Mai 2022 – Longtemps annoncée et redoutée, la disparition des cookies tiers est imminente. C’est une question de 6 à 12 mois maintenant. Google annonce une bascule en juillet 2023.
Cet article résume simplement les impacts prévisibles sur le quotidien d’un responsable d’e-commerce.
Dernière minute, juin 2022
:: Firefox intègre une protection totale contre les cookies. Le 3eme navigateur préféré des internautes renforce sérieusement la confidentialité des utilisateurs, en limitant l’action des cookies à leur site d’origine. De plus, cette nouvelle fonction de blocage des traqueurs tiers, sera activée par défaut d’ici au 23 août 2022.
:: La CNIL confirme l’amende de 35 M€ à Amazon qui a dérogé à la règlementation sur l’utilisation des cookies tiers.
Les cookies tiers servent aux statistiques faites par un service externalisé comme Google Analytics. Donc plus de cookie tiers, plus de Google Analytics. Google abandonne le tracking des pages visitées sur un site à partir de juillet 2023 et annonce même détruire les données en janvier 2024 !
De plus, les cookies tiers servent pour ajuster les publicités à chaque utilisateur et à faire du reciblage publicitaire (retargeting). C’est une très mauvaise nouvelle pour la publicité en ligne. Pas beaucoup de solution en vue sauf pour Google qui pourra collecter des données avec son navigateur Chrome.
Ensuite, les cookies tiers servent pour les connexions à Facebook, Twitter ..
Les cookies tiers servent à personnaliser les contenus lorsque cette fonction est réalisée par une société externe.
les cookies tiers servent aux jeux concours et autres animations qui stimulent les ventes directement sur le site.
Les cookies tiers servent à rajouter des services comme le live tchat pour le service avant et après-vente en ligne.
Ainsi, même si les newsletters n’utilisent pas les cookies pour le suivi des ouvertures ou des clics, il est fort à parier que les services de newsletters externalisés vont devoir, à l’instar des cookies tiers, faire un sacré effort de transparence sur les données personnelles. Actuellement, il est très difficile de récupérer ses propres clics emails sur un site ecommerce.
En bref, tout ce qui faisait la force d’internet pour adapter les services en ligne à chacun, va devoir trouver de nouvelles solutions pour fonctionner.
Il est prévisible que les taux de conversion chutent drastiquement en 2023 (si rien n’est anticipé)
Lorsqu’un e-commerce (disons www.ecom.com) souscrit à un service externalisé (exemple un analytics e-Commerce, une plateforme d’affiliation, un live chat e-commerce, un service de personnalisation…) par l’intermédiaire d’un prestataire, (disons www.prestataire.com) ce dernier demande généralement l’installation d’un programme javascript sur toutes les pages du site e-commerce (appelé « taggage » du site). Ce javascript s’exécute à l’ouverture de chaque page du site. Il appelle un autre programme localisé sur le site de www.prestataire.com. Ce dernier dépose un numéro d’identification dans un petit fichier sur l’ordinateur du visiteur appelé « Cookie ».
Si le cookie a été écrit par un site autre que celui qui est visité (par prestataire.com) alors le cookie est nommé « Cookie tiers » ou de tierce party.
Si le cookie a été écrit par le site ecom.com visité, c’est un cookie first party.
Dans tous les cas, le cookie va permettre d’identifier un internaute quand il accède à une page du site.
Si c’est prestataire.com qui a généré le cookie, il va pouvoir savoir si ce visiteur est également passé par une page d’un autre site géré par lui. Très utile pour suivre un comportement d’achat entre plusieurs sites.
Si c’est ecom.com qui a généré le cookie, il va pouvoir analyser le comportement d’achat d’un visiteur sans que celui-ci n’est besoin de se connecter au site.
La particularité d’un cookie, est qu’il ne peut être lu que par le domaine qui l’a écrit. Ainsi si vous allez sur un autre site que www.ecom.com et que le même javascript est aussi installé par le même prestataire (prestataire.com). Alors il relit les cookies déposés sur ecom.com et reconnaît le visiteur par l’identifiant du cookie. C’est cette technique qui est utilisé pour connaître vos habitudes sur internet et pouvoir cibler des publicités.
A chaque page visitée sur le site e-Commerce, le prestataire déclenche son javascript et enregistre les pages que vous avez vu et votre identifiant en tant que visiteur. Il peut ainsi déduire votre comportement d’achat. Comme Google Analytics est pratiquement installé sur tous les site e-commerces. Il est capable de comprendre votre comportement d’achat et vendre de la publicité très bien ciblée.
Il y a donc deux utilisations différentes du cookie tiers : Identifier quel internaute visite le site ecom.com et tracer les différents sites par lesquels un internaute est passé.
Tout simplement parce que sans le savoir, un internaute qui visite le site ecom.com informe aussi le site prestataire.com de cette visite qui peut faire un rapprochement avec des visites sur d’autres sites.
C’est pour cette raison que la CNIL impose de demander à chaque visiteur de confirmer son acceptation d’envoyer des données vers les différents sites des prestataires.
Comme cet accord est fastidieux à étudier à chaque visite de site. La CNIL exige maintenant un bouton du style « Tout refuser ». En 2022, elle annonce que ce sera le motifs de nombreux contrôles.
Aujourd’hui, on estime a 30% le nombre d’internautes qui cliquent sur
« Tout refuser » plutôt que « Tout accepter ».
30% des internautes choisissent le bouton « Tout refuser », la première conséquence est que dès à présent les statistiques style Google Analytics sont juste à « 30% près » !
