Comment se préparer à la fin des cookies tiers, par Google, Google désactivera les cookiers tiers de 100% des
Comment se préparer à la fin des cookies tiers, par Google, Google désactivera les cookiers tiers de 100% des utilisateurs à partir du troisième trimèstre 2024
Si votre site utilise des cookies tiers, il est temps d'agir car leur suppression approche. Chrome prévoit de désactiver les cookies tiers pour 1 % des utilisateurs à partir du 1er trimestre 2024 afin de faciliter les tests, puis de passer à 100 % des utilisateurs à partir du 3e trimestre 2024. Le passage à 100 % des utilisateurs est subordonné à la résolution des problèmes de concurrence qui subsistent au sein de l'autorité britannique de la concurrence et des marchés (CMA).
L'objectif avec le "Privacy Sandbox" est de réduire le suivi intersite tout en permettant la fonctionnalité qui maintient le contenu et les services en ligne librement accessibles à tous. La dépréciation et la suppression des cookies tiers résument le défi, car ils permettent des fonctionnalités essentielles telles que la connexion, la protection contre la fraude, la publicité et, de manière générale, la possibilité d'intégrer des contenus riches et tiers dans vos sites, mais en même temps, ils sont aussi les principaux catalyseurs du suivi intersites.
Lors de sa dernière grande étape, Google a lancé une série d'API offrant une alternative au statu quo actuel, axée sur la protection de la vie privée, pour des cas d'utilisation tels que l'identité, la publicité et la détection des fraudes. Ces alternatives étant en place, Google peut maintenant commencer à éliminer progressivement les cookies tiers.
Dans cette article sur le compte à rebours des cookies, on vous présentera le calendrier et les mesures immédiates que vous pouvez prendre pour vous assurer que vos sites sont prêts.
1 % de suppression des cookies tiers et tests facilités par Chrome
Sur le calendrier de privacysandbox.com, vous pouvez voir deux étapes approcher au quatrième trimestre 2023 et au premier trimestre 2024 dans le cadre des modes de test facilités par Chrome. Ces tests sont principalement destinés aux organisations qui testent les API de pertinence et de mesure de Privacy Sandbox, mais dans le cadre de ces tests, Google désactivera les cookies tiers pour 1 % des utilisateurs de Chrome Stable.
Cela signifie qu'à partir du début de l'année 2024, vous pouvez vous attendre à voir une proportion accrue d'utilisateurs de Chrome sur votre site avec des cookies tiers désactivés, même si vous ne participez pas activement aux tests facilités par Chrome. Cette période de test se poursuivra jusqu'au troisième trimestre 2024, date à laquelle, après consultation de la CMA et sous réserve de la résolution de tout problème de concurrence, Google prévoye de commencer à désactiver les cookies tiers pour tous les utilisateurs de Chrome.
Se préparer à l'élimination progressive des cookies tiers
Google a décomposé le processus en plusieurs étapes clés, détaillées ci-dessous, afin de vous assurer que vous êtes prêt à faire fonctionner votre site sans cookies tiers :
- Vérifier l'utilisation des cookies tiers.
- Testez la rupture.
- Pour les cookies intersites qui stockent des données par site, comme un embed, pensez à Partitioned with CHIPS.
- Pour les cookies intersites sur un petit groupe de sites liés de manière significative, envisagez les ensembles de sites Web connexes.
- Pour les autres cas d'utilisation de cookies tiers, migrez vers les API web appropriées.
1. Vérifier l'utilisation des cookies tiers
Les cookies tiers peuvent être identifiés par leur valeur SameSite=None. Vous devez rechercher dans votre code les cas où vous avez défini l'attribut SameSite avec cette valeur. Si vous avez déjà apporté des modifications pour ajouter SameSite=None à vos cookies vers 2020, ces modifications peuvent constituer un bon point de départ.
Le panneau Réseau de Chrome DevTools affiche les cookies définis et envoyés lors des requêtes. Dans le panneau Application, vous pouvez voir la rubrique Cookies sous Stockage. Vous pouvez consulter les cookies stockés pour chaque site auquel vous accédez lors du chargement de la page. Vous pouvez trier par la colonne SameSite pour regrouper tous les cookies None.
Dans Chrome 118, l'onglet DevTools Issues (Outils de développement) affiche le problème de rupture, "Cookie sent in cross-site context will be blocked in future Chrome versions" (Les cookies envoyés dans un contexte intersite seront bloqués dans les prochaines versions de Chrome). Le problème répertorie les cookies potentiellement affectés pour la page actuelle.
