Demander un délai de migration supplémentaire lors de l'essai d'abandon des cookies tiers

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Pour faciliter les tests, Chrome a limité par défaut les cookies tiers pour 1% des utilisateurs de Chrome. Chrome prévoit de renforcer les restrictions liées aux cookies tiers pour tous les utilisateurs à partir du troisième trimestre 2024, sous réserve de répondre à toutes les préoccupations en matière de concurrence de la CMA (autorité britannique de la concurrence et des marchés du Royaume-Uni). Pour faciliter la transition lors du processus d'abandon, nous proposons une évaluation avant abandon des cookies tiers qui permet aux sites et services intégrés de demander un délai supplémentaire pour abandonner les dépendances aux cookies tiers dans les cas d'utilisation non publicitaires.

L'inscription à cet essai de suppression a commencé la semaine du 4 décembre 2023. La période d'essai de l'abandon commencera en janvier 2024 et se terminera le 27 décembre 2024. Les développeurs devront effectuer les modifications nécessaires et prendre les mesures qui s'imposent d'ici à la fin de l'évaluation.

Nous sommes conscients qu'il existe un court laps de temps entre l'ouverture des inscriptions aux essais de l'abandon et le début de la période de tests facilités par Chrome qui bloque 1% des cookies. Pour répondre à ces contraintes temporelles, Chrome accorde un délai aux origines participantes pendant qu'elles travaillent à déployer des jetons d'essai d'abandon. Pendant la période de grâce, qui se terminera le 30 juin 2024, les origines enregistrées pour le test de l'abandon auront accès aux cookies tiers dans Chrome, même si elles n'ont pas encore déployé leurs jetons. L'objectif de ce délai de grâce est d'éviter les problèmes de compatibilité Web pendant la phase de transition. Les origines participantes doivent déployer des jetons d'essai d'abandon avant la fin du délai de grâce.

Essais avant abandon

Les évaluations avant arrêt sont une option standard proposée par Chrome pour permettre aux sites de s'inscrire pour bénéficier d'un délai supplémentaire afin de migrer vers les nouvelles fonctionnalités. Un essai avant arrêt est un type d'essai d'origine qui permet de réactiver temporairement une fonctionnalité.

Cette phase de test s'applique aux éléments intégrés et aux services qui définissent des cookies tiers et qui répondent à nos critères d'éligibilité décrits dans la section suivante. En d'autres termes, si votre intégration ou votre service est le tiers, vous pouvez vous inscrire à l'évaluation avant l'abandon pour réactiver temporairement vos cookies tiers dans tous les contextes où votre intégration ou votre service est inclus. L'essai ne s'applique qu'à l'origine intégrée enregistrée et non à l'intégralité du domaine de premier niveau du site que les utilisateurs visitent.

Les sites de premier niveau qui utilisent des tiers qui s'appuient sur des cookies n'ont pas besoin de s'inscrire à cette évaluation avant arrêt. Vous devez auditer les cookies tiers utilisés sur votre site et contacter vos fournisseurs tiers pour vous assurer qu'ils sont prêts à l'abandon.

Critères d'éligibilité et procédure d'examen

Cette phase d'abandon diffère des précédentes en introduisant un processus d'examen et d'approbation pour la participation. Il s'agit de trouver un équilibre entre l'amélioration de la confidentialité des utilisateurs sur le Web et la possibilité pour les services dont ils dépendent de demander un délai supplémentaire pour la migration, si nécessaire.

Voici les principes qui guident cet essai d'abandon:

• Préserver les fonctionnalités essentielles pour les utilisateurs:cette phase d'essai d'abandon est destinée aux fournisseurs tiers qui présentent des défaillances fonctionnelles dans les parcours utilisateur.
• Limiter le suivi des utilisateurs:le test de l'abandon n'est pas destiné à prendre en charge le suivi intersites à des fins publicitaires. Par conséquent, les services et les éléments intégrés tiers utilisés à des fins publicitaires ne sont pas éligibles.

