Découvrez nos domaines d'expertise

Data News

Mise à jour de la politique de cookies Google Chrome, quels impacts sur votre tracking et vos AB tests ?


Martin Villers

le 9/07/2019
aucun commentaire

Après Firefox et Safari, c’est au tour de Google d’annoncer une mise à jour de son navigateur afin d’améliorer la protection de la vie privée de ses utilisateurs. Au menu de cette mise à jour : une nouvelle politique de gestion des cookies à travers l’attribut SameSite et une protection améliorée contre les pratiques de fingerprinting.

Dans cet article, nous vous proposons de découvrir le contenu de cette mise à jour ainsi que les impacts possibles sur votre tracking et vos AB tests.

I – Protection de la vie privée et mise à jour des cookies via l’attribut Same Site :

Dans les prochains mois, Google Chrome va imposer une labellisation explicite des cookies par les développeurs.  Utilisant (entre autre) l’attribut SameSite, la feature privacy de Chrome permettra à l’utilisateur de choisir les typologies de cookies (first, second ou third) qu’il accepte, et cela sans impacter son expérience de navigation (cookies basket, login…). Dans le même temps, cela diminuera les risques liées aux attaques CSRF (Cross Site Request Forgery) et XSSI (Cross Site Script Inclusion) .

Ainsi, Google proposera  un tableau de bord regroupant les différents cookies actifs qui permettra à l’utilisateur de sélectionner les cookies qu’il souhaite activer ou non. Il est probable que cette évolution prenne la forme d’une extension Google Chrome.

 « Nous voulons que les utilisateurs aient un vrai choix et puissent exercer un contrôle effectif », a expliqué Ben Galbraith, chargé de Chrome chez Google, à l’agence Bloomberg.

D’un point de vue technique, l’attribut SameSite donne la possibilité aux développeurs de déclarer dans quel contexte une requête peut accéder aux données contenues par les cookies. 

SameSite proposera deux politiques de cookies différentes : Strict et Lax.

La politique Strict : Le cookie sera uniquement accessible par le site qui l’a lui même déposé, et seulement en accès direct.

Concrètement qu’est-ce que cela signifie ?

Vous naviguez sur votre site e-commerce favori en étant connecté à votre compte. Un ou une amie navigue sur ce site et se dit : “Tiens, ce T-shirt irait très bien à Martin”, et vous envoie le lien vers la fiche produit. Sachez que si le site en question utilise l’attribut SameSite en mode Strict, vous ne serez pas détecté en tant qu’utilisateur connecté, même si vous l’êtes dans un autre onglet de navigateur.

On imagine assez facilement la confusion pouvant être induite chez l’utilisateur par ce type de comportements du navigateur. C’est pourquoi Chrome proposera une autre politique : la politique Lax.

La politique Lax : Il s’agit là d’une variante de la politique Strict qui ajoute une exception à l’envoi du cookie dans le cas où la requête provient d’un autre site. Le cookie sera communiqué au site tier si la requête est jugée “safe” (principalement les requêtes GET) dans le cadre d’une navigation de premier niveau, c’est-à-dire impliquant un changement d’URL.

Que se passera-t-il pour les cookies “ancienne génération” ?

Les cookies qui n’auront pas été mis à jour par les propriétaires de site web, et ne disposeront par conséquent pas d’attribut SameSite en en-tête, utiliseront automatiquement l’attribut “None”. Chrome les considérera alors comme des cookies inter-sites ou des cookies de tracking. 

 

II- Une mise à jour pour contrer le Fingerprinting

Tout d’abord, qu’est-ce que le Fingerprinting ?

Le « browser fingerprinting » désigne l’activité de collecte par un navigateur d’un certain nombre d’informations sur l’appareil d’un internaute pour bâtir une empreinte (fingerprint). De nombreuses études ont montré que cette empreinte est unique dans la très grande majorité des cas et évolue très lentement. Il est ainsi possible de l’utiliser pour tracer les internautes, sans laisser aucune trace sur l’appareil.

Source : https://connect.ed-diamond.com/MISC/MISC-081/Le-fingerprinting-une-nouvelle-technique-de-tracage

Parallèlement au chantier de l’attribut SameSite, Google travaille sur une solution qui a pour but de restreindre les pratiques de Fingerprinting. Même si peu d’informations ont filtré jusqu’à ce jour, nous savons tout de même que l’idée générale sera de ne pas exposer (ou très peu) les différents éléments permettant d’identifier les utilisateurs via ces pratiques.

III- Quels impacts pour vos analytics et AB tests ?

Ne ménageons pas le suspense : la majeure partie des solutions d’AB testing et de tracking utilisant des cookies first party sans attribut SameSite, ceux-ci passeraient automatiquement en attribut « None« . Ils seraient donc considérés, si l’on en croit les annonces Google, comme des cookies inter-sites ou des cookies de tracking. L’impact sera donc mineur (dans un premier temps…).

En revanche, le constat est plus alarmant pour le secteur de la publicité en ligne qui utilise quant à lui des cookies third party.

 

Sur le même sujet : 

ITP2.1 : Quelles conséquences sur le tracking de vos utilisateurs ?

A quoi servent les cookies ?

Tweet about this on TwitterGoogle+Share on FacebookShare on LinkedIn

Participer à la discussion

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

x
Je souhaite recevoir les techniques d'optimisation de la conversion

L’optimisation de la conversion est un sujet qui vous intéresse ?

Visitez notre blog et découvrez les secrets et best practices d’une politique CRO réussie !

Visiter le blog Continuer ma navigation

L’optimisation de la conversion est un sujet qui vous intéresse ?

Visitez notre blog et découvrez les secrets et best practices d’une politique CRO réussie !

Visiter le blog Continuer ma navigation