ServicesÀ proposNotesContact Me contacter →
EN FR
Note

L'effondrement du Privacy Sandbox

Comment le Privacy Sandbox de Google est passé du meilleur espoir de l'industrie pour un remplacement des cookies à une retraite discrète — la chronologie, ce qui a survécu, et pourquoi cela a scellé le cas pour l'infrastructure server-side.

Planté
ga4google adsanalyticsdata quality

Le Privacy Sandbox de Google était une suite d’API navigateur destinée à remplacer les cookies tiers pour les cas d’usage de ciblage d’audience, d’attribution et d’enchères. La plupart des API ont été retirées en octobre 2025. Cette note couvre la chronologie, ce qui a survécu, et les implications pour l’infrastructure de tracking.

La chronologie

Le Privacy Sandbox a été annoncé en 2019 comme la réponse de Google au consensus grandissant selon lequel les cookies tiers devaient disparaître. Le plan : déprécier les cookies tiers dans Chrome et les remplacer par des API spécifiques qui préservaient la vie privée tout en permettant les cas d’usage publicitaires.

La date de dépréciation a glissé à plusieurs reprises. Initialement prévue pour 2022, elle a été repoussée à fin 2023, puis au second semestre 2024. Chaque report venait avec le même cadrage : l’industrie avait besoin de plus de temps pour tester et adopter les API de remplacement.

Puis deux annonces en 2025 ont mis fin au projet en pratique.

22 avril 2025 : Google a annoncé qu’il n’introduirait pas d’invite de consentement autonome pour les cookies tiers dans Chrome. Au lieu de construire un nouveau flux d’opt-in, Google a décidé que les utilisateurs continueraient à gérer leurs préférences de cookies via le menu de paramètres existant de Chrome. C’était significatif parce que cela signifiait que les cookies tiers resteraient activés par défaut dans Chrome — la dépréciation que le Privacy Sandbox était conçu à amortir n’allait plus se produire.

17 octobre 2025 : Google a officiellement retiré la plupart des API Privacy Sandbox. Les quatre principales API qui étaient censées remplacer la fonctionnalité des cookies tiers ont été arrêtées :

  • Topics API — devait remplacer le ciblage publicitaire basé sur les intérêts en classifiant les utilisateurs dans de larges catégories d’intérêt basées sur l’historique de navigation, puis en partageant ces catégories avec les annonceurs sans révéler les sites spécifiques visités
  • Attribution Reporting API — devait remplacer la mesure des conversions en fournissant des rapports agrégés privacy-safe sur quelles publicités ont conduit à des conversions, avec du bruit ajouté pour empêcher d’identifier des individus
  • Protected Audience API (PAAPI) — anciennement appelée FLEDGE, devait remplacer le remarketing et le ciblage d’audiences personnalisées en exécutant les enchères publicitaires directement dans le navigateur plutôt que sur les serveurs publicitaires
  • Private Aggregation — devait supporter la mesure agrégée privacy-preserving entre sites

Google a cité « de faibles niveaux d’adoption » comme raison du retrait. La réalité était plus nuancée : l’adoption était faible parce que les API imposaient des contraintes significatives sur ce que les annonceurs pouvaient faire comparé aux cookies. Les catégories larges de Topics API étaient trop grossières pour le ciblage précis sur lequel les annonceurs s’appuyaient. Le modèle d’enchères dans le navigateur de PAAPI était architecturalement complexe et lent. Le bruit de confidentialité d’Attribution Reporting signifiait que le signal était trop dégradé pour une optimisation granulaire. Les annonceurs ont testé les API et les ont trouvées insuffisantes pour leurs cas d’usage.

