Si votre site utilise des cookies tiers, il est temps d'agir car leur suppression approche. Chrome prévoit de désactiver les cookies tiers pour 1 % des utilisateurs à partir du 1er trimestre 2024 afin de faciliter les tests, puis de passer à 100 % des utilisateurs à partir du 3e trimestre 2024. Le passage à 100 % des utilisateurs est subordonné à la résolution des problèmes de concurrence qui subsistent au sein de l'autorité britannique de la concurrence et des marchés (CMA).L'objectif avec le "Privacy Sandbox" est de réduire le suivi intersite tout en permettant la fonctionnalité qui maintient le contenu et les services en ligne librement accessibles à tous. La dépréciation et la suppression des cookies tiers résument le défi, car ils permettent des fonctionnalités essentielles telles que la connexion, la protection contre la fraude, la publicité et, de manière générale, la possibilité d'intégrer des contenus riches et tiers dans vos sites, mais en même temps, ils sont aussi les principaux catalyseurs du suivi intersites.
Lors de sa dernière grande étape, Google a lancé une série d'API offrant une alternative au statu quo actuel, axée sur la protection de la vie privée, pour des cas d'utilisation tels que l'identité, la publicité et la détection des fraudes. Ces alternatives étant en place, Google peut maintenant commencer à éliminer progressivement les cookies tiers.
Dans cette article sur le compte à rebours des cookies, on vous présentera le calendrier et les mesures immédiates que vous pouvez prendre pour vous assurer que vos sites sont prêts.
1 % de suppression des cookies tiers et tests facilités par Chrome
Sur le calendrier de privacysandbox.com, vous pouvez voir deux étapes approcher au quatrième trimestre 2023 et au premier trimestre 2024 dans le cadre des modes de test facilités par Chrome. Ces tests sont principalement destinés aux organisations qui testent les API de pertinence et de mesure de Privacy Sandbox, mais dans le cadre de ces tests, Google désactivera les cookies tiers pour 1 % des utilisateurs de Chrome Stable.
Cela signifie qu'à partir du début de l'année 2024, vous pouvez vous attendre à voir une proportion accrue d'utilisateurs de Chrome sur votre site avec des cookies tiers désactivés, même si vous ne participez pas activement aux tests facilités par Chrome. Cette période de test se poursuivra jusqu'au troisième trimestre 2024, date à laquelle, après consultation de la CMA et sous réserve de la résolution de tout problème de concurrence, Google prévoye de commencer à désactiver les cookies tiers pour tous les utilisateurs de Chrome.
Se préparer à l'élimination progressive des cookies tiers
Google a décomposé le processus en plusieurs étapes clés, détaillées ci-dessous, afin de vous assurer que vous êtes prêt à faire fonctionner votre site sans cookies tiers :
- Vérifier l'utilisation des cookies tiers.
- Testez la rupture.
- Pour les cookies intersites qui stockent des données par site, comme un embed, pensez à Partitioned with CHIPS.
- Pour les cookies intersites sur un petit groupe de sites liés de manière significative, envisagez les ensembles de sites Web connexes.
- Pour les autres cas d'utilisation de cookies tiers, migrez vers les API web appropriées.
1. Vérifier l'utilisation des cookies tiers
Les cookies tiers peuvent être identifiés par leur valeur SameSite=None. Vous devez rechercher dans votre code les cas où vous avez défini l'attribut SameSite avec cette valeur. Si vous avez déjà apporté des modifications pour ajouter SameSite=None à vos cookies vers 2020, ces modifications peuvent constituer un bon point de départ.
Le panneau Réseau de Chrome DevTools affiche les cookies définis et envoyés lors des requêtes. Dans le panneau Application, vous pouvez voir la rubrique Cookies sous Stockage. Vous pouvez consulter les cookies stockés pour chaque site auquel vous accédez lors du chargement de la page. Vous pouvez trier par la colonne SameSite pour regrouper tous les cookies None.
Dans Chrome 118, l'onglet DevTools Issues (Outils de développement) affiche le problème de rupture, "Cookie sent in cross-site context will be blocked in future Chrome versions" (Les cookies envoyés dans un contexte intersite seront bloqués dans les prochaines versions de Chrome). Le problème répertorie les cookies potentiellement affectés pour la page actuelle.
Si vous identifiez des cookies définis par des tiers, vous devez vérifier auprès de ces fournisseurs s'ils ont prévu de supprimer progressivement les cookies tiers. Par exemple, vous devrez peut-être mettre à jour la version d'une bibliothèque que vous utilisez, modifier une option de configuration dans le service, ou ne rien faire si la tierce partie gère elle-même les changements nécessaires.
2. Test de rupture
Vous pouvez lancer Chrome en utilisant l'option --test third-party-cookie-phaseout en ligne de commande ou, à partir de Chrome 118, activer chrome://flags/#test third-party-cookie-phaseout. Cela permettra à Chrome de bloquer les cookies tiers et de s'assurer que les nouvelles fonctionnalités et les mesures d'atténuation sont actives afin de simuler au mieux l'état après le retrait progressif.