L'inéligibilité des cas d'utilisation publicitaires aidera également à s'assurer que l'évaluation avant arrêt ne gêne pas les tests du secteur prévus pour le début de l'année 2024, comme décrit par la CMA. Cela inclut les domaines liés à la publicité qui sont également utilisés à des fins non publicitaires.

Chrome collaborera d'abord avec Disconnect.me, un leader du secteur de la confidentialité sur Internet, et implémentera les listes de protection contre les traceurs de Disconnect pour identifier les scripts et les domaines classés comme publicité. La fonctionnalité de déconnexion est déjà utilisée par d'autres navigateurs à des fins similaires sur le Web.

Nous appliquerons le processus suivant aux demandes d'enregistrement:

• Si l'origine tierce correspond à un domaine publicitaire connu, y compris si elle correspond à une entrée de la liste publicitaire de Disconnect, la demande d'enregistrement sera refusée. En général, les entrées de la liste correspondent à tous les sous-domaines sous l'origine spécifiée. Toutefois, certaines entrées incluent un élément de chemin d'accès. Ces entrées plus spécifiques correspondent à l'origine donnée, mais pas aux sous-domaines.
• Vous devez indiquer la procédure à suivre pour reproduire l'expérience utilisateur défectueuse. En particulier, il doit s'agir d'une expérience pour l'utilisateur qui utilise l'appareil sur lequel le cookie est stocké, et non pour un utilisateur qui effectue une analyse ultérieure des données. Si nous ne pouvons pas valider une expérience utilisateur défectueuse, la demande d'enregistrement sera refusée.
• Sinon, la demande d'enregistrement sera approuvée.
• Si vous indiquez qu'une origine est "similaire" à une application précédemment approuvée, décrivez la relation entre les origines.

Nous prévoyons de proposer un processus d'appel si l'origine de l'enregistrement estime que des informations supplémentaires pourraient clarifier une décision d'examen. Le titulaire peut faire appel en envoyant une nouvelle demande dans la console de test d'origine. Les appels sont destinés aux demandes refusées en raison de l'absence d'informations demandées (bug de plantage connu et/ou étapes de reproduction du plantage) et/ou si l'origine de l'enregistrement pense que d'autres informations pourraient répondre à ces exigences pour clarifier une décision d'examen.

Nous approuvons également les cas d'utilisation liés à la lutte contre les utilisations abusives et la fraude lorsque nous pouvons trouver des preuves à l'appui. N'hésitez pas à nous envoyer vos commentaires sur la façon de mieux évaluer ces cas d'utilisation.

Demander l'essai de l'abandon

Incluez les étapes de reproduction que notre équipe peut utiliser pour vérifier le dysfonctionnement. Si c'est plus simple et/ou que votre fonctionnalité est limitée par la connexion ou un élément similaire, vous pouvez fournir un lien vers un enregistrement des étapes à suivre pour reproduire le problème à l'aide de l'enregistreur Chrome DevTools.

