Si votre site utilise des cookies tiers, le moment est venu de prendre des mesures, car leur abandon approche. Pour faciliter les tests, Chrome a restreint les cookies tiers pour 1% des utilisateurs depuis le 4 janvier 2024. Chrome prévoit d'intensifier les restrictions concernant les cookies tiers pour 100% des utilisateurs à partir du troisième trimestre 2024, sous réserve de répondre à toutes les préoccupations en matière de concurrence de l'Autorité britannique de la concurrence et des marchés.
Avec la Privacy Sandbox, notre objectif est de réduire le suivi intersites tout en permettant à chacun d'accéder librement aux contenus et services en ligne. L'abandon et la suppression des cookies tiers ne font qu'englober le défi. En effet, ils offrent des fonctionnalités essentielles pour la connexion, la protection contre la fraude, la publicité et généralement la possibilité d'intégrer du contenu tiers enrichi dans vos sites. Ils sont également les principaux éléments clés du suivi intersites.
Lors de notre étape majeure précédente, nous avons lancé une gamme d'API offrant une alternative au statu quo d'aujourd'hui, axée sur la confidentialité, pour des cas d'utilisation tels que l'identité, la publicité et la détection des fraudes. Une fois les alternatives en place, nous pouvons commencer à abandonner progressivement les cookies tiers.
Dans cette série "Compte à rebours de cookies", nous vous présenterons le calendrier et les mesures immédiates que vous pouvez prendre pour vous assurer que vos sites sont prêts.
Abandon de 1% des cookies tiers et tests facilités par Chrome
Dans la chronologie privacysandbox.com, vous pouvez voir deux étapes franchies au 4e trimestre 2023 et au 1er trimestre 2024, dans le cadre des modes de tests gérés par Chrome. Ce test est principalement destiné aux organisations qui testent les API de mesure et de pertinence de la Privacy Sandbox. Toutefois, dans le cadre de ce processus, nous désactiverons les cookies tiers pour 1% des utilisateurs de la version stable de Chrome.
Cela signifie qu'à partir de début 2024, vous devriez voir un plus grand nombre d'utilisateurs de Chrome sur votre site avec les cookies tiers désactivés, même si vous ne participez pas activement aux tests gérés par Chrome. Cette période de test se poursuit jusqu'au 3e trimestre 2024. Après consultation de la CMA et sous réserve de résolution des problèmes liés à la concurrence, nous prévoyons de commencer à désactiver les cookies tiers pour tous les utilisateurs de Chrome.
Se préparer à l'abandon progressif des cookies tiers
Pour vous assurer que votre site peut fonctionner sans cookies tiers, nous avons décomposé le processus en trois étapes clés, avec les détails ci-dessous:
- Réalisez des audits de votre utilisation des cookies tiers.
- Testez les dysfonctionnements.
- Pour les cookies intersites qui stockent des données site par site, comme pour les cookies intégrés, envisagez d'utiliser
Partitionedavec les CHIPS. - Pour les cookies intersites sur un petit groupe de sites étroitement liés, envisagez d'utiliser les Ensembles de sites Web associés.
- Pour les autres cas d'utilisation de cookies tiers, migrez vers les API Web pertinentes.
1. Contrôler l'utilisation des cookies tiers
Les cookies tiers peuvent être identifiés par leur valeur SameSite=None. Vous devez rechercher dans votre code les instances où vous avez défini l'attribut SameSite sur cette valeur. Si vous avez déjà apporté des modifications pour ajouter SameSite=None à vos cookies vers 2020, ces modifications constitueront peut-être un bon point de départ.
Outils pour les développeurs Chrome
Le panneau Chrome DevTools Network affiche les cookies définis et envoyés à la suite de requêtes. Dans le panneau "Application", l'en-tête "Cookies" s'affiche sous "Stockage". Vous pouvez parcourir les cookies stockés pour chaque site consulté lors du chargement de la page. Vous pouvez effectuer un tri en fonction de la colonne SameSite pour regrouper tous les cookies None.
À partir de Chrome 118, l'onglet Problèmes liés aux outils de développement indique le problème de modification destructive, "Les cookies envoyés dans un contexte intersites seront bloqués dans les futures versions de Chrome". Le problème répertorie les cookies potentiellement affectés pour la page actuelle.
