Le cookie tiers marketing est en train de mourir. Pas brutalement – plutôt par asphyxie progressive, navigateur après navigateur, mise à jour après mise à jour. Et pourtant, quand on demande à la plupart des gens ce qu’est vraiment un cookie tiers, on obtient soit une réponse vague sur ‘la vie privée’, soit un regard qui dit clairement qu’on ferait mieux de changer de sujet. Erwan Ortolland, consultant technique chez Google et ancien de Criteo pendant 5 ans, a eu la patience de démêler tout ça dans un épisode du podcast Banouse – et franchement, certaines choses m’ont surpris.
Ce qui m’a frappé d’emblée : le cookie n’a pas été inventé pour faire de la pub. Du tout. C’est une feature HTTP datant de 1994, poussée par Netscape, pour résoudre un problème basique d’analytics. Comprendre si le même utilisateur passait d’une page A à une page B sur leur propre site. Le marketing s’est greffé dessus bien après, comme il se greffe sur à peu près tout.
Et le truc c’est que ce détail historique change tout à la façon dont on devrait analyser le débat actuel. On parle de ‘fin des cookies’ comme si on parlait de la fin d’une pratique douteuse – alors qu’on parle en réalité de la fin d’une architecture technique qui a rendu possible l’internet gratuit tel qu’on le connaît. Nuance importante.
1994, Netscape, et un problème d’architecture que personne n’avait anticipé
Quelques mots sur l’HTTP d’abord – parce qu’Ortolland insiste dessus et il a raison. HTTP, c’est l’architecture client-serveur qui fait fonctionner le web. Le browser (Chrome, Safari, Firefox) demande du contenu à un serveur, le serveur envoie du HTML, le browser affiche. Simple. Sauf que dans cette architecture, chaque requête est indépendante.
Le serveur voit arriver des milliers de requêtes. Mais il ne sait pas si la requête n°2 vient du même browser que la requête n°1. Netscape, en 1994, a voulu résoudre ça. La solution : stocker un identifiant unique côté client (le browser), et le renvoyer automatiquement à chaque nouvelle requête vers le même serveur.
« Ils voyaient arriver plein de requêtes, plein de gens qui leur demandaient ‘je veux afficher ce site’. Mais ils arrivaient pas à savoir si le même utilisateur a passé d’une page A à une page B. Donc le cookie a permis de répondre à cette problématique. »
Dit comme ça, ça a l’air simple. Et c’est effectivement simple – c’est la beauté du truc. Un cookie, techniquement, c’est un fichier minuscule stocké dans le navigateur, avec une clé et une valeur, un domaine associé, une date d’expiration, quelques paramètres supplémentaires. Et notamment un paramètre – le paramètre Same Site – qui va devenir central dans tout le débat qui suit.
Première utilisation historique du cookie : analytics. Pas retargeting. Pas tracking cross-site. Analytics. Savoir combien de pages un utilisateur a consulté sur un même site. C’est ça. La suite, c’est le marché qui l’a construite – et c’est là que les choses deviennent intéressantes.
Ce que le cookie tiers marketing a vraiment rendu possible – et ce qu’on oublie de dire
Avant de parler de tracking publicitaire, Ortolland fait un point que j’aurais tendance à trouver sous-estimé dans le débat public : énormément de cookies sont utiles pour l’utilisateur, pas pour le marketer.
Ton panier e-commerce qui persiste quand tu reviens trois jours plus tard. Les dates de recherche sur un site de voyage qui sont encore là quand tu rouvres ton onglet. Le fait que tu restes connecté à ton compte sans retaper ton mot de passe à chaque visite. Tout ça : des cookies. First party, fonctionnels, et que personne ne remet vraiment en question.
Le cookie tiers marketing, lui, c’est autre chose. La distinction first party / third party n’est pas une distinction morale – c’est une distinction technique. Un cookie first party est lié au domaine principal affiché dans le browser. Un cookie tiers (third party) est lié à un domaine secondaire appelé dans la page – un pixel de tracking, un serveur publicitaire, un outil de mesure.
« Un cookie first party, c’est un cookie du domaine principal qui est affiché sur le browser de l’utilisateur. Et la second party, c’est plus une méthode ou une technique de vente de cookie – c’est plutôt un élément contractuel que technique. »
Voilà. La deuxième partie de données, c’est un accord commercial entre deux entités, pas une catégorie technique. Ce détail-là, je l’ai vu mal compris dans pas mal de briefs d’agences (ce qui est assez significatif quand on sait que ces briefs orientent des budgets à six chiffres).
