Si votre site utilise des cookies tiers, le moment est venu de prendre des mesures, car ils seront bientôt abandonnés. Pour faciliter les tests, Chrome a limité les cookies tiers pour 1% des utilisateurs depuis le 4 janvier 2024. Chrome prévoit de renforcer les restrictions liées aux cookies tiers pour tous les utilisateurs à partir du troisième trimestre 2024, sous réserve de répondre à toutes les préoccupations en matière de concurrence de la CMA (autorité britannique de la concurrence et des marchés).
Notre objectif avec la Privacy Sandbox est de réduire le suivi intersites tout en permettant à quiconque d'accéder librement aux contenus et services en ligne. La suppression et l'abandon des cookies tiers constituent un défi, car ils permettent de mettre en œuvre des fonctionnalités essentielles pour la connexion, la protection contre la fraude, la publicité et, de manière générale, l'intégration de contenus tiers riches sur vos sites. Mais ils sont aussi les principaux outils de suivi intersites.
Lors de notre précédente étape majeure, nous avons lancé une gamme d'API offrant une alternative axée sur la confidentialité au statu quo actuel pour des cas d'utilisation tels que l'identité, la publicité et la détection des fraudes. Maintenant que des alternatives sont en place, nous pouvons commencer à abandonner les cookies tiers.
Dans cette série sur le compte à rebours des cookies, nous vous présenterons le calendrier et les mesures immédiates que vous pouvez prendre pour vous assurer que vos sites sont prêts.
Abandon des cookies tiers pour 1% des utilisateurs et tests facilités par Chrome
Sur le calendrier de privacysandbox.com, vous pouvez voir deux jalons au 4e trimestre 2023 et au 1er trimestre 2024, dans le cadre des modes de test gérés par Chrome. Ces tests sont principalement destinés aux entreprises qui testent les API de pertinence et de mesure de la Privacy Sandbox. Toutefois, nous allons désactiver les cookies tiers pour 1% des utilisateurs de Chrome Stable.
Cela signifie qu'à partir du début de l'année 2024, vous devriez constater une augmentation du nombre d'utilisateurs Chrome sur votre site pour lesquels les cookies tiers sont désactivés, même si vous ne participez pas activement aux tests réalisés sur Chrome. Cette période de tests se poursuivra pendant tout le troisième trimestre 2024. Ensuite, après consultation de la CMA et en attendant la résolution des éventuels problèmes de concurrence, nous planifierons le début de la désactivation des cookies tiers pour l'ensemble des utilisateurs de Chrome.
Se préparer à l'abandon des cookies tiers
Nous avons divisé le processus en ces étapes clés, détaillées ci-dessous, pour vous assurer que votre site est prêt à fonctionner sans cookies tiers:
- Auditez l'utilisation des cookies tiers.
- Vérifiez qu'il n'y a pas de casse.
- Pour les cookies intersites qui stockent des données par site, comme un élément intégré, envisagez d'utiliser
Partitionedavec CHIPS. - Pour les cookies intersites sur un petit groupe de sites associés, envisagez d'utiliser les Ensembles de sites Web associés.
- Pour les autres cas d'utilisation des cookies tiers, passez aux API Web appropriées.
1. Auditer l'utilisation des cookies tiers
Les cookies tiers peuvent être identifiés par leur valeur SameSite=None. Vous devez rechercher dans votre code les instances où vous définissez l'attribut SameSite sur cette valeur. Si vous avez déjà modifié vos cookies pour ajouter SameSite=None vers 2020, ces modifications peuvent constituer un bon point de départ.
Outils pour les développeurs Chrome
Le panneau "Réseau" des outils pour les développeurs Chrome affiche les cookies définis et envoyés dans les requêtes. Dans le panneau "Application", vous pouvez voir l'en-tête "Cookies" sous "Stockage". Vous pouvez parcourir les cookies stockés pour chaque site auquel vous avez accédé lors du chargement de la page. Vous pouvez trier par colonne SameSite pour regrouper tous les cookies None.
À partir de Chrome 118, l'onglet Problèmes des outils pour les développeurs indique le problème de modification destructive : "Les cookies envoyés dans un contexte intersites seront bloqués dans les futures versions de Chrome." Le problème liste les cookies potentiellement concernés pour la page en cours.