Ce qui a survécu

Trois technologies de l’umbrella Privacy Sandbox n’ont pas été retirées :

CHIPS (Cookies Having Independent Partitioned State) — un mécanisme de partitionnement des cookies similaire à la protection totale des cookies de Firefox. CHIPS permet aux serveurs de définir des cookies partitionnés par site de premier niveau, empêchant le tracking cross-site tout en préservant la fonctionnalité des cookies same-site. C’est utile pour les services embarqués (widgets de chat, formulaires de paiement) qui doivent maintenir un état sans permettre le tracking cross-site.

FedCM (Federated Credential Management) — une API navigateur pour les flux de connexion fédérée (comme « Se connecter avec Google ») qui fonctionne sans cookies tiers. FedCM remplace le mécanisme précédent où les fournisseurs d’identité utilisaient des cookies tiers pour maintenir l’état de connexion entre les sites. Il résout un vrai problème — la connexion fédérée — mais n’a rien à voir avec la mesure publicitaire.

Private State Tokens — un mécanisme anti-fraude qui permet à un serveur d’émettre un jeton cryptographique vers un navigateur, qui peut ensuite présenter ce jeton sur un autre site pour prouver qu’il a été précédemment vérifié. Le cas d’usage est la détection de bots et la prévention de la fraude, pas la publicité.

Aucune de ces trois technologies ne restaure le ciblage au niveau de l’audience ou l’attribution complète. Elles résolvent des problèmes étroits et spécifiques qui étaient des dommages collatéraux des plans de dépréciation des cookies. Ce ne sont pas des remplacements pour les capacités publicitaires que les API retirées étaient censées fournir.

Implications pour l’infrastructure de tracking

Les cookies tiers restent activés dans Chrome (~67 % de part de marché mondiale) mais sont restreints dans Safari et Firefox. Les API Privacy Sandbox qui étaient destinées à remplacer le ciblage et l’attribution basés sur les cookies ont été retirées. Aucun remplacement natif au navigateur n’est en développement. Le consensus de l’industrie s’est orienté vers l’infrastructure server-side et les stratégies de données first-party comme voie viable à long terme.

L’exception Chrome

La part de marché mondiale de Chrome (~67 %) permet toujours le tracking traditionnel cross-site par cookies. Les cookies tiers restent activés par défaut, et Google n’a pas de plans pour changer cela. Pour les annonceurs qui ne regardent que les chiffres agrégés, la permissivité de Chrome rend la situation gérable en apparence.

Mais l’analyse s’effondre quand on examine des segments d’audience spécifiques. Les sites avec une exposition significative à Safari (tout site avec un trafic mobile substantiel ou des utilisateurs de l’écosystème Apple), les utilisateurs Firefox, et les 31,5 % des internautes utilisant des bloqueurs de publicités sont tous en dehors de la protection de Chrome. Et même les utilisateurs Chrome sont affectés quand ils effacent leurs cookies, utilisent le mode incognito ou changent d’appareil.

Le support continu de Chrome pour les cookies tiers n’est pas non plus garanti indéfiniment. Google a choisi de ne pas les déprécier en 2025, mais l’environnement réglementaire — notamment dans l’UE — continue de pousser vers une gestion plus restrictive des cookies. Le règlement ePrivacy (s’il passe un jour) ou une réglementation future des navigateurs pourrait changer le comportement de Chrome indépendamment des préférences de Google.

L’implication pratique

La réponse technique aux restrictions des navigateurs est l’infrastructure server-side : cookies first-party définis côté serveur pour la récupération de la durée de vie des cookies, tag management côté serveur pour le contrôle des données et le contournement des bloqueurs, et les approches de résolution d’identité pour les scénarios où les cookies ne peuvent pas fonctionner.

Avec les API Privacy Sandbox retirées, aucun remplacement natif au navigateur n’est disponible pour les capacités de tracking que Safari, Firefox et Brave ont restreintes. L’infrastructure server-side est l’architecture qui fonctionne dans le paysage actuel des navigateurs. Les stacks de tracking uniquement client-side n’ont pas de mise à jour de navigateur en attente qui résoudra leurs lacunes de couverture.