1. Accédez à Essai de l'abandon des cookies tiers, puis cliquez sur "S'inscrire".
2. Pour "Origine Web", indiquez l'origine qui diffuse votre page ou vos scripts intégrés.
3. L'option "Correspondance tierce" dépend de la manière dont vous devez fournir le jeton. Les options sont expliquées plus en détail dans la section Ajouter le jeton d'essai.
   • Si vous fournissez le jeton dans un en-tête HTTP ou une balise méta sur vos propres pages intégrées, ne cochez pas "Correspondance tierce".
   • Si vous injectez le jeton avec JavaScript dans un autre site, vous devez cocher "Correspondance tierce".
   • Si vous devez effectuer les deux, vous devrez effectuer des enregistrements distincts.
4. Si vous hébergez du contenu intersites sur plusieurs sous-domaines, cochez l'option "J'ai besoin d'un jeton pour faire correspondre tous les sous-domaines de l'origine".
   • Si vous sélectionnez cette option, le jeton fourni correspondra au domaine enregistré et aux domaines en dessous. Par exemple, enregistrez https://example.com pour qu'il corresponde à example.com, www.example.com, foo.example.com et bar.foo.example.com. Si vous enregistrez https://www.example.com, votre jeton correspond à www.example.com et foo.www.example.com, mais pas à foo.example.com.
   • Les jetons correspondent à plusieurs sous-domaines de la même manière que les caractères génériques (par exemple, *.<domain>). Demandez un jeton pour example.com. Il peut être fourni sur a.example.com, b.example.com. L'accès aux cookies tiers ne sera toujours réactivé que pour les origines spécifiques qui fournissent le jeton, et non pour tous les sous-domaines. Consultez Quels cookies sont activés lorsque la mise en correspondance de sous-domaines est activée ?.
   • Si vous hébergez du contenu intersites sur des origines distinctes qui ne relèvent pas du même domaine, vous devez effectuer des enregistrements distincts pour chaque origine.
5. Acceptez toutes les conditions incluses dans la section "Divulgation et confirmation" en cochant toutes les cases.
6. Envoyez la demande.
7. Nous avons besoin d'informations supplémentaires pour traiter votre demande. Vous recevrez une notification par e-mail avec une demande générée automatiquement vous demandant les informations suivantes :
   • Nombre de sous-domaines associés à l'origine demandée
   • ID ou lien du bug associé aux bugs de dépôt de pannes tiers que vous avez précédemment signalés à l'adresse goo.gle/report-3pc-broken.
   • Toute information/contexte supplémentaire sur le problème/le cas d'utilisation que vous souhaitez que nous prenions en compte. (En cas d'appel d'une demande d'essai refusée, expliquez pourquoi/comment votre origine répond aux critères décrits pour cet essai.)

Une fois votre demande envoyée, nous l'examinerons et vous informerons de son état (approbation ou refus) lorsque l'examen sera terminé ou si nous avons besoin d'informations supplémentaires. Vous recevrez également l'état et le motif du résultat. Si votre demande est approuvée, vous pouvez fournir le jeton d'essai si nécessaire. Si votre demande est refusée, vous pouvez suivre les instructions indiquées dans l'avis de demande.

Définir des indicateurs pour les tests

Pour le moment, nous vous recommandons de définir les indicateurs suivants, disponibles à partir de Chrome 123, afin de permettre des tests efficaces. Cette combinaison de paramètres d'indicateur permet de reproduire l'expérience utilisateur du mode B.

• chrome://flags/#third-party-cookie-deprecation-trial → enabled
  Il s'agit de la valeur par défaut. Autorisez la participation à l'essai.

• chrome://flags/#tracking-protection-3pcd → enabled
  activation de la protection contre le suivi : affichez l'UI de l'icône en forme d'œil dans la barre d'adresse pour permettre à l'utilisateur d'activer temporairement les cookies tiers pour un site, et fournissez chrome://settings/trackingProtection au lieu de chrome://settings/cookies.

• chrome://flags/#tpcd-metadata-grants → disabled
  Faire en sorte que Chrome se comporte comme si le délai de grâce n'était pas en vigueur. Vous pouvez l'utiliser pour vérifier que votre site a correctement déployé les jetons d'essai d'abandon avant la fin du délai de grâce (pour un site soumis à ce délai).

• chrome://flags/#tpcd-heuristics-grants → disabled
  N'autorisez pas les atténuations basées sur des heuristiques. Cela peut être utile pour vérifier que d'autres correctifs à plus long terme (sans cookies tiers) fonctionnent comme prévu sans atténuation des heuristiques, et que la participation à l'évaluation avant arrêt fonctionne comme prévu.

Si vous devez tester manuellement que le délai de grâce fonctionne comme prévu, avant de tester le déploiement, vous devez activer chrome://flags/#tpcd-metadata-grants au lieu de le désactiver.

Ajouter le jeton d'essai

Pour en savoir plus, consultez Premiers pas avec les essais d'origine, Essais d'origine tiers et Résoudre les problèmes liés aux essais d'origine Chrome.

Vous devez inclure le jeton d'essai dans toutes les réponses de page pour lesquelles vous souhaitez définir ou envoyer des cookies dans un contexte intersites.

