Le jeudi 4 janvier 2023 marque la fin officielle des cookies tiers (third-party cookies) dans Chrome. Mais pas pour l'ensemble des utilisateurs du navigateur de Google. Seuls 1% des internautes sont concernés par cette suppression et sont intégrés dans le test baptisé "Tracking protection".
En pratique, lorsqu'ils navigueront sur le web, "les cookies tiers seront restreints par défaut, limitant ainsi la capacité de vous suivre sur différents sites Web", détaille Anthony Chavez, vice-président en charge du programme Privacy Sandbox, dans un billet de blog publié en décembre dernier. Sélectionnés par hasard, les participants seront avertis par une fenêtre dans Chrome. Précision importante : si le site ne fonctionne pas ou mal, ils pourront "réactiver temporairement les cookies tiers pour ce site".
La suppression repoussée à plusieurs reprises
La fin des cookies tiers dans Chrome a été repoussée à de nombreuses reprises par Google qui expliquait vouloir s'assurer que les technologies alternatives fonctionnent pleinement. En effet, l'objectif est de remplacer ces trackings par des systèmes plus respectueux de la vie privée des internautes sans empêcher le ciblage publicitaire en ligne. Pour rappel, un cookie est un fichier stocké par un serveur dans l'appareil d'un utilisateur et associé à un domaine web. Il en existe plusieurs types, parmi lesquels les cookies tiers qui comme son nom l'indique sont ceux déposés sur des domaines différents de celui du site principal. Ils sont en grande majorité utilisés à des fins publicitaires pour savoir quelles pages ont été visitées et collecter des informations sur l'internaute.
Pour développer des alternatives aux cookies tiers, la firme de Mountain View a lancé la Privacy Sandbox qui poursuit trois objectifs : élaborer de nouvelles technologies pour assurer la confidentialité des informations, permettre aux éditeurs et aux développeurs de maintenir la gratuité de leur contenu en ligne et collaborer avec les acteurs du secteur pour développer de nouvelles normes de protection de la confidentialité sur Internet. Dans ce cadre, l'entreprise met à disposition un ensemble d'API, dont la phase d'évaluation s'est terminée le 20 septembre 2023.
L'API Topics, la publicité ciblée par centres d'intérêts
Parmi les API proposées, on trouve par exemple l'API Topics qui permet de faire de la publicité ciblée via les centres d'intérêts. En pratique, Chrome va identifier des thèmes représentatifs des principaux centres d'intérêts des internautes – fitness, voyage... – en fonction de leur historique de navigation. Les catégories "potentiellement sensibles", tels que le genre ou l'appartenance ethnique, sont exclues. Ces thèmes sont conservés en mémoire pendant trois semaines avant d'être supprimés. Ce processus se déroule entièrement sur l'appareil, sans impliquer de serveurs externes, précise Google.
Aux éditeurs et développeurs de s'emparer de ces nouveaux outils afin d'anticiper la fin des cookies tiers qui devrait être pleinement effective au troisième trimestre 2024. Un lancement qui ne pourra être possible que si Google répond "aux problèmes de concurrence restants [soulevés] par la Competition Markets and Authority", précisait Anthony Chavez. L'équivalent britannique de l'Autorité de la concurrence a ouvert le 7 janvier 2021 une enquête sur la Privacy Sandbox craignant des violations du droit de la concurrence. Après avoir entendu les avis des tiers intéressés, elle a finalement validé les engagements pris par Google en février 2022. En parallèle, elle a publié des documents annexes visant à conseiller "les éditeurs et les annonceurs sur la manière dont ils peuvent tester la Privacy Sandbox".
La CMA s'inquiétait que la Privacy Sandbox n'engendre "une concentration encore plus grande des dépenses publicitaires sur l'écosystème de Google au détriment de ses concurrents" en nuisant "à la capacité des éditeurs à générer des revenus et saper la concurrence dans la publicité numérique". Pour rappel, Chrome capte l'essentiel des parts de marché, près de 64% d'après Statcounter.
Articulation entre RGPD et Privacy Sandbox
Certains acteurs du secteur, rassemblés sous la bannière de l'association Movement for an Open Web (MOW), ont également soulevé des préoccupations relatives à la protection de la confidentialité en ligne. Elle accuse Google de collecter de nombreuses données personnelles via "un processus adhésion qu'il est difficile pour la plupart des internautes d'éviter". De son côté, la Commission nationale de l'informatique et des libertés (Cnil) a pris position en déclarant que "ce n'est que si l'information des personnes et le recueil de leur consentement sont correctement effectués que le recours à la 'Privacy Sandbox' permettra des pratiques plus respectueuses de la vie privée".
Si des données à caractère personnel sont traitées via les API, le Règlement général sur la protection des données (RGPD) devra être respecté, en particulier le consentement des internautes. Ce qui nécessite d'éplucher chaque API. Lukasz Olejnik, PhD spécialisé dans la sécurité et la protection des données, s'est penché sur le cas de l'API Protected Audience qui propose de nouvelles méthodes protégeant la confidentialité pour alimenter les solutions de remarketing et d'audience personnalisées afin que les annonceurs puissent réengager les visiteurs de leur site. Dans ces travaux issus de sa thèse menée à l'université d'Édimbourg en Ecosse, il explique que cette API peut être déployée sans avoir recours à des données personnelles. Le RGPD ne s'appliquerait donc pas.
Le doctorant précise en revanche que s'agissant "d'information" la directive européenne ePrivacy s'appliquerait a priori et nécessiterait donc de collecter le consentement de l'utilisateur. Par conséquent, il appelle à une révision de ce texte qu'il estime être "incompatible avec les technologies faisant progresser la vie privée" car "elle ne motive pas leur développement ou leur déploiement". "Des dispositions équilibrant les conséquences de l'article 5 (3) (...) ou des exemptions – comme dans le cas de la directive, lorsque les cookies sont strictement nécessaires – devraient être envisagées", juge-t-il.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