C’est le branle bas de combat chez les publicitaires comme Google. Celui-çi est concerné à double titres: en tant que prestataire de publicité et en tant que fournisseur de service Analytics.
Pour les autres prestataires non publicitaires, c’est la panique ! Il faut trouver une solution en first party ou second party.
Un cookie first party est un cookie déposé par le site visité (ecom.com) et donc lisible que par lui uniquement. Ces cookies ne sont pas soumis à acceptation. Tous les sites génèrent ce genre de cookies pour assurer un suivi d’un visiteur dans ce que l’on appelle une « session ». Cela permet par exemple de mémoriser le fait qu’un internaute s’est identifié pour lui autoriser l’accès à plusieurs pages du site. Sans ce cookie first party le site ne fonctionne plus correctement.
Une donnée second party est une donnée envoyée explicitement par le site visité à un tiers. A la différence d’un cookie tiers, une donnée seconde party ne génère pas de cookie mémorisé sur l’ordinateur de l’internaute. Par exemple, au moment du paiement ecom.com va envoyer à un site de paiement les informations de la commande pour assurer l’encaissement du montant correct. L’envoi de ces données se fait en second party. Ces appels fonctionnent sans cookie par API.
Le Règlement Général de Protections des Données (RGPD) impose depuis quelques années de pouvoir lister et supprimer les données envoyées en first, second ou third party. En particulier, le RGPD e-Commerce impose que ces données ne sortent pas librement d’Europe.
Cette contrainte rajoute une difficulté à la suppression des cookies tiers. Car en même temps il faut assurer que les données first et second party respectent bien la législation. Imaginons un utilisateur qui est dirigé par un prestataire d’affiliation chinois (un blog chinois par exemple) vers le site ecom.com. Il faudra garantir que l’information de vente soit bien maîtrisée par le prestataire en Chine. Et le responsable direct de cette chaine est le site internet ecom.com pas le prestataire !
Engageant directement leur responsabilité (et l’amende en cas d’infraction), il est fort à parier que les responsables de ecom.com restreindront les informations envoyées. Celles même qui étaient captées auparavant par le javascript des prestataires sans vraiment de contrôle sérieux.
La solution la plus rapide pour ecom.com est de transformer des échanges par cookies tiers en échanges par cookies first. Pour cela, il suffit de créer un sous-domaine pour son prestataire presta.ecom.com. Puis lui donner la gestion de ce domaine.
Le prestataire doit faire d’importante modification dans son service pour pouvoir traiter chacun de ses clients avec un sous-domaine. C’est le prix à payer pour travailler avec ecom.com.
Cependant cette méthode n’est vraiment pas exempt de défauts. En particulier, ecom.com doit faire une confiance aveugle dans la sécurité du sous-domaine confié au prestataire. Imaginez un prestataire qui se ferait pirater et qui enverrait des emailling de phishing avec des liens presta.ecom.com. (Remplacez ecom.com par fnac.com pour mieux vous rendre de l’enjeu) Beaucoup de clients, pourtant soigneux à vérifier les liens, tomberaient dans le panneau.
Outre ce problème de sécurité, l’astuce du sous-domaine ne règle pas le problème de données clients transmises à des tiers. Sauf que avec le sous-domaine, c’est le site ecom.com qui est clairement le responsable de toutes utilisations abusives ou fuites de données. D’ailleurs Google ne propose pas cette solution.
La solution la plus naturelle et la plus difficile à mettre en œuvre est la solution second party.
Pour faire simple, le site ecom.com collecte lui-même toutes les données nécessaires pour ses prestataires. Puis il les envoient en s’assurant au passage de l’anonymisation éventuelle des données. Le site ecom.com maîtrise finement les données qu’il distribue à ses partenaires. Quand on y pense, c’est la solution adoptée dans toutes les sociétés avant internet. La société collecte les données clients et ne transmet que le nécessaire à ses prestataires.
La difficulté est de collecter toutes les données utiles aux prestataires. A priori on ne les connaît pas et elle génère parfois des volumes importants. Par exemple, Google Analytics mémorise environ 500 caractères pour chaque page visitée et ce sans ralentir le site. Ce sont des données brutes, qu’il faut affiner avant de les envoyer vers chaque prestataire. Il va être beaucoup moins simple d’activer des services externalisés.
Reste une solution, adoptée par le CRM e-Commerce Gulliver.com 😉 c’est de mémoriser un maximum de données et d’internaliser la plupart des services indispensables au site ( analytics e-Commerce, recommandations, newsletters e-Commerce…). Pour éviter de ralentir le site principal, le CRM e-Commerce est hébergé sur un serveur indépendant sous la responsabilité du site principal. On retrouve tous les services indispensables aux e-commerces sans utiliser de cookies tiers. Il est possible de rajouter d’autres services externalisés (des recueils d’avis par exemple), c’est le CRM e-commerce ou le site qui envoie parcimonieusement et de manière anonyme les données nécessaires au prestataire.
Il faut du temps pour revoir un à un tous les services externalisés d’un site e-commerce. On peut dire qu’aujourd’hui, Google a fixé la date limite péremption au 1er juillet 2023.
Si vous optez des solutions tout-en-un comme la solution CRM e-Commerce de Gulliver.com, il faudra un à deux mois de mise en oeuvre.
Si vous recontactez chaque prestataire externe et reinstallez leur nouvelle version de tracking (si elle existe), il faudra, pour un site établi, plusieurs mois pour tout remettre en place.
Le compte à rebours est lancé : 12, 11, 10 … à vous de voir …
Découvrez si votre eCommerce est en croissance durable ou en danger