Web Analytics : peut-on sérieusement se passer des cookies ?
Les cookies sont très utiles en Web Analytics : ces petits fichiers stockés dans le navigateur permettent notamment de différencier les utilisateurs et les sessions, mais aussi les sources de trafic. Mais aujourd'hui, leur intérêt, ou plus précisément leur fiabilité, bat de l'aile. "Cette méthode montre quelques signes d'obsolescence, car les cookies peuvent rencontrer aujourd'hui plus de problèmes de persistance, et des soucis de performance et de précision", fait remarquer Maurice Largeron, formateur et consultant en Web Marketing - qui a publié sur son blog plusieurs articles dédiés à ces questions et à l'utilisation des cookies en Web Analytics.
Pourquoi, aujourd'hui, le cookie aurait-il montré de nouvelles limites dans le domaine de l'analyse du trafic des sites web ? D'une part parce que désormais le "visiteur unique" possède plusieurs terminaux, et comme les cookies restent associés à un navigateur installé sur un terminal, ils ont bien du mal à reconnaître ce même visiteur unique s'il change de terminal. Par ailleurs, les internautes peuvent aujourd'hui facilement empêcher qu'un site dépose et utilise les cookies. Les outils et plugins pour les bloquer pullulent, certains rencontrant un franc succès en promettant un meilleur respect de la vie privée. D'ailleurs, les cookies sont aussi désormais dans le collimateur de la loi, et leur usage à des fins de Web Analytics doit souvent théoriquement être approuvé par l'internaute. Pour assombrir encore le tableau, côté navigateurs, Safari refuse déjà les cookies tiers, et Mozilla et Google y songent aussi. Autant de problèmes qui invitent à réfléchir sur la pertinence, aujourd'hui, de ces cookies, et à envisager d'éventuelles méthodes alternatives.
1- ETag, et les divers "hacks" alternatifs
Une méthode alternative bien connue, assez maline et garantie sans cookie, est celle reposant sur l'ETag. Pour résumer brièvement cette technique, il s'agit de détourner une fonctionnalité prévue par le W3C pour optimiser le cache.
L'ETag est un identifiant unique attribué à une ressource (disons une image) par le serveur web, que le client (le navigateur) va pouvoir demander lors de ses prochains visites. Par ce biais, le serveur peut vérifier si la ressource n'a pas changé, et ainsi éviter de la servir une deuxième fois si elle n'a été modifiée. Mais l'ETag peut être détourné, puisque ces identifiants uniques peuvent être utilisés comme des identifiants de session, et notamment reconnaître si un visiteur vient pour la première fois... ou pas. Un peu comme... des cookies.
Problème : des entreprises qui avaient utilisé cette méthode à des fins de Web Analyse ont eu affaire à la justice, et certaines l'ont payé cher. C'est ce qui est précisément arrivé à l'été 2011 à Kissmetrics, éditeur de solutions de Web Analytics. Non seulement cet acteur, mais aussi ses clients (comme Spotify, Etsy ou GigaOm) ont été attaqués pour avoir utilisé ces méthodes. L'affaire a été réglée par un accord à l'amiable, et Kissmetrics a dû payer une lourde amende (un demi-million de dollars), ses clients ayant finalement été saufs.
Il semble que c'était moins la méthode en elle-même que la manière dont elle a été appliquée (sans le consentement explicite des internautes) qui a gêné. C'est du moins ce que laisse penser l'accord final. Mais, même si Kissmetrics n'a jamais reconnu sa culpabilité pour les faits reprochés, l'affaire n'aura pas vraiment encouragé d'autres acteurs à se lancer dans cette voie et Kissmetrics aura dû ostensiblement renoncer à ces méthodes.
