Cookie tiers (cookie third-party)

Qu’est-ce qu’un cookie tiers (cookie third-party) ?

Si l’on résume rapidement, un cookie internet (appelé le plus souvent “cookie”) est un petit fichier texte qui peut être stocké sur le navigateur (Google Chrome, Firefox, Safari, etc) d’un utilisateur pendant une durée plus ou moins longue (pouvant aller d’une session à plusieurs mois). Les cookies sont généralement utilisés par les sites web pour collecter des informations sur les utilisateurs, améliorer l’expérience de navigation et fournir des fonctionnalités personnalisées.

Voici 5 informations très importantes concernant les cookies dans le contexte de la collecte de données web :

1 – C’est par l’intermédiaire des requêtes HTTP que des données peuvent être envoyées d’un site web vers des plateformes tierces (Google Analytics 4, Meta Ads, Hubspot, etc). Cette collecte de données s’effectue principalement par l’intermédiaire des paramètres d’URL des requêtes HTTP vers les plateformes tierces concernées. Voici un exemple sur le site de Boryl dans le cas d’un tracking déployé en server-side (capture réalisée sur la console Google Chrome dans l’onglet “Network”) :

2 – Dans le cas d’un tracking server-side (et non client-side), les réponses HTTP sont un moyen par lequel des plateformes tierces telles que Google Analytics 4, Meta Ads, Hubspot, etc, peuvent passer pour écrire des cookies sur le navigateur des utilisateurs d’un site web. En effet, les cookies peuvent être écrits à l’aide de l’en-tête de réponse HTTP “Set-Cookie”. Voici un exemple sur le site de Boryl dans le cas d’un tracking déployé en server-side (capture réalisée sur la console Google Chrome dans l’onglet “Network”) :

Tout ce qui est sélectionné (en bleu) représente l’écriture du cookie FPID à l’aide de l’en-tête de réponse HTTP “Set-Cookie” d’une requête HTTP initiée par une balise Google Analytics 4 vers un serveur/domaine proxy associé au sous domaine “tss.boryl.fr”.

Le cookie FPID fait référence au cliend_id d’une propriété Google Analytics 4 déployée en server-side.

3 – Dans le cas d’un tracking server-side (et non client-side), les requêtes HTTP sont un moyen par lequel des plateformes tierces telles que Google Analytics 4, Meta Ads, Hubspot, etc, peuvent passer pour lire des cookies sur le navigateur des utilisateurs d’un site web. En effet, les cookies peuvent être lus à l’aide de l’en-tête de requête HTTP “Cookie”. Voici un exemple sur le site de Boryl dans le cas d’un tracking déployé en server-side (capture réalisée sur la console Google Chrome dans l’onglet “Network”) :

Tout ce qui est sélectionné (en bleu) représente les cookies lus à l’aide de l’en-tête de requête HTTP “Cookie” initiée par une balise Google Analytics 4 vers un serveur/domaine proxy associé au sous domaine “tss.boryl.fr” et pouvant par la suite être envoyés aux plateformes tierces concernées depuis ce serveur/domaine proxy.

4 – Dans le cas d’un tracking client-side (et non server-side), le JavaScript (avec “document.cookie”) est un moyen par lequel des plateformes tierces comme Google Analytics 4, Meta Ads, Hubspot, etc, peuvent passer (à travers leurs balises ou pixels) pour écrire des cookies sur le navigateur des utilisateurs d’un site web. La librairie gtm.js utilise d’ailleurs plusieurs fois “document.cookie” dans son code JavaScript, voici par exemple une occurrence (sélectionnée en bleu) :

5 – Le JavaScript permet à des plateformes tierces, telles que Google Analytics 4, Meta Ads, HubSpot, etc, de lire les cookies (accessibles) dans le navigateur des utilisateurs d’un site web. Ces cookies peuvent ensuite être inclus dans le payload (dans les paramètres d’URL) des requêtes HTTP envoyées vers ces plateformes. Voici un exemple sur le site Asphalte dans le cas d’un tracking déployé en client-side (captures réalisées sur la console Google Chrome dans les onglets “Application” et “Network”) :

Tout ce qui est sélectionné (en bleu) représente le cookie “_ga” (client_id Google Analytics 4) écrit en JavaScript à l’aide de “document.cookie”. Sa valeur est “GA1.1.1421073494.1707152535”.