Privacy Sandbox Analysis Tool (PSAT)
Nous avons également développé Privacy Sandbox Analysis Tool (PSAT), une extension DevTools qui facilite l'analyse de l'utilisation des cookies pendant les sessions de navigation. Cela fournit des chemins de débogage pour les cookies et les fonctionnalités Privacy Sandbox, avec des points d'accès pour en savoir plus sur l'initiative Privacy Sandbox.
L'extension complète DevTools avec des fonctionnalités spécialisées pour analyser et déboguer les scénarios liés à l'abandon des cookies tiers et à l'adoption de nouvelles alternatives protégeant la confidentialité.
Vous pouvez télécharger l'extension sur le Chrome Web Store ou accéder au dépôt et au wiki PSAT.
Vérifier les tiers qui utilisent des cookies
Si vous identifiez des cookies définis par des tiers, vous devez contacter ces fournisseurs pour savoir s'ils prévoient de supprimer progressivement les cookies tiers. Il se peut, par exemple, que vous deviez mettre à niveau une version d'une bibliothèque que vous utilisez, modifier une option de configuration du service, voire ne rien faire si l'autre partie se charge elle-même d'effectuer les modifications nécessaires.
2. Tester les défaillances
Vous pouvez lancer Chrome à l'aide de l'indicateur de ligne de commande --test-third-party-cookie-phaseout ou, à partir de Chrome 118, activer chrome://flags/#test-third-party-cookie-phaseout. Chrome bloquera alors les cookies tiers et s'assurera que les nouvelles fonctionnalités et mesures d'atténuation sont actives afin de simuler au mieux l'état après l'abandon.
Vous pouvez également essayer de naviguer avec les cookies tiers bloqués via chrome://settings/cookies, mais sachez que l'indicateur garantit que la nouvelle fonctionnalité est également activée. Bloquer les cookies tiers est une bonne approche pour détecter les problèmes, mais pas nécessairement pour vérifier que vous les avez résolus.
Si vous gérez une suite de tests active pour vos sites, vous devez effectuer deux exécutions côte à côte: une avec Chrome avec les paramètres habituels et une avec la même version de Chrome lancée avec l'indicateur --test-third-party-cookie-phaseout. Tout échec de test lors de la deuxième exécution et non lors de la première est un bon candidat pour rechercher des dépendances de cookies tiers. Veillez à signaler les problèmes que vous constatez.
Une fois que vous avez identifié les cookies présentant des problèmes et que vous avez compris les cas d'utilisation, vous pouvez passer en revue les options suivantes pour choisir la solution nécessaire.
3. Utiliser des cookies Partitioned avec CHIPS
Si votre cookie tiers est utilisé dans un contexte intégré individuel avec le site de premier niveau, vous pouvez envisager d'utiliser l'attribut Partitioned dans le cadre de Cookies Having Independent Partitioned State (CHIPS) pour autoriser l'accès intersites avec un cookie distinct utilisé par site.
Pour implémenter CHIPS, ajoutez l'attribut Partitioned à votre en-tête Set-Cookie:
En définissant Partitioned, le site active le stockage du cookie dans un cookie jar distinct partitionné par site de premier niveau. Dans l'exemple ci-dessus, le cookie provient de store-finder.site, qui héberge une carte de magasins permettant à l'utilisateur d'enregistrer son magasin préféré. En utilisant CHIPS, lorsque brand-a.site intègre store-finder.site, la valeur du cookie fav_store est 123. Lorsque brand-b.site intègre également store-finder.site, il définit et envoie sa propre instance partitionnée du cookie fav_store, par exemple avec la valeur 456.
Cela signifie que les services intégrés peuvent toujours enregistrer l'état, mais qu'ils ne disposent pas d'un stockage intersites partagé qui permettrait le suivi intersites.
Cas d'utilisation potentiels:intégrations de chat tierces, intégrations de cartes tierces, intégrations de paiements tierces, équilibrage de charge CDN des sous-ressources, fournisseurs de CMS headless, domaines de bac à sable pour diffuser du contenu utilisateur non approuvé, CDN tiers utilisant des cookies pour le contrôle des accès, appels d'API tiers nécessitant des cookies dans les requêtes, annonces intégrées avec un état défini par éditeur.