Privacy Sandbox Analysis Tool (PSAT)
Nous avons également créé Privacy Sandbox Analysis Tool (PSAT), une extension des outils de développement pour faciliter l'analyse de l'utilisation des cookies lors des sessions de navigation. Vous y trouverez des pistes de débogage pour les cookies et les fonctionnalités de la Privacy Sandbox, ainsi que des points d'accès pour en savoir plus sur cette initiative.
Cette extension complète les outils de développement avec des fonctionnalités spécialisées permettant d'analyser et de déboguer des scénarios liés à l'abandon des cookies tiers et à l'adoption de nouvelles alternatives protégeant la confidentialité.
Vous pouvez télécharger l'extension sur le Chrome Web Store ou accéder au dépôt et au wiki PSAT.
Vérifier les tiers qui utilisent des cookies
Si vous identifiez des cookies définis par des tiers, vérifiez auprès de ces fournisseurs s'ils ont prévu de les supprimer progressivement. Par exemple, vous devrez peut-être mettre à niveau une version d'une bibliothèque que vous utilisez, modifier une option de configuration du service ou ne rien faire si le tiers gère lui-même les modifications nécessaires.
2. Tester la défaillance
Vous pouvez lancer Chrome à l'aide de l'indicateur de ligne de commande --test-third-party-cookie-phaseout ou à partir de Chrome 118, activez chrome://flags/#test-third-party-cookie-phaseout. Chrome bloquera ainsi les cookies tiers, et s'assurera que les nouvelles fonctionnalités et mesures d'atténuation sont actives afin de simuler au mieux l'état après l'abandon.
Vous pouvez également essayer de naviguer avec les cookies tiers bloqués via chrome://settings/cookies, mais sachez que l'indicateur garantit que les fonctionnalités nouvelles et mises à jour sont également activées. Le blocage des cookies tiers est une bonne approche pour détecter les problèmes, mais pas nécessairement pour vérifier que vous les avez corrigés.
Si vous disposez d'une suite de tests active pour vos sites, vous devez effectuer deux exécutions côte à côte: l'une avec Chrome avec les paramètres habituels et l'autre avec la même version de Chrome lancée avec l'indicateur --test-third-party-cookie-phaseout. Tous les échecs de test lors de la deuxième exécution et pas lors de la première sont de bons candidats pour rechercher les dépendances de cookies tiers. N'oubliez pas de signaler les problèmes que vous rencontrez.
Une fois que vous avez identifié les cookies problématiques et compris les cas d'utilisation correspondants, vous pouvez parcourir les options suivantes pour trouver la solution nécessaire.
3. Utiliser des cookies Partitioned avec les CHIPS
Si votre cookie tiers est utilisé dans un contexte intégré 1:1 avec le site de premier niveau, vous pouvez envisager d'utiliser l'attribut Partitioned dans le cadre des cookies ayant un état partitionné indépendant (CHIPS) pour autoriser l'accès intersites avec un cookie distinct utilisé par site.
Pour implémenter les CHIPS, vous devez ajouter l'attribut Partitioned à votre en-tête Set-Cookie:
Si vous définissez Partitioned, le site accepte de stocker le cookie dans un bac à cookies distinct partitionné par le site de premier niveau. Dans l'exemple ci-dessus, le cookie provient de store-finder.site, qui héberge une carte des magasins permettant à l'utilisateur d'enregistrer son magasin préféré. En utilisant les CHIPS, lorsque brand-a.site intègre store-finder.site, la valeur du cookie fav_store est 123. Ensuite, lorsque brand-b.site intègre également store-finder.site, il définit et envoie sa propre instance partitionnée du cookie fav_store, par exemple avec la valeur 456.
Cela signifie que les services intégrés peuvent toujours enregistrer l'état, mais qu'ils ne disposent pas d'un espace de stockage intersites partagé permettant le suivi intersites.
Cas d'utilisation potentiels:intégrations de chats tiers, intégrations de cartes tierces, intégrations de paiements tiers, équilibrage de charge CDN des sous-ressources, fournisseurs de CMS headless, domaines de bac à sable permettant de diffuser du contenu utilisateur non approuvé, CDN tiers utilisant des cookies pour le contrôle des accès, appels d'API tierces nécessitant des cookies pour les demandes, annonces intégrées avec un champ d'application défini par état par éditeur.
