La disparition des cookies sur les sites Web est une histoire ancienne depuis que le tracking existe, et que les navigateurs, extensions et logiciels antivirus ou de nettoyage offrent la possibilité de les supprimer ou de les bloquer. Mais avec l’arrivée du RGPD et des multiples plaintes des internautes, aussi bien la CNIL que les fournisseurs de service comme Google, Facebook ou Apple vont maintenant dans la même direction : la suppression définitive de cette chaine de caractères si lucrative. Mais seuls les cookies tiers seront affectés par cette évolution et Commanders Act dispose déjà des solutions pour continuer de bénéficier des avantages des cookies acceptés et réellement utiles.

Les cookies sont aujourd’hui largement stigmatisés par l’industrie mais les confusions sont telles que des précisions sont à apporter sur le sujet. Ces chaines de caractères permettent d’enregistrer un certain nombre d’options de lecture ou de paramètres techniques d’une visite à l’autre, comme par exemple, la bonne version linguistique d’un site pour un utilisateur, qui s’affichera alors plus rapidement. Ces cookies sont baptisés du terme « First » car ils sont liés au nom de domaine du site Internet. D’autres sont dits « Third », ne sont pas liés au nom de domaine du site, mais émanent de services tiers, publicité ou marketing dans la plupart des cas. Ce sont ces derniers types de cookies que veulent supprimer les prochaines générations de navigateurs Web. En effet, 21% des plaintes déposées à la CNIL en 2018, portaient principalement sur le marketing en ligne.

Dès lors, de grands moyens ont été mis en place. Par exemple, notre Commission nationale de l’informatique et des libertés (CNIL) et l’Europe ont décidé de s’attaquer aux traceurs dont les cookies font partie. Ainsi, si les utilisateurs ne donnent pas leur accord explicite pour la mise en place de ces cookies, les propriétaires de sites ne pourront les installer et recueillir des données. Mais les objectifs sont plus ambitieux et concernent également le Fingerprinting. Ce terme désigne l’activité de collecte, donc de traçage, par un navigateur d’un certain nombre d’informations sur l’appareil d’un internaute telle que l’adresse IP de l’utilisateur et d’autres paramètres pour bâtir une empreinte (fingerprint) qui est unique.

Pour s’attaquer au problème des traceurs, la CNIL a fixé cet été, des lignes directrices et publiera en Janvier prochain, une recommandation sur ce thème et sur le RGPD, qui sera valable jusqu’en Juillet 2020, c’est-à-dire demain.  Ces informations se substituent au retard de la sortie et de la mise en application de l’e-Privacy. Cela sonne donc le glas du soft opt-in, ce consentement accordé par les internautes suite à la simple poursuite de la navigation sur un site Web.

Plus précisément, le RGPD d’un côté est le règlement pour la protection des données qui exige que les entreprises répertorient tous les fichiers contenant des informations personnelles. Il se doit d’être généraliste afin de prendre en compte le digital qui est une partie très spécifique et que vient détailler l’e-Privacy au niveau européen. Une première directive à cette échelle existe depuis 2012. Mais l’e-Privacy sera comme le RGPD. La nouvelle mouture sera un règlement général. La différence entre une directive et un règlement général au niveau du droit européen, est qu’une directive est une retranscription en droit local par tous les états membres. C’est une orientation donnée par l’Europe mais chaque pays décide de l’interpréter et de l’appliquer à sa manière. Un règlement général s’applique de façon uniforme dans tous les états membres.

A noter que les cookies sont des données personnelles et rentrent pleinement dans la définition de l’article 4 de la CNIL qui considère les identifiants en ligne (ici les Cookies persistants, associés uniquement au terminal) en tant que références directes ou indirectes à la personne physique. Le règlement e-Privacy va venir spécifier le Paquet Telecom dans l’univers techniquement complexe du digital et des télécoms, correspondant à un ensemble de directives qui ont modifié en profondeur le cadre juridique des communications électroniques.

