendance de fond de plusieurs années à la protection des données des internautes que ce soit par le cadre légal et le RGPD, par les navigateurs ou par les utilisateurs eux-mêmes via les extensions d’ad blockers.

Cette tendance de fond limite de plus en plus le dépôt de cookie, leur durée de vie et le partage d’informations entre services tiers. 

 Les conséquences pour le monde de l’analytics sont multiples :

• La part de trafic capté dans les outils de mesure d’audience est plus faible qu’auparavant
• La distinction entre nouveaux et anciens utilisateurs d’un site devient de moins en moins fiable
• L’attribution des conversion dans un parcours multi touches se compliquent d’avantages. Il semblerait que le modèle au last click ait toujours de beaux jours devant lui.

La web analyse n’a jamais été une science exacte et elle ne le sera jamais. C’est une discipline qui analyse des tendances à partir de données imparfaites. Les environnements vont, je pense, continuer à se complexifier et c’est pourquoi chaque analyste doit cultiver une appétence technique grâce à laquelle il peut comprendre le contexte dans lequel il collecte sa donnée. Cette compréhension lui permet ensuite d’expliquer à ses interlocuteurs l’histoire que raconte cette donnée et quels apprentissages on peut en tirer pour ensuite proposer et tester des améliorations de la performance d’un site web.