Si votre site utilise des cookies tiers, il est temps d'agir, car ils seront bientôt abandonnés. Pour faciliter les tests, Chrome a restreint les cookies tiers pour 1% des utilisateurs depuis le 4 janvier 2024. Chrome prévoit d'étendre les restrictions liées aux cookies tiers à 100% des utilisateurs à partir du 3e trimestre 2024, sous réserve de résoudre les problèmes de concurrence qui subsistent encore avec l'Autorité britannique de la concurrence et des marchés.
Avec la Privacy Sandbox, notre objectif est de réduire le suivi intersites tout en permettant à chacun d'accéder sans frais aux contenus et services en ligne. L'abandon et la suppression des cookies tiers constituent une réponse à la question. En effet, ils offrent des fonctionnalités essentielles en termes de connexion, de protection contre la fraude, de publicité et, plus généralement, d'intégrer des contenus tiers enrichis dans vos sites. En outre, ils constituent des leviers clés du suivi intersites.
Lors de l'étape précédente précédente, nous avons lancé une gamme d'API offrant une alternative axée sur la confidentialité au statu quo actuel pour des cas d'utilisation tels que l'identité, la publicité et la détection des fraudes. Maintenant que d'autres solutions ont été mises en place, nous pouvons commencer à abandonner progressivement les cookies tiers.
Dans cette série sur le décompte des cookies, nous vous présenterons la chronologie et les mesures à prendre dès que possible pour préparer vos sites.
Abandon de 1% des cookies tiers et tests gérés par Chrome
Le calendrier sur privacysandbox.com affiche deux jalons importants pour le 4e trimestre 2023 et le 1er trimestre 2024, dans le cadre des tests gérés par Chrome. Ces tests sont principalement destinés aux organisations qui testent les API de mesure et de pertinence de la Privacy Sandbox. Toutefois, dans ce cadre, nous allons désactiver les cookies tiers pour 1% des utilisateurs de la version stable de Chrome.
Cela signifie qu'à partir de début 2024, vous devriez voir une plus grande partie des utilisateurs Chrome sur votre site sans cookies tiers désactivés, même si vous ne participez pas activement aux tests gérés par Chrome. Cette période de test se poursuivra jusqu'au 3e trimestre 2024 lorsque, après consultation avec la CMA et sous réserve de résolution des problèmes de concurrence, nous prévoyons de commencer à désactiver les cookies tiers pour tous les utilisateurs de Chrome.
Se préparer à l'abandon progressif des cookies tiers
Pour que votre site puisse fonctionner sans cookies tiers, nous avons décomposé les étapes clés ci-dessous. Vous trouverez plus de détails ci-dessous:
- Contrôler l'utilisation des cookies tiers
- Faites un test pour détecter les dégâts.
- Pour les cookies intersites qui stockent des données par site, comme pour les intégrations, envisagez d'utiliser
Partitionedavec CHIPS. - Pour les cookies intersites appartenant à un petit groupe de sites associés de façon pertinente, envisagez d'utiliser Ensembles de sites Web associés.
- Pour les autres cas d'utilisation de cookies tiers, migrez vers les API Web appropriées.
1. Auditer l'utilisation de cookies tiers
Les cookies tiers peuvent être identifiés grâce à leur valeur SameSite=None. Vous devez rechercher dans votre code les instances où vous définissez l'attribut SameSite sur cette valeur. Si vous avez déjà apporté des modifications pour ajouter SameSite=None à vos cookies vers 2020, ces modifications peuvent constituer un bon point de départ.
Outils pour les développeurs Chrome
Le panneau Chrome DevTools Network affiche les cookies définis et envoyés lors des requêtes. Dans le panneau Application, vous pouvez voir l'en-tête Cookies sous Stockage. Vous pouvez parcourir les cookies stockés pour chaque site consulté lors du chargement de la page. Vous pouvez trier les cookies en fonction de la colonne SameSite pour regrouper tous les cookies None.
Dans Chrome 118, l'onglet Problèmes liés aux outils de développement affiche le problème de modification destructive : "Les cookies envoyés dans un contexte intersite seront bloqués dans les futures versions de Chrome". Le problème répertorie les cookies potentiellement concernés pour la page actuelle.