4. Utiliser l'API Storage Access et les ensembles de sites Web associés
Si votre cookie tiers n'est utilisé que sur un petit nombre de sites associés, vous pouvez envisager d'utiliser des ensembles de sites Web associés (RWS) pour autoriser l'accès intersites pour ce cookie dans le contexte des sites en question.
Pour implémenter RWS, vous devez définir et soumettre le groupe de sites pour l'ensemble. Pour s'assurer que les liens sont pertinents, la règle d'un ensemble valide exige de regrouper ces sites par: les sites associés ayant une relation visible les uns avec les autres (par exemple, variantes de l'offre de produits d'une entreprise), les domaines de services (par exemple, API ou CDN) ou les domaines de code pays (par exemple, *.uk ou *.jp).
Les sites peuvent utiliser l'API Storage Access pour demander l'accès aux cookies intersites via requestStorageAccess() ou déléguer l'accès à l'aide de requestStorageAccessFor(). Lorsque des sites appartiennent au même ensemble, le navigateur accorde automatiquement l'accès et les cookies intersites sont disponibles.
Cela signifie que des groupes de sites associés peuvent toujours utiliser des cookies intersites dans un contexte limité, mais qu'ils ne risquent pas de partager des cookies tiers sur des sites sans rapport d'une manière qui permettrait le suivi intersites.
Cas d'utilisation potentiels:domaines spécifiques aux applications, domaines propres à une marque, domaines spécifiques à un pays, domaines de bac à sable pour la diffusion de contenu utilisateur non approuvé, domaines de service pour les API, CDN.
5. Migrez vers les API Web appropriées
Les CHIPS et le RWS permettent des types spécifiques d'accès aux cookies intersites tout en préservant la confidentialité des utilisateurs. Toutefois, les autres cas d'utilisation des cookies tiers doivent migrer vers des alternatives axées sur la confidentialité.
La Privacy Sandbox fournit une gamme d'API spécialement conçues pour des cas d'utilisation spécifiques sans avoir besoin de cookies tiers:
- Federated Credential Management (FedCM) permet aux utilisateurs de se connecter à des sites et à des services d'identité fédérée.
- Les jetons d'état privés permettent de lutter contre la fraude et le spam en échangeant des informations limitées ne permettant pas d'identifier l'utilisateur entre les sites.
- Topics permet la publicité ciblée par centres d'intérêt et la personnalisation du contenu.
- Protected Audience permet le remarketing et les audiences personnalisées.
- Attribution Reporting permet de mesurer les impressions d'annonces et les conversions.
De plus, Chrome est compatible avec l'API Storage Access (SAA) pour une utilisation dans des iFrames avec interaction de l'utilisateur. La fonctionnalité SAA est déjà compatible avec Edge, Firefox et Safari. Nous pensons qu'il offre un bon équilibre pour préserver la confidentialité des utilisateurs tout en permettant des fonctionnalités essentielles intersites tout en bénéficiant d'une compatibilité multinavigateur.
Notez que l'API Storage Access affiche une invite d'autorisation du navigateur pour les utilisateurs. Pour offrir une expérience utilisateur optimale, nous n'inviterons l'utilisateur que si le site qui appelle requestStorageAccess() a interagi avec la page intégrée et a déjà consulté le site tiers dans un contexte de premier niveau. Si votre demande est acceptée, les cookies intersites seront autorisés pour ce site pendant 30 jours. Il peut s'agir d'intégrations intersites authentifiées, telles que les widgets de commentaires sur les réseaux sociaux, les fournisseurs de services de paiement et les services vidéo avec abonnement.
Si vous avez toujours des cas d'utilisation de cookies tiers non couverts par ces options, vous devez nous signaler le problème et déterminer s'il existe d'autres implémentations qui ne dépendent pas d'une fonctionnalité permettant d'activer le suivi intersites.
Formule d'assistance Enterprise
Le navigateur Chrome géré par une entreprise présente toujours des exigences uniques par rapport à une utilisation générale du Web. Nous veillerons donc à ce que les administrateurs d'entreprise disposent des commandes appropriées pour l'abandon des cookies tiers dans leurs navigateurs.
Comme c'est le cas pour la majorité des tests Chrome, la plupart des utilisateurs finaux professionnels seront automatiquement exclus de l'abandon des cookies tiers (1 %). Pour les quelques personnes susceptibles d'être concernées, les administrateurs d'entreprise peuvent définir la règle BlockThirdPartyCookies sur false pour désactiver leurs navigateurs gérés avant le test et leur laisser le temps d'apporter les modifications nécessaires pour ne pas utiliser cette règle ni les cookies tiers. Pour en savoir plus, consultez les notes de version de Chrome Enterprise.