Si vous identifiez des cookies définis par des tiers, vous devez vérifier auprès de ces fournisseurs s'ils ont prévu de supprimer progressivement les cookies tiers. Par exemple, vous devrez peut-être mettre à jour la version d'une bibliothèque que vous utilisez, modifier une option de configuration dans le service, ou ne rien faire si la tierce partie gère elle-même les changements nécessaires.
2. Test de rupture
Vous pouvez lancer Chrome en utilisant l'option --test third-party-cookie-phaseout en ligne de commande ou, à partir de Chrome 118, activer chrome://flags/#test third-party-cookie-phaseout. Cela permettra à Chrome de bloquer les cookies tiers et de s'assurer que les nouvelles fonctionnalités et les mesures d'atténuation sont actives afin de simuler au mieux l'état après le retrait progressif.
Vous pouvez également essayer de naviguer avec des cookies tiers bloqués via chrome://settings/cookies, mais sachez que le drapeau garantit que les nouvelles fonctionnalités sont également activées. Le blocage des cookies tiers est une bonne approche pour détecter les problèmes, mais il ne permet pas nécessairement de valider leur résolution.
Si vous maintenez une suite de tests active pour vos sites, vous devriez effectuer deux exécutions côte à côte : l'une avec Chrome avec les paramètres habituels et l'autre avec la même version de Chrome lancée avec l'option --test third-party-cookie-phaseout. Tout échec de test dans la seconde exécution, mais pas dans la première, est un bon candidat pour enquêter sur les dépendances des cookies tiers.
Une fois que vous avez identifié les cookies qui posent problème et que vous avez compris leurs cas d'utilisation, vous pouvez travailler sur les options suivantes pour choisir la solution nécessaire.
3. Utiliser des cookies partitionnés avec CHIPS
Lorsque votre cookie tiers est utilisé dans un contexte intégré 1:1 avec le site de premier niveau, vous pouvez envisager d'utiliser l'attribut Partitioned dans le cadre des Cookies Having Independent Partitioned State (CHIPS) pour permettre l'accès intersite avec un cookie distinct utilisé par site.
Pour mettre en œuvre le CHIPS, vous ajoutez l'attribut Partitioned à votre en-tête Set-Cookie :
En définissant l'attribut Partitioned, le site choisit de stocker le cookie dans une boîte à cookies distincte, divisée par site de premier niveau. Dans l'exemple ci-dessus, le cookie provient de store-finder.site qui héberge une carte des magasins permettant à l'utilisateur d'enregistrer son magasin préféré. En utilisant CHIPS, lorsque brand-a.site intègre store-finder.site, la valeur du cookie fav_store est 123. Ensuite, lorsque brand-b.site intègre également store-finder.site, il définit et envoie sa propre instance partitionnée du cookie fav_store, par exemple avec la valeur 456.
Cela signifie que les services intégrés peuvent toujours sauvegarder l'état, mais qu'ils ne disposent pas d'un stockage intersite partagé qui permettrait le suivi intersite.
Cas d'utilisation potentiels : les modules de chat de tiers, les modules de cartes de tiers, les modules de paiement de tiers, l'équilibrage de la charge des sous-ressources CDN, les fournisseurs de CMS sans tête, les domaines sandbox pour servir un contenu utilisateur non fiable, les CDN de tiers utilisant des cookies pour le contrôle d'accès, les appels API de tiers qui nécessitent des cookies sur les requêtes, les publicités intégrées avec un état délimité par l'éditeur.
4. Utiliser des ensembles de sites web apparentés (RWS)
Lorsque votre cookie tiers n'est utilisé que sur un petit nombre de sites connexes, vous pouvez envisager d'utiliser des ensembles de sites connexes (Related Website Sets - RWS) pour permettre l'accès intersite à ce cookie dans le contexte de ces sites définis.
Pour mettre en œuvre les RWS, vous devez définir et soumettre le groupe de sites pour l'ensemble. Pour s'assurer que les sites sont liés de manière significative, la politique d'un ensemble valide exige de regrouper ces sites par : sites associés ayant une relation visible les uns avec les autres (par exemple, variantes de l'offre de produits d'une entreprise), domaines de service (par exemple, API, CDN), ou domaines de code de pays (par exemple, *.uk, *.jp).