L'ETag n'était pas la seule méthode alternative au cookie employée par Kissmetrics
La quête du "supercookie", inévitable et ineffaçable
Mais l'ETag n'était pas la seule méthode alternative au cookie employée par Kissmetrics. La société donnant l'impression d'avoir cherché à créer un "supercookie" inévitable et ineffaçable (ce qui n'a pas dû l'aider non plus dans cette affaire judiciaire), en cumulant à peu près tous les hacks et méthodes alternatives au cookie.
Parmi elles, certaines sont aussi désormais bien connues. Il y a notamment la méthode des LSO (pour Local Shared Object ou objet local partagé) : une fonctionnalité un peu cachée, que certains croyaient même être un bug, dans Flash qui permet d'arriver aux mêmes résultats - via ce que certains appellent les "cookies Flash". Le stockage local d'HTML5 peut aussi jouer, en Web Analytics, un rôle similaire au cookie. Des systèmes de redirection ont même été imaginés dans le même but.
"Je ne recommanderais pas l'utilisation de ces systèmes un peu bricolés", conseille de son côté Maurice Largeron, qui rappelle que, concernant l'ETag, il suffit de vider son cache pour que le tracking perde son efficacité. Un problème qui le rapproche donc des cookies, eux-aussi effaçables en un clic.
Précisons aussi qu'aucune de ces méthodes n'échappe à la loi, il est vrai imaginée d'abord pour les cookies (paragraphe 24 du texte).
2- L'empreinte unique du visiteur unique
Autre piste alternative aux cookies : l'empreinte du navigateur. Avec ses extensions installées, son user agent, mais aussi sa résolution d'écran, ses en-têtes HTTP... cette empreinte a de grandes chances d'être unique, comme le montrent les tests que chacun peut réaliser sur le site panopticlick.eff.org (de l'EFF). Elle peut donc servir à repérer les visiteurs uniques.
"C'est l'une des méthodes que nous utilisons, mais elle n'est pas toujours suffisante", estime Romain Gauthier, de la jeune pousse Tactads justement spécialisée dans le tracking sans cookie (démonstration ludique et explications ici), mais plus à des fins publicitaires que de Web Analytics. "Dans des grandes entreprises qui peuvent verrouiller certaines configurations du navigateur, les empreintes de tous les employés peuvent se ressembler", souligne-t-il. Il ajoute donc une autre méthode pour améliorer les résultats : les données de navigation, c'est-à-dire la façon de surfer, les heures de connexions, etc. Il y a là une source considérable de données, que le Big Data peut aujourd'hui aider à traiter en temps réel.
Grâce à l'association de ces méthodes, l'empreinte navigateur ou "fingerprinting" et l'analyse des données de navigation, Romain Gauthier affirme pouvoir "mieux mesurer les visiteurs uniques qu'avec les cookies". Mais sa technologie, encore assez jeune, ne pourra s'affiner qu'en traitant des volumes de données encore plus importants. De plus, elle cible aujourd'hui plus l'industrie de la publicité en ligne que le Web Analytics, même si l'intégration de la solution à des outils comme Adobe Analytics est envisagée.
Reste le risque juridique
Ces méthodes sont-elles sans risque juridique ? Romain Gauthier martèle que toutes les données collectées respectent l'anonymat imposé par les lois, et estime que l'opt-out proposé aux internautes reste la clé pour respecter les textes juridiques et leur esprit.
Les éditeurs d'outils de Web Analytics vont-ils pour autant, demain, décider de se passer totalement des cookies ? "Peut-être qu'ils explorent déjà activement, voire utilisent, des méthodes alternatives, par exemple pour mieux mesurer l'audience depuis Safari qui est censé bloquer les cookies tiers", fait remarquer Romain Gauthier.
En tout cas, le leader du secteur, Google, n'a en tout cas pas choisi de se passer totalement des cookies. Avec Universal Analytics, la prochaine version majeure de Google Analytics, Mountain View a trouvé une parade pour mesurer les visiteurs uniques quel que soit les terminaux, mais elle requiert l'identification de ce visiteur unique sur le site analysé. En revanche Universal Analytics continuera bien d'utiliser des cookies.