Vous pouvez également essayer de naviguer avec des cookies tiers bloqués via chrome://settings/cookies, mais sachez que le drapeau garantit que les nouvelles fonctionnalités sont également activées. Le blocage des cookies tiers est une bonne approche pour détecter les problèmes, mais il ne permet pas nécessairement de valider leur résolution.
Si vous maintenez une suite de tests active pour vos sites, vous devriez effectuer deux exécutions côte à côte : l'une avec Chrome avec les paramètres habituels et l'autre avec la même version de Chrome lancée avec l'option --test third-party-cookie-phaseout. Tout échec de test dans la seconde exécution, mais pas dans la première, est un bon candidat pour enquêter sur les dépendances des cookies tiers.
Une fois que vous avez identifié les cookies qui posent problème et que vous avez compris leurs cas d'utilisation, vous pouvez travailler sur les options suivantes pour choisir la solution nécessaire.
3. Utiliser des cookies partitionnés avec CHIPS
Lorsque votre cookie tiers est utilisé dans un contexte intégré 1:1 avec le site de premier niveau, vous pouvez envisager d'utiliser l'attribut Partitioned dans le cadre des Cookies Having Independent Partitioned State (CHIPS) pour permettre l'accès intersite avec un cookie distinct utilisé par site.
Pour mettre en œuvre le CHIPS, vous ajoutez l'attribut Partitioned à votre en-tête Set-Cookie :
En définissant l'attribut Partitioned, le site choisit de stocker le cookie dans une boîte à cookies distincte, divisée par site de premier niveau. Dans l'exemple ci-dessus, le cookie provient de store-finder.site qui héberge une carte des magasins permettant à l'utilisateur d'enregistrer son magasin préféré. En utilisant CHIPS, lorsque brand-a.site intègre store-finder.site, la valeur du cookie fav_store est 123. Ensuite, lorsque brand-b.site intègre également store-finder.site, il définit et envoie sa propre instance partitionnée du cookie fav_store, par exemple avec la valeur 456.
Cela signifie que les services intégrés peuvent toujours sauvegarder l'état, mais qu'ils ne disposent pas d'un stockage intersite partagé qui permettrait le suivi intersite.
Cas d'utilisation potentiels : les modules de chat de tiers, les modules de cartes de tiers, les modules de paiement de tiers, l'équilibrage de la charge des sous-ressources CDN, les fournisseurs de CMS sans tête, les domaines sandbox pour servir un contenu utilisateur non fiable, les CDN de tiers utilisant des cookies pour le contrôle d'accès, les appels API de tiers qui nécessitent des cookies sur les requêtes, les publicités intégrées avec un état délimité par l'éditeur.
4. Utiliser des ensembles de sites web apparentés (RWS)
Lorsque votre cookie tiers n'est utilisé que sur un petit nombre de sites connexes, vous pouvez envisager d'utiliser des ensembles de sites connexes (Related Website Sets - RWS) pour permettre l'accès intersite à ce cookie dans le contexte de ces sites définis.
Pour mettre en œuvre les RWS, vous devez définir et soumettre le groupe de sites pour l'ensemble. Pour s'assurer que les sites sont liés de manière significative, la politique d'un ensemble valide exige de regrouper ces sites par : sites associés ayant une relation visible les uns avec les autres (par exemple, variantes de l'offre de produits d'une entreprise), domaines de service (par exemple, API, CDN), ou domaines de code de pays (par exemple, *.uk, *.jp).
Les sites peuvent utiliser l'API d'accès au stockage pour demander l'accès aux cookies intersites à l'aide de la fonction requestStorageAccess() ou déléguer l'accès à l'aide de la fonction requestStorageAccessFor(). Lorsque des sites font partie du même ensemble, le navigateur accorde automatiquement l'accès et les cookies intersites sont disponibles.
Cela signifie que les groupes de sites apparentés peuvent toujours utiliser les cookies intersites dans un contexte limité, mais ne risquent pas de partager des cookies tiers entre des sites non apparentés d'une manière qui permettrait le suivi intersites.
Cas d'utilisation potentiels : domaines spécifiques à une application, domaines spécifiques à une marque, domaines spécifiques à un pays, domaines sandbox pour servir un contenu utilisateur non fiable, domaines de service pour les API, CDN.
5. Migrer vers les API web appropriées
CHIPS et RWS permettent des types spécifiques d'accès aux cookies intersites tout en préservant la vie privée des utilisateurs, mais les autres cas d'utilisation de cookies tiers doivent migrer vers des alternatives axées sur la protection de la vie privée.
Le "Privacy Sandbox" propose une série d'API spécialement conçues pour des cas d'utilisation spécifiques ne nécessitant pas l'utilisation de cookies tiers :
[LIST][*]Federated Credential Management (FedCM) permet des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par TotoParis