Outil d'analyse de la Privacy Sandbox (PSAT)
Nous avons également développé l'outil d'analyse de la Privacy Sandbox (PSAT), une extension d'outils de développement qui facilite l'analyse de l'utilisation des cookies pendant les sessions de navigation. Il fournit des moyens de débogage pour les cookies et les fonctionnalités de la Privacy Sandbox, ainsi que des points d'accès permettant d'en savoir plus sur l'initiative Privacy Sandbox.
Elle complète les outils de développement avec des fonctionnalités spécialisées permettant d'analyser et de déboguer des scénarios liés à l'abandon des cookies tiers et à l'adoption de nouvelles alternatives protégeant la confidentialité.
Vous pouvez télécharger l'extension à partir du Chrome Web Store ou accéder au référentiel PSAT et au wiki.
Vérifier vos tiers à l'aide de cookies
Si vous identifiez des cookies tiers, vérifiez auprès de ces fournisseurs s'ils prévoient de les supprimer. Par exemple, vous pouvez être amené à mettre à niveau une version d'une bibliothèque que vous utilisez, à modifier une option de configuration dans le service ou à ne rien faire si le tiers gère lui-même les modifications nécessaires.
2. Tester la défaillance
Vous pouvez lancer Chrome à l'aide de l'indicateur de ligne de commande --test-third-party-cookie-phaseout ou activer chrome://flags/#test-third-party-cookie-phaseout dans Chrome 118. Chrome bloquera les cookies tiers et veillera à ce que les nouvelles fonctionnalités et mesures d'atténuation soient actives afin de simuler au mieux l'état après la suppression progressive.
Vous pouvez également essayer de naviguer en utilisant les cookies tiers bloqués via chrome://settings/cookies. Sachez toutefois que cet indicateur garantit l'activation des nouvelles fonctionnalités et des mises à jour. Le blocage des cookies tiers est une bonne approche pour détecter les problèmes, mais ne permet pas nécessairement de confirmer que vous les avez corrigés.
Si vous conservez une suite de tests active pour vos sites, effectuez deux exécutions côte à côte: l'une avec Chrome avec les paramètres habituels et l'autre avec la même version de Chrome lancée avec l'indicateur --test-third-party-cookie-phaseout. Tout échec de test lors de la deuxième exécution et non lors de la première est un bon candidat pour identifier les dépendances des cookies tiers. Veillez à signaler les problèmes que vous constatez.
Une fois que vous avez identifié les cookies problématiques et compris leurs cas d'utilisation, vous pouvez utiliser les options suivantes pour trouver la solution la plus adaptée.
3. Utiliser les cookies Partitioned avec des CHIPS
Si votre cookie tiers est utilisé dans un contexte intégré 1:1 avec le site de premier niveau, vous pouvez envisager d'utiliser l'attribut Partitioned dans le cadre de CHIPS (Cookies Has Independent Partitioned State) afin d'autoriser l'accès intersite avec un cookie distinct utilisé par site.
Pour implémenter des CHIPS, vous devez ajouter l'attribut Partitioned à votre en-tête Set-Cookie:
Si vous définissez Partitioned, le site accepte de stocker le cookie dans un conteneur à cookies distinct partitionné par site de premier niveau. Dans l'exemple ci-dessus, le cookie provient de store-finder.site, qui héberge une carte des magasins sur laquelle l'utilisateur peut enregistrer son magasin préféré. Avec les CHIPS, lorsque brand-a.site intègre store-finder.site, la valeur du cookie fav_store est 123. Ensuite, lorsque brand-b.site intègre également store-finder.site, il définit et envoie sa propre instance partitionnée du cookie fav_store, par exemple avec la valeur 456.
Cela signifie que les services intégrés peuvent toujours enregistrer l'état, mais qu'ils ne disposent pas d'un stockage intersites partagé qui permettrait le suivi intersites.
Cas d'utilisation potentiels:intégration de chat tiers, intégration de cartes tierces, intégration de paiements par un tiers, équilibrage de charge CDN de sous-ressources, fournisseurs de CMS sans interface graphique, domaines de bac à sable pour diffuser des contenus utilisateur non fiables, CDN tiers utilisant des cookies pour le contrôle des accès, appels d'API tiers nécessitant des cookies sur les demandes, annonces intégrées dont l'état est limité par éditeur.