Il faut toutefois faire la distinction entre les cookies techniques qui sont pleinement autorisés et nécessaires au bon fonctionnement d’un site et les cookies de tracking liés en particulier aux ciblages publicitaires. La loi ne s’intéresse qu’aux seconds. Clairement visés par les nouvelles règles, leur fonctionnement devra se faire avec le consentement explicite de l’internaute pour chaque traitement effectué.

De plus en plus de trafic via les mobiles

En plus des diverses réglementations, plusieurs facteurs menacent l’existence des cookies de tierce-parties. Le premier est qu’aujourd’hui, selon une étude de Médiamétrie de 2018 sur « L’année Internet en France », plus de 50% du trafic web s’effectue sur des appareils mobiles comme les tablettes et les smartphones, sur lesquels les cookies sur iOS ne sont pas exploitables. Avec une tendance à cette « mobilité » d’Internet, le futur des cookies est plus qu’incertain. Et si les utilisateurs ne peuvent être suivis, les annonceurs supprimeront les budgets actuellement dédiés au ciblage des internautes, ou alors devront relever le défi de cibler les utilisateurs d’appareils mobiles. N’oublions pas non plus, la popularité des bloqueurs de publicité qui sont soit des logiciels disponibles dans le commerce, soit des options dans les navigateurs.

Apple par exemple a mis en place une politique anti-cookies dans Safari qui a quasiment tué le ciblage pub. La plupart des trading desks désertent le navigateur et les médias voient leurs revenus dégringoler en conséquence. Ces trading desks sont des plateformes qui utilisent les données et la technologie afin d’aider les annonceurs à acheter du trafic par le biais des médias numériques.

De son côté, Google va doter la nouvelle version de son navigateur Chrome de fonctionnalités contre les cookies et les traceurs, après avoir rajouté une extension qui permet aux utilisateurs de donner une date d’expiration aux données personnelles. Apple a fait de même en réduisant la durée de vie des cookies de tracking de 30 jours à 24h aujourd’hui avec la version 2.2 de son ITP (Intelligent Tracking Prevention), un programme de protection contre le pistage des utilisateurs, intégré à Safari. Enfin, Microsoft veut proposer de nouveaux contrôles dans son navigateur Edge basée sur Chromium, afin de mieux protéger la vie privée. Rappelons que Chromium est un navigateur web libre qui sert de base à plusieurs autres navigateurs dont certains sont open-source et d’autres propriétaires tels que Google Chrome. Microsoft développe ainsi un tableau de bord de la vie privée avec des options pour configurer le tracking par les sites web.

Les solutions de Commanders Act

Face à cet univers législatif changeant et évolutif, Commanders Act propose son expertise de tracking aboutie depuis de nombreuses années, qui passe notamment par de la délégation de domaine. Un client délègue un sous-domaine de son site à Commanders Act que ce dernier va opérer. Cela permet de faire passer les cookies tiers en « First ». Ces derniers n’étant pas affectés par les nouvelles réglementations, ils continueront de remonter les informations utiles sur les visiteurs vers les clients. La seconde solution s’applique du côté du serveur. Au lieu que l’identifiant et les données transitent par le navigateur de l’utilisateur, ils sont envoyés par le serveur délivrant le contenu. Il faudra tout de même demander le consentement de l’utilisateur pour utiliser cette méthode.

Commanders Act dispose ainsi de deux solutions tout à fait respectueuses des lois et du consentement des utilisateurs, solutions qui seront capables de s’adapter aux modifications juridiques nationales et européennes. Un gage de pérennité pour les clients basé sur une expertise métier et sur laquelle s’appuie Commanders Act et dont la 1^ère proposition de valeurs est la gestion de tags, du tracking et de l’envoi d’informations à ses partenaires.

L’ITP ou l’Intelligent Tracking Prevention, implanté par Apple dans son navigateur Safari, a pour but de protéger l’internaute contre l’usage abusif de données personnelles. Une situation qui a des conséquences importantes pour les marketeurs et les analystes.