Fournir le jeton dans un en-tête HTTP

Si vous devez réactiver les cookies tiers pour une page intégrée dans un iFrame intersites, vous pouvez inclure l'en-tête HTTP Origin-Trial dans la réponse de la page:

Origin-Trial: TOKEN_GOES_HERE

Cela correspond à l'absence d'activation de la fonctionnalité "Correspondance tierce" dans votre enregistrement d'essai de l'abandon, car vous fournissez le jeton dans vos propres réponses.

La réponse de cette page peut définir un cookie. Les requêtes ultérieures à cette même origine, telles que les sous-ressources de cette page ou les navigations à partir de cette page, incluront les cookies intersites du site et peuvent également définir des cookies.

Si vous devez placer des cookies intersites dans la toute première requête envoyée à votre origine dans la session, vous pouvez également utiliser l'en-tête Critical-Origin-Trial en transmettant le nom du test:

Critical-Origin-Trial: Tpcd

Le navigateur réessayera alors la requête avec les cookies tiers activés.

L'essai d'abandon est fourni en tant qu'essai persistant, ce qui signifie qu'une fois le jeton reçu par le navigateur, le comportement d'essai est appliqué jusqu'à ce qu'une iframe soit chargée sans jeton d'essai. Nous vous recommandons d'envoyer le jeton d'essai de manière cohérente à chaque chargement d'iFrame.

Fournir le jeton dans une balise Meta

Dans une page, vous pouvez utiliser une balise méta dans le document <head>:

<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">

La balise méta active les cookies intersites pour les requêtes ou le code JavaScript suivants, mais vous devez utiliser l'en-tête HTTP si vous souhaitez que les cookies existants soient envoyés lors de la requête initiale.

Injecter le jeton avec JavaScript

Si vous devez activer les cookies tiers pour votre origine avant ou sans diffuser votre propre requête de page (par exemple, si des cookies sont requis pour une requête d'image intersites ou si vous souhaitez créer une iFrame avec JavaScript), vous pouvez injecter le jeton dans le site de niveau supérieur à l'aide de JavaScript:

const otMeta = document.createElement('meta');
otMeta.httpEquiv = 'origin-trial';
otMeta.content = 'TOKEN_GOES_HERE';
document.head.append(otMeta);

Pour ce faire, vous devez activer la mise en correspondance tierce dans votre enregistrement d'essai d'abandon, car vous injectez le jeton de votre origine (le tiers) sur un autre site.

Un jeton avec la mise en correspondance tierce activée peut être injecté sur n'importe quelle origine, y compris la vôtre, et fonctionnera.

Un essai persistant sera toujours désactivé si une iframe est chargée sans le jeton d'essai. Vous devez fournir de manière cohérente le jeton d'essai sur toutes les iFrames chargées, même si l'essai a été activé à l'origine avec un chargement de script tiers.

Valider votre jeton

Ouvrez les outils de développement, puis accédez à l'onglet "Application". Développez l'arborescence "Cadres" dans le panneau de navigation de gauche. Si des jetons ont été fournis, une section "Origin Trials" s'affiche lorsque vous sélectionnez un frame. Si vous injectez le jeton dans le site de niveau supérieur, vous le verrez dans l'entrée "top". Sinon, vous devez sélectionner le frame correspondant à votre page intégrée.

Dans la section "Origin Trials" (Essais Origin), si vous avez fourni un jeton, une entrée pour "Tpcd" devrait s'afficher. Si la fonctionnalité a bien été activée, l'état "Activé" s'affiche en vert. Sinon, un état d'erreur rouge s'affiche, et vous pouvez développer l'entrée pour voir le problème.

Un seul jeton valide est nécessaire pour activer le test de l'abandon. Si vous vous êtes inscrit à la mise en correspondance propriétaire et tierce, il n'y a pas de problème si vous fournissez les deux jetons sur la page. Par exemple, si vous disposez d'une seule page pouvant être intégrée de différentes manières, vous n'avez pas besoin de choisir dynamiquement un jeton. Vous pouvez simplement fournir les deux, et l'essai sera activé dans les deux contextes.