Nous prévoyons également de fournir davantage de rapports et d'outils pour vous aider à identifier l'utilisation des cookies tiers sur les sites des entreprises. Les navigateurs d'entreprise sont moins visibles dans les métriques d'utilisation de Chrome, ce qui signifie qu'il est particulièrement important pour les entreprises de tester les dysfonctionnements et de nous signaler les problèmes.
Les intégrations SaaS d'entreprise pourront utiliser l'évaluation avant arrêt d'une solution tierce décrite ci-dessous.
Demander plus de temps avec l'essai avant arrêt tiers pour les cas d'utilisation non publicitaires
Comme pour de nombreux abandons précédents sur le Web, nous sommes conscients que les sites ont parfois besoin de plus de temps pour effectuer les modifications nécessaires. Lorsqu'il s'agit de mettre en place de tels changements concernant la confidentialité, nous devons également trouver un équilibre avec l'intérêt supérieur des internautes.
Nous prévoyons de proposer un essai avant arrêt pour permettre aux sites ou services utilisés dans un contexte intersites de s'inscrire pour continuer à accéder aux cookies tiers pendant une durée limitée.
Nous vous communiquerons plus d'informations au fur et à mesure de l'avancement des projets, mais nous commençons par appliquer quelques principes clés:
- Il s'agira d'une phase d'évaluation tierce, qui permettra aux intégrations tierces d'accepter temporairement de continuer à utiliser des cookies tiers.
- L'inscription nécessitera un processus d'examen pour s'assurer que l'évaluation avant arrêt n'est utilisée que pour les fonctionnalités qui ont un impact important sur les parcours utilisateur critiques. Les inscriptions seront examinées au cas par cas.
- Cela n'interférera pas avec les tests publicitaires prévus pour début 2024, comme décrit par la CMA. Par conséquent, les cas d'utilisation publicitaires ne seront pas pris en compte dans l'évaluation avant arrêt.
Étape suivante:ce mois-ci, nous allons publier un intent sur la liste de diffusion blink-dev avec de plus amples informations, et nous continuerons à mettre à jour la documentation sur cette page.
Préserver les expériences utilisateur critiques
Les cookies intersites représentent une part essentielle du Web depuis plus d'un quart de siècle. Tout changement, en particulier s'il s'agit d'une modification destructive, est un processus complexe qui nécessite une approche coordonnée et incrémentielle. Bien que les attributs de cookies supplémentaires et les nouvelles API axées sur la confidentialité représentent la majorité des cas d'utilisation, nous voulons nous assurer de ne pas perturber l'expérience des utilisateurs de ces sites dans certains cas spécifiques.
Il s'agit principalement de flux d'authentification ou de paiement où un site de premier niveau ouvre une fenêtre pop-up ou redirige vers un site tiers pour une opération, puis revient au site de premier niveau, à l'aide d'un cookie au cours du parcours de retour ou dans le contexte intégré. Nous prévoyons de proposer un ensemble temporaire d'heuristiques afin d'identifier ces scénarios et d'autoriser les cookies tiers pendant une durée limitée. Les sites bénéficieront ainsi d'un délai plus long pour effectuer les modifications nécessaires.
Étape suivante:ce mois-ci, nous publierons un intent sur la liste de diffusion blink-dev avec de plus amples informations, et nous continuerons à mettre à jour la documentation sur cette page.
Signaler des problèmes liés aux cookies tiers et obtenir de l'aide
Nous voulons nous assurer que nous capturons les différents scénarios dans lesquels les sites tombent en panne sans cookies tiers afin de fournir des conseils, des outils et des fonctionnalités permettant aux sites de ne plus dépendre de leurs cookies tiers. Si votre site ou un service dont vous dépendez cesse de fonctionner avec la désactivation des cookies tiers, vous pouvez l'envoyer à notre outil de suivi des pannes à l'adresse goo.gle/report-3pc-broken.
Si vous avez des questions sur le processus d'abandon et le plan de Chrome, vous pouvez signaler un nouveau problème à l'aide du tag "abandon des cookies tiers" dans notre dépôt de l'assistance aux développeurs.