4. Utiliser l'API Storage Access et les ensembles de sites Web associés
Si votre cookie tiers n'est utilisé que sur un petit nombre de sites associés, vous pouvez envisager d'utiliser des Ensembles de sites Web associés (RWS) pour autoriser un accès intersite à ce cookie dans le contexte des sites définis.
Pour implémenter RWS, vous devez définir et envoyer le groupe de sites pour l'ensemble. Pour s'assurer que les sites sont liés de façon pertinente, les règles d'un ensemble valide exigent de regrouper ces sites par: sites associés ayant une relation visible les uns avec les autres (par exemple, des variantes de l'offre de produits d'une entreprise), domaines de service (par exemple, API ou CDN) ou domaines de code pays (par exemple, *.uk ou *.jp).
Les sites peuvent utiliser l'API Storage Access pour demander l'accès à des cookies intersites à l'aide de requestStorageAccess() ou déléguer l'accès à l'aide de requestStorageAccessFor(). Lorsque les sites appartiennent au même ensemble, le navigateur autorise automatiquement l'accès et des cookies intersites sont disponibles.
Cela signifie que des groupes de sites associés peuvent toujours utiliser des cookies intersites dans un contexte limité, mais qu'ils ne risquent pas de partager des cookies tiers sur des sites non liés de manière à permettre le suivi intersites.
Cas d'utilisation potentiels:domaines spécifiques à une application ou à une marque, domaines spécifiques à un pays, domaines de bac à sable pour diffuser du contenu utilisateur non approuvé, domaines de service pour les API, CDN.
5. Migrer vers les API Web pertinentes
CHIPS et RWS permettent des types spécifiques d'accès à des cookies intersites tout en préservant la confidentialité des utilisateurs. Toutefois, les autres cas d'utilisation des cookies tiers doivent migrer vers des alternatives axées sur la confidentialité.
Privacy Sandbox fournit une gamme d'API spécifiques pour des cas d'utilisation spécifiques qui ne requièrent pas de cookies tiers:
- FedCM (Federated Credential Management) permet aux utilisateurs de se connecter à des sites et à des services grâce à des services d'identité fédérée.
- Les jetons d'état privés permettent de lutter contre la fraude et le spam en échangeant des informations limitées ne permettant pas d'identifier l'utilisateur entre les sites.
- Topics permet la publicité ciblée par centres d'intérêt et la personnalisation du contenu.
- Protected Audience active le remarketing et les audiences personnalisées.
- Attribution Reporting permet de mesurer les impressions d'annonces et les conversions.
De plus, Chrome est compatible avec l'API Storage Access (SAA) pour une utilisation dans des iFrames avec interaction de l'utilisateur. SAA est déjà compatible avec Edge, Firefox et Safari. Nous pensons qu'elle permet de préserver la confidentialité des utilisateurs tout en permettant des fonctionnalités intersites essentielles tout en profitant d'une compatibilité entre navigateurs.
Notez que l'API Storage Access affiche une invite d'autorisation de navigateur aux utilisateurs. Afin de fournir une expérience utilisateur optimale, nous n'enverrons une invite à l'utilisateur que si le site appelant requestStorageAccess() a interagi avec la page intégrée et a déjà consulté le site tiers dans un contexte de niveau supérieur. Si l'accès est accepté, l'accès aux cookies intersites pour ce site sera autorisé pendant 30 jours. Exemples de cas d'utilisation possibles : intégration intersite authentifiée (widgets de commentaires sur les réseaux sociaux, fournisseurs de services de paiement, services vidéo avec abonnement, etc.).
Si ces options ne s'appliquent pas à tous les cas d'utilisation de cookies tiers, signalez-nous le problème et demandez-vous s'il existe d'autres solutions ne nécessitant pas de fonctionnalité permettant le suivi intersites.
Formule d'assistance Enterprise
Chrome géré par une entreprise a toujours des exigences particulières par rapport à l'utilisation générale du Web, et nous veillerons à ce que les administrateurs des entreprises disposent des contrôles appropriés concernant l'abandon des cookies tiers dans leurs navigateurs.