Depuis plusieurs années, les internautes ont décidé de reprendre la main sur les données qu’ils laissaient volontairement ou non en naviguant sur Internet. Depuis, la loi, la révolte des utilisateurs et l’image que veulent donner les GAFAM ont changé la donne et donné naissance par exemple à l’ITP.

L’ITP, à quoi ça sert ?

Cette fonctionnalité, intégrée au navigateur Safari, a pour objectif de protéger la vie privée des internautes Apple en limitant leur suivi sur le net, leur tracking, à travers les différents sites. Concrètement, les cookies rendant possible ce suivi (posés en javascript) sont maintenant limités à 24 heures (via les mises à jour iOS 12.3 et macOS Mojave 10.14.5) et cela concerne n’importe quelle landing page.

Ainsi, au-delà de 24 heures entre deux sessions, l’ITP version 2.2, empêche la reconnaissance d’un internaute d’une session sur l’autre. Le parcours client de ces utilisateurs Apple, qui représentent une part de marché d’environ 7% sur le desktop et de plus de 25% sur mobile, est alors rompu : impossible d’identifier la campagne qui a impulsé l’achat chez l’internaute et également impossible d’identifier le partenaire ayant eu le plus gros impact sur cette conversion.

L’ITP 2.2 vise un type particulier de cookie, le First Party. Il s’agit d’un cookie associé au nom de domaine de la page sur laquelle est placé le code du marqueur servant à auditer un site. Et il en existe 2 sortes : les faux et les vrais. Les faux sont ceux qui font croire au navigateur que le cookie est lié au domaine visité par l’internaute via une astuce Javascript.

Les vrais sont des cookies First party posés et traités intégralement dans les règles, soit par le site lui-même soit par une technologie qui dispose d’une délégation de domaine. C’est ce que propose notamment Commanders Act avec son service de délégation de domaine.

Bien évidemment, ce sont donc les « faux » cookies First Party qui sont ainsi ciblés par l’ITP.

Les conséquences

Pour les annonceurs publicitaires, ils peuvent perdre entre 15 et 30% du trafic avec Safari, et via Chrome ou Firefox, le chiffre peut atteindre les 100%. De plus, en application de la directive européenne dite  » paquet télécom « , les internautes doivent être informés et donner leur consentement préalablement à l’insertion de trackers. Ils doivent disposer d’une possibilité de choisir de ne pas être trackés lorsqu’ils visitent un site ou utilisent une application. Les éditeurs ont donc l’obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains trackers sont cependant dispensés du recueil de ce consentement. Dès lors, l’analyse des internautes est plus compliquée. Il existe aujourd’hui certaines solutions d’analytics qui sont exemptées d’obtention du consentement car elles remplissent les conditions suivantes fixées par la CNIL : le cookie doit servir uniquement à la production de statistiques de fréquentation anonymes sur le site en question et ne doit donc pas être recoupé avec d’autres traitements (fichier client, fréquentation d’autres sites…).

L’adresse IP, si elle est collectée, doit être anonymisée. Les cookies créés ne doivent pas être conservés au-delà de 13 mois à partir de la première visite.
N’oublions pas que l’ITP 2.2 réduit ce délai à 24h.

Aussi, face à cette nouvelle version de l’ITP, Commanders Act propose le « Tracking First Party ». Le principe est simple. Le client confie sous forme d’une délégation de domaine, un sous-domaine de son site à Commanders Act. Les faux cookies passent alors en « First » et ne sont plus bloqués par l’Internet Tracking Prevention. Les données d’analyses sont récupérées au-delà de la limite initiale de 24h imposées par l’ITP et de la publicité ciblée peut être affichée sur le site Internet de l’utilisateur si ce dernier reste sur le domaine courant.

Cette solution permet aujourd’hui d’éviter les pertes de connaissance d’un internaute/mobinaute dans le temps, liés aux navigateurs, quels qu’ils soient, en vertu de l’ITP 2.2 ou des autres méthodes mises en œuvre.