Les sites peuvent utiliser l'API d'accès au stockage pour demander l'accès aux cookies intersites à l'aide de la fonction requestStorageAccess() ou déléguer l'accès à l'aide de la fonction requestStorageAccessFor(). Lorsque des sites font partie du même ensemble, le navigateur accorde automatiquement l'accès et les cookies intersites sont disponibles.
Cela signifie que les groupes de sites apparentés peuvent toujours utiliser les cookies intersites dans un contexte limité, mais ne risquent pas de partager des cookies tiers entre des sites non apparentés d'une manière qui permettrait le suivi intersites.
Cas d'utilisation potentiels : domaines spécifiques à une application, domaines spécifiques à une marque, domaines spécifiques à un pays, domaines sandbox pour servir un contenu utilisateur non fiable, domaines de service pour les API, CDN.
5. Migrer vers les API web appropriées
CHIPS et RWS permettent des types spécifiques d'accès aux cookies intersites tout en préservant la vie privée des utilisateurs, mais les autres cas d'utilisation de cookies tiers doivent migrer vers des alternatives axées sur la protection de la vie privée.
Le "Privacy Sandbox" propose une série d'API spécialement conçues pour des cas d'utilisation spécifiques ne nécessitant pas l'utilisation de cookies tiers :
- Federated Credential Management (FedCM) permet des services d'identité fédérés permettant aux utilisateurs de se connecter à des sites et à des services.
- Private State Tokens permet de lutter contre la fraude et le spam en échangeant des informations limitées et non identifiantes entre les sites.
- Topics permet la publicité basée sur les centres d'intérêt et la personnalisation du contenu.
- Protected Audience permet le remarketing et les audiences personnalisées.
- Attribution Reporting permet de mesurer les impressions publicitaires et les conversions.
En outre, Chrome prend en charge l'API d'accès au stockage (SAA) pour une utilisation dans les iframes avec interaction de l'utilisateur. SAA est déjà prise en charge par Edge, Firefox et Safari. Google pense qu'il s'agit d'un bon équilibre pour préserver la vie privée des utilisateurs tout en permettant des fonctionnalités intersites essentielles avec l'avantage de la compatibilité entre les navigateurs.
Notez que l'API d'accès au stockage affichera une demande d'autorisation du navigateur pour les utilisateurs. Afin d'offrir une expérience optimale à l'utilisateur, Google ne l'inviterA à le faire que si le site appelant requestStorageAccess() a interagi avec la page intégrée et a déjà visité le site tiers dans un contexte de niveau supérieur. Si la demande est acceptée, l'accès aux cookies intersites pour ce site sera autorisé pendant 30 jours. Les cas d'utilisation potentiels sont les embeds intersites authentifiés tels que les widgets de commentaires des réseaux sociaux, les fournisseurs de paiement, les services vidéo abonnés.
Si vous avez encore des cas d'utilisation de cookies tiers qui ne sont pas couverts par ces options, vous devez signaler le problème à Google et examiner s'il existe des implémentations alternatives qui ne dépendent pas de fonctionnalités qui peuvent permettre le suivi intersite.
Préserver les expériences critiques des utilisateurs
Les cookies intersites sont un élément essentiel du web depuis plus d'un quart de siècle. Cela fait de tout changement, en particulier d'un changement radical, un processus complexe qui nécessite une approche coordonnée et progressive. Si les attributs supplémentaires des cookies et les nouvelles API axées sur la protection de la vie privée représentent la majorité des cas d'utilisation, il existe des scénarios spécifiques dans lesquels Google veut s'assurer de ne pas perturber l'expérience des utilisateurs de ces sites.
Il s'agit principalement de flux d'authentification ou de paiement dans lesquels un site de niveau supérieur ouvre une fenêtre contextuelle ou redirige vers un site tiers pour une opération, puis retourne au site de niveau supérieur, en utilisant un cookie soit sur ce trajet de retour, soit dans le contexte intégré. Google a l'intention de fournir un ensemble temporaire d'heuristiques pour identifier ces scénarios et autoriser les cookies de tiers pour une durée limitée, en donnant aux sites une fenêtre plus longue pour mettre en œuvre les changements nécessaires.
Prochaine étape : Google publiera une intention sur la liste de diffusion blink-dev avec plus de détails au cours de ce mois et nous continuerons à mettre à jour la documentation ici.
Source : Google
Et vous ?
Quel est votre avis sur la suppréssion des cookies tiers ?
Voir aussi :
Répondre avec citation
Envoyé par TotoParis
Partager