Côté usages marketing concrets, Ortolland en cite deux principaux. D’abord, le retargeting : identifier qu’un utilisateur a visité le site d’un annonceur, et lui afficher une publicité pour ce même annonceur quand il se retrouve sur un site éditeur. Les données montrent que les utilisateurs exposés au retargeting achètent plus – ça, c’est établi depuis longtemps. Si vous voulez creuser les mécanique derrière le remarketing Facebook Ads, c’est un sujet connexe qui vaut le détour.
Ensuite, la mesure d’efficacité : vérifier que le même identifiant qui a vu une publicité sur un site éditeur est bien arrivé sur le site annonceur. C’est le fondement de l’attribution publicitaire. Pas très glamour – mais c’est ce qui justifie ou détruit des budgets media chaque trimestre.
Safari a commencé en 2017. Tout le monde a fait semblant de s’en foutre.
ITP – Intelligent Tracking Prevention – c’est le nom du mécanisme de Safari pour bloquer les cookies tiers. Apple l’a lancé en 2017. Pas d’un coup : progressivement, avec des limitations de durée de persistance d’abord, puis des blocages plus francs, puis de la classification par machine learning pour distinguer les cookies first et third party.
Et c’est là qu’Ortolland soulève un point qui gratte : comment classifie-t-on un domaine comme Twitter ou Facebook ? Ces plateformes sont à la fois des destinations directes pour des millions d’utilisateurs (first party donc), et des acteurs du tracking cross-site pour mesurer leurs campagnes publicitaires (third party donc). Le même domaine. Les deux à la fois.
« Facebook sur Facebook, le cookie Facebook sur Facebook, il passe. Le cookie Facebook sur leurs annonceurs, il passe pas avec ITP. »
C’est exactement le problème. Le cookie tiers marketing n’est pas binaire, et les règles qui tentent de le réguler doivent naviguer dans cette ambiguïté.
Firefox (ETP – Enhanced Tracking Protection) a choisi la voie simple : blocage total des cookies tiers, sans nuance. Dès qu’un domaine autre que le domaine principal est appelé, pas de cookie. Terminé. Chrome, lui, a adopté une approche différente – inciter les acteurs du marché à déclarer explicitement l’usage de leurs cookies via le paramètre Same Site. L’idée : depuis février 2020, tous les cookies non déclarés sont traités comme first party par défaut. Ceux qui font du cross-domaine sans avoir fait la déclaration se retrouvent bloqués de fait.
C’est une façon élégante de forcer la transparence sans interdire techniquement quoi que ce soit. Pour l’instant.
Les alternatives au cookie tiers marketing – et pourquoi aucune n’est parfaite
Deux pistes techniques existent pour remplacer – ou contourner – le cookie tiers marketing. Ni l’une ni l’autre n’est vraiment satisfaisante.
Première option : le Local Storage. C’est une autre façon de stocker des informations dans le navigateur, avec un avantage : on peut y stocker bien plus qu’une simple clé-valeur – des tableaux entiers de données. Mais le problème est structurel : le Local Storage est cloisonné par sous-domaine. Pas par domaine, par sous-domaine. Donc pas de persistance cross-site possible. Et certains navigateurs ne le supportent pas. Bref, c’est pour ça que le Local Storage n’a jamais vraiment percé comme alternative sérieuse au cookie tiers marketing.
Deuxième option : le fingerprinting. Là, on change complètement de logique. Plutôt que de stocker un identifiant, on génère une empreinte unique à partir des caractéristiques du device et du navigateur – version du browser, résolution d’écran, processeur, et une trentaine d’autres paramètres récupérés en JavaScript. La combinaison est statistiquement unique d’un utilisateur à l’autre.
« On s’est aperçu qu’il y avait tellement d’informations finalement que d’un utilisateur à l’autre, la combinaison de toutes ces informations était unique. »
Le problème du fingerprinting – et c’est un problème réel – c’est que l’utilisateur ne sait pas que ça se passe, n’a aucun moyen d’y échapper, et aucun moyen d’opt out. Ce qui explique que la plupart des acteurs sérieux du marché hésitent à le pousser frontalement. Ce n’est pas seulement un risque RGPD – c’est aussi un risque réputationnel. Votre DPO aura des choses à dire sur le sujet.
Reste une troisième voie, plus conceptuelle : accepter l’imprécision. Se dire qu’on ne pourra plus mesurer 100% du trafic comme avant, et travailler à partir d’agrégats et de tendances plutôt que de données utilisateur précises. C’est une concession importante – mais c’est peut-être la plus honnête intellectuellement.
Le cookie tiers marketing face au mobile : un monde parallèle
L’environnement in-app, c’est un cas à part entière. Et assez paradoxalement, c’est là où le tracking publicitaire fonctionne le mieux – précisément parce qu’il n’y a pas de cookie.