Quels cookies sont activés ?

L'évaluation avant arrêt de l'abandon des cookies tiers n'active les cookies tiers que pour l'origine enregistrée pour l'évaluation. Une fois l'activation effectuée, les cookies tiers seront présents dans les demandes d'iFrame et de sous-ressources à cette origine. Les cookies tiers seront également disponibles avec document.cookie dans les iFrames avec cette origine.

Les attributs Domain du cookie ne sont pas pris en compte ici. Seule l'origine de l'URL de la requête est prise en compte. Une fois qu'une requête est déterminée comme contenant des cookies tiers, tous ces cookies sont joints normalement, même si le domaine d'un cookie est plus permissif.

Par exemple, si https://one.test.example est enregistré et que son jeton est fourni dans une iFrame https://one.test.example:

• https://one.test.example/image.jpg recevra les cookies définis à partir de https://one.test.example.
• https://one.test.example/image.jpg recevra les cookies définis à partir d'autres origines avec Domain=.test.example.
• Les requêtes https://test.example/image.jpg ou https://two.test.example/image.jpg ne recevront pas de cookies tiers, car elles ne sont pas de même origine.

Quels cookies sont activés lorsque la mise en correspondance des sous-domaines est activée ?

L'option "Correspondre à tous les sous-domaines" permet d'utiliser un seul jeton sur l'origine de l'enregistrement ou sur n'importe quelle origine avec un sous-domaine plus spécifique. Un jeton pour https://test.example avec une mise en correspondance de sous-domaines peut être utilisé pour activer l'essai avec des iFrames https://test.example, https://one.test.example ou https//two.test.example et des chargements de scripts tiers.

De plus, lorsque la mise en correspondance des sous-domaines est activée, les cookies tiers sont également disponibles dans les requêtes et les iFrames associés aux sous-domaines correspondants. Par exemple, si https://test.example utilise la mise en correspondance de sous-domaines, les requêtes de sous-ressources telles que https://cdn.one.test.example/image.jpg recevront des cookies tiers.

La désactivation de l'essai ne tient pas compte de la correspondance des sous-domaines. Pour désactiver l'essai, une iframe correspondant exactement à l'origine de l'enregistrement doit être chargée sans jeton. Par conséquent, un enregistrement pour https://test.example avec mise en correspondance de sous-domaines ne peut être désactivé que par une iframe https://test.example sans jeton. Ce comportement est susceptible d'évoluer à l'avenir. Nous vous recommandons donc de fournir un jeton sur toutes les iFrames de sous-cadres lorsque vous souhaitez activer le test et de supprimer les jetons de toutes les iFrames lorsque vous souhaitez le désactiver.

Résoudre les problèmes liés aux jetons d'essai

Résoudre les problèmes liés aux phases d'évaluation des origines Chrome fournit une checklist complète pour vous aider à déboguer l'enregistrement et le déploiement des jetons d'évaluation.

Voici quelques problèmes courants que vous pouvez rencontrer avec ce test:

• Si vous sélectionnez l'option "I need a token to match all subdomains of the origin." (J'ai besoin d'un jeton pour faire correspondre tous les sous-domaines de l'origine), le jeton fourni correspondra au domaine enregistré et aux domaines en dessous. Par exemple, enregistrez https://example.com pour qu'il corresponde à example.com, www.example.com, foo.example.com et bar.foo.example.com. Si vous enregistrez https://www.example.com, votre jeton correspond à www.example.com et foo.www.example.com, mais pas à foo.example.com.
• Les sites ou services tiers intégrés à votre site Web doivent s'inscrire eux-mêmes pour l'essai. Vous ne devez pas demander un domaine que vous ne contrôlez pas ou dont vous n'êtes pas le propriétaire.
• Si vous faites une erreur lors de l'enregistrement de votre version d'essai d'origine, vous devez effectuer un nouvel enregistrement pour corriger les erreurs et obtenir un nouveau jeton.