4. Utiliser l'API Storage Access et les ensembles de sites Web associés
Si votre cookie tiers n'est utilisé que sur un petit nombre de sites associés, vous pouvez envisager d'utiliser des ensembles de sites Web associés (RWS) pour autoriser l'accès intersites de ce cookie dans le contexte de ces sites définis.
Pour implémenter la fonctionnalité RWS, vous devez définir et envoyer le groupe de sites pour l'ensemble. Pour vous assurer que les sites sont liés de manière pertinente, le règlement d'un ensemble valide exige de les regrouper en fonction des critères suivants: sites associés ayant une relation visible entre eux (par exemple, variantes de l'offre de produits d'une entreprise), domaines de service (par exemple, API, CDN) ou domaines de code pays (par exemple, *.uk, *.jp).
Les sites peuvent utiliser l'API Storage Access pour demander l'accès aux cookies intersites à l'aide de requestStorageAccess() ou pour déléguer l'accès à l'aide de requestStorageAccessFor(). Lorsque les sites font partie du même ensemble, le navigateur accorde automatiquement l'accès et les cookies intersites sont disponibles.
Cela signifie que les groupes de sites associés peuvent toujours utiliser des cookies intersites dans un contexte limité, mais ne risquent pas de partager des cookies tiers entre des sites sans rapport afin de permettre le suivi intersites.
Cas d'utilisation potentiels:domaines spécifiques à une application, domaines spécifiques à une marque, domaines spécifiques à un pays, domaines de bac à sable pour diffuser du contenu utilisateur non approuvé, domaines de service pour les API, CDN.
5. Migrer vers les API Web concernées
Les CHIPS et les RWS permettent des types spécifiques d'accès aux cookies intersites tout en préservant la confidentialité des utilisateurs. Toutefois, les autres cas d'utilisation des cookies tiers doivent migrer vers des alternatives axées sur la confidentialité.
La Privacy Sandbox propose un éventail d'API conçues pour des cas d'utilisation spécifiques, sans cookies tiers:
- Federated Credential Management (FedCM) permet aux services d'identité fédérée de permettre aux utilisateurs de se connecter aux sites et services.
- Les jetons d'état privés permettent de lutter contre la fraude et le spam en échangeant des informations limitées et non identifiantes entre les sites.
- Topics permet de diffuser des annonces par centres d'intérêt et de personnaliser le contenu.
- Protected Audience permet le remarketing et les audiences personnalisées.
- Les rapports sur l'attribution permettent de mesurer les impressions d'annonces et les conversions.
De plus, Chrome est compatible avec l'API Storage Access (SAA) pour l'utiliser dans les iFrames avec interaction utilisateur. La SAA est déjà compatible avec Edge, Firefox et Safari. Nous pensons que cette approche permet de trouver un bon équilibre entre la protection de la confidentialité des utilisateurs et la fonctionnalité multisite essentielle, avec l'avantage de la compatibilité entre les navigateurs.
Notez que l'API Storage Access affiche une invite d'autorisation du navigateur aux utilisateurs. Pour offrir une expérience utilisateur optimale, nous n'interrogeons l'utilisateur que si le site qui appelle requestStorageAccess() a interagi avec la page intégrée et a déjà accédé au site tiers dans un contexte de premier niveau. Si l'autorisation est accordée, l'accès aux cookies intersites sera autorisé pour ce site pendant 30 jours. Les cas d'utilisation potentiels sont les éléments intégrés intersites authentifiés, tels que les widgets de commentaires sur les réseaux sociaux, les fournisseurs de services de paiement et les services vidéo sur abonnement.
Si vous avez encore des cas d'utilisation de cookies tiers qui ne sont pas couverts par ces options, vous devez nous signaler le problème et envisager s'il existe d'autres implémentations qui ne dépendent pas de fonctionnalités pouvant activer le suivi intersites.
Formule d'assistance Enterprise
Un navigateur Chrome géré par une entreprise présente toujours des exigences particulières par rapport à une utilisation générale du Web. Nous veillerons donc à ce que les administrateurs Enterprise disposent des commandes appropriées sur l'abandon des cookies tiers dans leurs navigateurs.
Comme pour la plupart des tests Chrome, la plupart des utilisateurs finaux en entreprise seront automatiquement exclus de l'abandon des cookies tiers pour 1% des utilisateurs. Pour les quelques utilisateurs susceptibles d'être concernés, les administrateurs d'entreprise peuvent définir la règle BlockThirdPartyCookies sur false pour désactiver leurs navigateurs gérés avant le test et laisser aux entreprises le temps d'apporter les modifications nécessaires pour ne pas se fier à cette règle ni aux cookies tiers. Pour en savoir plus, consultez les notes de version de Chrome Enterprise.
