Apple durcit (encore) le blocage des cookies de tracking
Apple est décidé à mener la vie dure au marché de la pub Web mobile. Un an et demi après l'arrivée d'IOS 11 et de son programme de protection contre le pistage "Intelligent Tracking Prevention" (ITP), la firme à la pomme enfonce le clou. Elle profite de la beta d'IOS 12.2 pour mettre à jour ITP et ramener de 30 à 7 jours la durée de vie des cookies permanents au sein du navigateur Safari. Un coup dur pour les adeptes du ciblage publicitaire qui auront eu à peine le temps de s'adapter à la première mouture d'ITP.
Cette dernière avait interdit le suivi de la navigation d'un internaute par des cookies tiers (cookies dit 3d party car ils ne sont pas déposés par l'éditeur du site visité). Ce qui avait contraint des sociétés comme Google, Facebook ou Sizmek à proposer aux éditeurs et annonceurs une version "marque blanche" de leurs outils de tracking, de façon à ce que le nom de domaine du cookie déposé ne soit plus différent de celui du site visité. Dans cette configuration, l'annonceur "A" dépose un cookie made in Facebook mais labellisé "A" lorsqu'un utilisateur atterrit sur son site après avoir cliqué sur une publicité Facebook. Ce procédé permettait aux cookies de tracking de passer le filtre d'ITP en étant assimilés à des cookies 1st party. Des cookies dont la durée de vie au sein de Safari était jusque-là de 30 jours.
"Certains annonceurs auront désormais beaucoup plus de difficultés à appréhender le parcours d'achat digital de leurs mobinautes"
L'arrivée d'IOS 12.2 va considérablement nuire à l'efficacité du subterfuge. Seuls les cookies permanents dit "de session" garderont une durée de vie d'un mois, pour qu'un internaute n'ait pas à se reconnecter à un même service toutes les semaines. Pour le reste, Safari procédera à un nettoyage des cookies vieux de plus de 7 jours. Un vrai casse-tête pour les annonceurs qui ont des cycles de vente de plus d'une semaine. "Ils vont désormais avoir beaucoup plus de difficultés à appréhender le parcours d'achat digital de leurs internautes", résume Guillaume Coulomb, data et activation lead au sein de l'agence de conseil fifty-five. Impossible pour un annonceur de savoir que le mobinaute qui était venu sur son site, après avoir vu une publicité, est le même que celui qui vient d'acheter son produit 10 jours plus tard. Le cookie déposé suite à sa visite a depuis été effacé, excluant toute possibilité de réconciliation publicitaire. Sont notamment concernés des secteurs comme l'immobilier, le luxe ou l'automobile.
Alors même que le marché peine déjà à réconcilier in-app et Web mobile, voilà qu'Apple lui complique la tâche pour le seul Web mobile. La firme à la pomme ne fait pas mystère des raisons qui l'ont conduit à effectuer ce changement. "Avec cette mise à jour, nous réduisons à nouveau la capacité des trackers à établir l'identité d'un utilisateur à travers plusieurs sites", explique John Wilander, responsable privacy et sécurité au sein de l'équipe Webkit d'Apple. La réduction de la durée de vie des cookies 1st party est donc une réponse directe aux stratégies mises en place par Facebook et cie pour contourner le blocage des cookiers tiers.
"Cette mise à jour d'ITP va pénaliser les plus petits. Google et Facebook ont les ressources financières et humaines pour s'en sortir"
"Apple voit d'un mauvais œil que les spécialistes de la mesure cross-site utilisent les cookies 1st party à des fins de tracking", commente Scott Menzer, VP product et opération chez le spécialiste du sujet de l'ID online, ID5. Apple s'inquiète en effet des risques de data leakage que peuvent entraîner de tels abus. "Ce stockage 1st party pose de nombreux problèmes en termes de privacy dans la mesure où tous les outils de tracking peuvent lire et recopier les informations déposées par les autres outils", estime John Wilander. Une crainte partagée par Scott Menzer : "Les informations contenues dans le javascript de l'éditeur ne sont pas protégées."
Pour limiter la casse, les annonceurs et éditeurs disposent toutefois d'un dernier recours. "La limite de 7 jours s'applique aux cookies 1st party, dits client side, c'est-à-dire déposés via un code javascript, détaille Scott Menzer. Apple n'est pas très clair là-dessus mais il semble faire une exception pour les cookies 1st party déposés après un appel DNS vers un serveur tiers." Mais la manœuvre est autrement plus compliquée que la simple intégration d'un bout de script sur sa page Web comme c'est le cas dans les configurations client-side. "C'est techniquement très difficile donc ce sera sans doute réservé aux plus gros partenaires des annonceurs", juge Scott Menzer. On imagine que Facebook et Google seront de ceux-là.
"Cette mise à jour d'ITP va, comme c'est souvent le cas dans ce marché, pénaliser les plus petits, estime Guillaume Coulomb. Google et Facebook auront toujours les ressources financières et humaines pour s'en sortir." D'autant que le duo, en tant que vendeur d'inventaires, sort lui-même renforcé d'un appauvrissement des options de ciblage sur Web mobile. "Ils proposent tous les deux des environnements logués où la donnée ne manque pas", rappelle Guillaume Coulomb.