Sur mobile, l’identifiant publicitaire est créé directement par l’OS. IDFA pour Apple, Android ID pour Android. Un identifiant unique, partagé par l’ensemble des acteurs publicitaires, clairement labellisé comme identifiant publicitaire pour l’utilisateur. Pas d’ambiguïté, pas de cookie matching entre acteurs.
Et c’est là que le web desktop montre ses limites structurelles. Parce que dans l’écosystème RTB classique, chaque acteur a son propre cookie – l’identifiant chez Google n’est pas le même que chez Criteo, pas le même que chez LiveRamp, pas le même que chez Facebook. Pour faire communiquer ces identifiants, il faut du cookie matching – des synchronisations techniques entre acheteurs et vendeurs pour reconnaître ‘le même browser’. Ce n’est pas le même utilisateur d’ailleurs, Ortolland corrige lui-même – c’est le même navigateur. Nuance importante. La bannière publicitaire display et ses 25 ans d’histoire ont laissé une infrastructure technique complexe derrière elles.
Sur mobile in-app, ce problème n’existe pas. L’identifiant est universel dans l’écosystème. Ce qui rend le ciblage et la mesure structurellement plus propres – enfin, jusqu’à ce qu’Apple décide de rendre l’IDFA opt-in avec iOS 14. Mais ça, c’est une autre histoire.
Ce que j’aurais voulu qu’on me dise sur le vrai problème du cookie
À la fin de la conversation, Ortolland pose une question rhétorique qui vaut la peine d’être creusée. Et si le problème des cookies n’avait jamais été technique, mais communicationnel ?
Le cookie first party pour stocker votre panier – personne ne s’en plaint. Le cookie tiers marketing pour financer des médias gratuits – tout le monde crie. Mais techniquement, c’est le même fichier texte, la même architecture. Ce qui a changé, c’est la perception. Et cette perception s’est construite dans un vide d’explication totale.
Franchement, la plupart des acteurs du marché ont raté cette fenêtre. Pendant des années, personne n’a expliqué à l’utilisateur lambda que les publicités ciblées qu’il voyait finançaient les contenus qu’il lisait gratuitement. On a laissé le mot ‘cookie’ devenir anxiogène, on a laissé les bandeaux de consentement devenir des obstacles, et on s’étonne aujourd’hui que le grand public demande à les bloquer.
Ce qui m’agace dans ce débat, c’est que la big picture est pourtant claire : sans publicité ciblée, le modèle de l’internet gratuit s’effondre – ou se refinance par abonnement. Ce n’est pas une position idéologique, c’est une équation économique. Les réseaux sociaux, les médias en ligne, les outils gratuits – tout ça repose sur ce financement. Si vous vous posez la question de l’avenir du tracking côté social, les enjeux de la publicité Facebook et ses données utilisateurs illustrent bien la tension.
Et puis il y a la question du first party data comme réponse à la fin du cookie tiers marketing. Stocker les identifiants directement sur le domaine de l’annonceur, répliquer la logique du tracking en first party. Ça répond partiellement au problème – mais ça casse le cross-site. La vue d’une publicité sur un domaine A, la conversion sur un domaine B : en first party pur, vous ne pouvez pas relier les deux. La mesure post-view devient quasi impossible. Ce n’est pas une limitation marginale – c’est le cœur du tracking publicitaire.
Sur le mobile, l’équivalent de cette tension se joue différemment. Les stratégies d’acquisition qui ont prouvé leur valeur, comme ce lancement à 5 millions de dollars en Facebook Ads, reposent sur des logiques de mesure qui vont être de plus en plus challengées par ces évolutions.
Ce que retient Ortolland – et je le rejoins là-dessus – c’est que le cookie tiers marketing n’est pas fondamentalement mauvais. C’est un outil qui a manqué de transparence. La réponse réglementaire et technique qui se met en place est peut-être nécessaire, mais elle ne règle pas le vrai sujet : est-ce que l’utilisateur comprend le contrat implicite qu’il signe quand il accède à un contenu gratuit en échange de son attention publicitaire ?
Là-dessus, on en est toujours au même point. Et les alternatives au cookie tiers marketing – Local Storage, fingerprinting, first party data, mesure statistique – ne résolvent pas cette question de fond. Elles la contournent. Ce n’est pas tout à fait pareil.
La question de savoir si le cookie tiers marketing survivra sous une autre forme, ou si on assiste à une restructuration profonde de l’économie publicitaire digitale, reste entière. Les écrans connectés et la TV adressable apportent peut-être une piste – avec des identifiants gérés au niveau de l’OS, comme sur mobile, plutôt que par le browser. Mais c’est encore un chantier ouvert.