Questions fréquentes

1. Que faire si j'ai des questions sur la liste Disconnect.me ?
   • Contactez Disconnect à l'adresse support@disconnect.me, car nous ne gérons pas la liste Disconnect. Pour en savoir plus, consultez la page sur la protection contre les outils de suivi.
2. Puis-je m'inscrire à l'essai de l'abandon si mon domaine est utilisé à la fois à des fins publicitaires et non publicitaires ?
   • Les services et les intégrations tiers utilisés pour la publicité ne sont pas éligibles à l'essai de l'abandon, pour les raisons expliquées précédemment dans ce blog. Cela inclut les domaines liés à la publicité qui sont également utilisés à des fins non publicitaires. Pour en savoir plus, consultez la section Critères d'éligibilité et processus d'examen.
3. Les sites pourront-ils voir quels partenaires ont participé à l'essai de l'abandon ? Pourra-t-il limiter l'enregistrement auprès de ses partenaires ?
   • Oui, les sites peuvent voir quels éléments intégrés et services s'appuient sur un jeton d'essai d'abandon en consultant les informations sur le jeton dans le panneau "Application" de Chrome DevTools. Pour en savoir plus, consultez Résoudre les problèmes liés aux tests d'origine Chrome.
   • Les sites de premier niveau ne pourront pas limiter l'enregistrement auprès de leurs partenaires, ni les intégrations et les services de leur page. Contacter le partenaire si vous le souhaitez
4. En quoi ce test diffère-t-il des autres tests, comme le test de réduction de l'origine de l'User-Agent ?
   • La principale différence de cette phase d'évaluation de l'abandon est le nouveau processus d'enregistrement qui implique de remplir les critères de participation et la nouvelle interface utilisateur/les nouvelles pages de la console de test d'origine.
   • La deuxième différence est qu'elle est réservée aux sites intégrés tiers pour résoudre le plus grand nombre possible de problèmes de compatibilité Web sur un certain nombre de sites/clients de services.
5. Y aura-t-il une évaluation avant arrêt des cookies propriétaires pour l'abandon des cookies tiers que les sites de premier niveau pourront suivre pour activer les cookies tiers pour l'ensemble de leur site ?
   • Pour le moment, nous nous concentrons sur les services et les intégrations tiers. Nous recommandons aux sites propriétaires de continuer à apporter des modifications directement à leurs sites pour corriger les erreurs et d'encourager leurs tiers intégrés à s'inscrire à ce test d'abandon.
6. Combien de temps prend l'examen de ma demande d'essai de mise à l'arrêt ? Où puis-je vérifier l'état de ma demande ?
   • Les délais de réponse peuvent varier. Nous vous recommandons de commencer le processus d'enregistrement dès que possible pour vous assurer d'être prêt avant l'abandon des cookies tiers à 1 % au début du premier trimestre. Si vous n'avez reçu aucune réponse dans les une à deux semaines suivant l'envoi de votre inscription, veuillez contacter 3pcd-deprecationtrial@google.com.
   • Fil de discussion sur le bug pour une conversation ouverte, l'état de la décision et la justification.
7. Notre enregistrement d'essai de l'abandon a été approuvé, et nous avons déployé un jeton d'essai comme recommandé. Cependant, l'essai de l'abandon ne fonctionne pas comme prévu. Que pouvons-nous faire ?
   • Résoudre les problèmes liés aux phases d'évaluation des origines Chrome fournit une checklist pour résoudre les problèmes liés aux phases d'évaluation des origines. En particulier, pour ce test de l'abandon, assurez-vous d'avoir enregistré la bonne origine, d'avoir opté pour un jeton tiers si nécessaire et d'avoir correctement fourni le jeton dans un en-tête HTTP, une balise méta ou (pour un jeton tiers) à l'aide de JavaScript. Pour en savoir plus sur les essais Origin Trial tiers, consultez Essais Origin Trial tiers. Vous trouverez une démonstration de l'évaluation avant arrêt à l'adresse Démonstration de l'essai Origin Trial Chrome: jeton injecté par un script tiers. Si le problème persiste, contactez origin-trials-support@google.com.