Nous prévoyons également de fournir d'autres rapports et outils pour vous aider à identifier l'utilisation des cookies tiers sur les sites d'entreprise. Les navigateurs d'entreprise sont moins visibles dans les métriques d'utilisation de Chrome. Il est donc particulièrement important pour les entreprises de tester les pannes et de nous signaler les problèmes.
Les intégrations SaaS d'entreprise pourront utiliser l'évaluation avant arrêt des cookies tiers décrite ci-dessous.
Demander un délai supplémentaire avec l'évaluation avant arrêt des cookies tiers pour les cas d'utilisation non publicitaires
L'arrêt d'une fonctionnalité est un processus complexe et l'expérience nous a appris que, dans certains cas, les sites avaient besoin de plus de temps pour effectuer les modifications nécessaires. En ce qui concerne les modifications liées à la confidentialité comme celle-ci, nous devons également tenir compte des intérêts des utilisateurs du Web.
Nous prévoyons de proposer une évaluation avant arrêt pour permettre aux sites ou services utilisés dans un contexte intersites de continuer à accéder aux cookies tiers pendant une période limitée.
Nous vous communiquerons plus d'informations au fur et à mesure que les plans évolueront, mais nous commençons par quelques principes clés:
- Il s'agira d'une évaluation avant arrêt tiers qui permettra aux éléments intégrés tiers de continuer à utiliser temporairement les cookies tiers.
- L'enregistrement nécessitera un examen afin de s'assurer que le test d'abandon n'est utilisé que pour les fonctions qui affectent fortement les parcours utilisateur critiques. Les enregistrements seront examinés au cas par cas.
- Il n'interférera pas avec les tests publicitaires prévus pour le début de l'année 2024, comme décrit par la CMA. Par conséquent, les cas d'utilisation publicitaires ne seront pas pris en compte pour l'essai de l'abandon.
Étape suivante:Nous publierons un intent sur la liste de diffusion blink-dev avec plus de détails ce mois-ci et continuerons de mettre à jour la documentation ici.
Préserver les expériences utilisateur essentielles
Les cookies intersites sont un élément essentiel du Web depuis plus d'un quart de siècle. Par conséquent, toute modification, en particulier une modification incompatible, est un processus complexe qui nécessite une approche coordonnée et incrémentielle. Bien que les attributs de cookie supplémentaires et les nouvelles API axées sur la confidentialité couvrent la majorité des cas d'utilisation, nous souhaitons nous assurer que l'expérience des utilisateurs de ces sites n'est pas perturbée dans certains cas spécifiques.
Il s'agit principalement de flux d'authentification ou de paiement, où un site de premier niveau ouvre une fenêtre pop-up ou redirige vers un site tiers pour une opération, puis revient sur le site de premier niveau, à l'aide d'un cookie lors de ce parcours de retour ou dans le contexte intégré. Nous prévoyons de fournir un ensemble temporaire d'heuristiques pour identifier ces scénarios et autoriser les cookies tiers pendant une durée limitée, ce qui permettra aux sites de disposer d'un délai plus long pour implémenter les modifications nécessaires.
Étape suivante:Nous publierons un intent sur la liste de diffusion blink-dev avec plus de détails ce mois-ci et continuerons de mettre à jour la documentation ici.
Signaler des problèmes liés aux cookies tiers et obtenir de l'aide
Nous voulons nous assurer que nous capturons les différents scénarios dans lesquels les sites ne fonctionnent pas sans cookies tiers afin de nous assurer que nous avons fourni des conseils, des outils et des fonctionnalités permettant aux sites de ne plus dépendre des cookies tiers. Si votre site ou un service dont vous dépendez cesse de fonctionner lorsque les cookies tiers sont désactivés, vous pouvez le signaler à notre outil de suivi des pannes à l'adresse goo.gle/report-3pc-broken.
Si vous avez des questions sur le processus d'abandon et le calendrier de Chrome, vous pouvez signaler un nouveau problème à l'aide de la balise "abandon des cookies tiers" dans notre dépôt d'assistance pour les développeurs.