Comme pour la majorité des expériences Chrome, la plupart des utilisateurs finaux des entreprises seront automatiquement exclus de l'abandon des cookies tiers (1 %). Pour les quelques utilisateurs susceptibles d'être concernés, les administrateurs de l'entreprise peuvent définir la règle BlockThirdPartyCookies sur false pour désactiver leurs navigateurs gérés avant le test et leur laisser le temps d'apporter les modifications nécessaires pour ne pas se fier à cette règle ni aux cookies tiers. Pour en savoir plus, consultez les notes de version de Chrome Enterprise.
Nous prévoyons également de fournir d'autres rapports et outils pour aider à identifier l'utilisation de cookies tiers sur les sites d'entreprise. Les métriques d'utilisation de Chrome étant moins visibles sur les navigateurs d'entreprise, il est particulièrement important pour les entreprises de tester les dysfonctionnements et de nous signaler les problèmes.
Les intégrations SaaS d'entreprise peuvent utiliser l'essai d'abandon des services tiers décrit ci-dessous.
Demander du temps supplémentaire dans le cadre de l'essai d'abandon des services tiers pour les cas d'utilisation non publicitaires
Comme pour de nombreux abandons précédents sur le Web, nous sommes conscients que, dans certains cas, les sites ont besoin de plus de temps pour apporter les modifications nécessaires. Face à ces changements concernant la confidentialité, nous devons aussi prendre en compte l'intérêt supérieur des internautes.
Nous prévoyons de proposer un essai d'abandon pour permettre aux sites ou services utilisés dans un contexte intersites de s'inscrire pour continuer à accéder aux cookies tiers pendant une période limitée.
Nous vous donnerons plus de détails au fur et à mesure de l'avancement des plans, mais voici quelques principes clés:
- Il s'agira d'un essai d'abandon tiers permettant aux intégrations tierces de continuer à utiliser temporairement les cookies tiers.
- L'enregistrement nécessitera un processus d'examen pour s'assurer que l'évaluation avant arrêt n'est utilisée que pour les fonctions qui affectent grandement les parcours utilisateur critiques. Les inscriptions seront étudiées au cas par cas.
- Cela n'aura aucune incidence sur les tests publicitaires prévus pour début 2024, tels que décrits par la CMA. Par conséquent, les cas d'utilisation publicitaires ne seront pas pris en compte pour l'essai d'abandon.
Étape suivante:nous publierons un intent à la liste de diffusion blink-dev avec des informations supplémentaires ce mois-ci et nous continuerons à mettre à jour la documentation.
Préserver les expériences utilisateur critiques
Les cookies intersites représentent une part essentielle du Web depuis plus d'un quart de siècle. Ainsi, tout changement, en particulier un changement destructive, est un processus complexe qui nécessite une approche coordonnée et incrémentielle. Bien que les attributs de cookies supplémentaires et les nouvelles API axées sur la confidentialité constituent la majorité des cas d'utilisation, nous souhaitons nous assurer que l'expérience des utilisateurs de ces sites n'en sera pas affectée dans certains cas.
Il s'agit principalement des flux d'authentification ou de paiement par lesquels un site de premier niveau ouvre une fenêtre pop-up ou redirige vers un site tiers pour une opération, puis revient au site de premier niveau, utilisant un cookie sur ce parcours de retour ou dans le contexte intégré. Nous prévoyons de proposer un ensemble temporaire d'heuristiques permettant d'identifier ces scénarios et d'autoriser les cookies tiers pendant une durée limitée. Ainsi, les sites disposeront d'un délai plus long pour mettre en œuvre les modifications nécessaires.
Étape suivante:nous publierons un intent à l'attention de la liste de diffusion blink-dev avec plus d'informations ce mois-ci et continuerons à mettre à jour la documentation.
Signaler des problèmes liés aux cookies tiers et obtenir de l'aide
Nous voulons nous assurer de capturer les différents scénarios de défaillance des sites sans cookies tiers afin de nous assurer que nous fournissons des conseils, des outils et des fonctionnalités pour permettre aux sites d'abandonner les dépendances de cookies tiers. Si votre site ou un service dont vous dépendez ne fonctionne pas correctement et que les cookies tiers sont désactivés, vous pouvez utiliser notre outil de suivi des dysfonctionnements à l'adresse goo.gle/report-3pc-broken.
Si vous avez des questions sur le processus d'abandon et le plan de Chrome, vous pouvez signaler un nouveau problème à l'aide du tag "Abandon des cookies tiers" dans notre dépôt d'assistance pour les développeurs.