Tout ce qui est sélectionné (en bleu) représente ce même cookie “_ga” sous le nom (la clé) “cid” inclus dans le payload (dans les paramètres d’URL) d’une requête HTTP initiée par une balise Google Analytics 4. On retrouve bien la valeur “1421073494.1707152535”.

À savoir :

1. Un cookie écrit par l’intermédiaire d’un en-tête de réponse HTTP avec le paramètre “HttpOnly” (optionnel) ne peut pas être lu avec du JavaScript ;
2. Un cookie écrit par un serveur/domaine autre que celui du site web visité par le navigateur concerné ne peut pas être lu avec du JavaScript ;
3. Un cookie écrit par un serveur/domaine autre que celui du site web visité par le navigateur concerné ne peut pas être intégré dans un en-tête de requête HTTP “Cookie” à destination de cet autre serveur/domaine ;
4. Sur certains navigateurs (par exemple Safari) les cookies écrits en JavaScript ont une durée de vie maximale de 7 jours.

Voilà pour le court résumé sur ce qu’est un cookie, si vous voulez approfondir, rendez-vous ici !

La spécificité d’un cookie cookie tiers est qu’il peut être lu même si le navigateur concerné ouvre une page d’un site web (URL) n’ayant pas le même domaine que le domaine ayant déposé le cookie. Dans le cas d’un cookie tiers, le paramètre “SameSite” est égal à “None”.

Pour une meilleure compréhension, imaginez que vous visitez un site web appelé “exemple.fr”. Lorsque vous arrivez sur ce site web, un cookie tiers associé au serveur/domaine “google_xyz.fr” est créé par une balise Google. Étant donné que ce cookie dispose du paramètre “SameSite” égal à “None”, il sera envoyé au serveur/domaine “google_xyz.fr” à chaque fois que vous visiterez un autre site web ayant une balise permettant d’envoyer des données au serveur/domaine “google_xyz.fr” (par l’intermédiaire d’une requête HTTP).

Ainsi, les cookies tiers permettent de suivre l’activité de navigation des utilisateurs à travers différents sites web, facilitant ainsi la collecte de données sur leurs habitudes, préférences et comportements en ligne. Ces informations sont souvent utilisées pour le ciblage publicitaire par des plateformes tierces comme Meta Ads, Google Ads, etc.

Le plus souvent, les cookies tiers stockent des identifiants, en voici quelques-uns très utilisés en publicité :

1. Le cookie tiers ”fr” de Meta ;
2. Les cookies tiers “__Secure-3PAPISID”, NID, etc, de Google ;
3. Les cookies tiers “GPS”, “VISITOR_INFO1_LIVE”, etc, de YouTube ;
4. Les cookies “bcookie”, “li_gc”, etc, de LinkedIn ;
5. Etc.

Si vous voulez aller plus loin sur le sujet, c’est un peu plus bas que ça se passe 👇 🤓

1. Formation sur Google Analytics 4

2. Formation sur Google Tag Manager

3. Formation sur les paramètres UTM

4. Formation sur le plan de taggage

5. Formation sur Looker Studio

6. Formation sur Matomo

7. Formation sur Google Tag Manager Server-Side

8. Formation sur l’attribution marketing

9. Formation sur l’API de conversion Facebook

10. Formation sur Google BigQuery

Le cookie tiers (cookie third-party) “fr” de Meta Ads : Un exemple d’utilisation concret !

Pour comprendre à quoi peut servir le cookie publicitaire tiers “fr” de Meta Ads, prenons l’exemple d’un utilisateur, Paul, cherchant activement des chaussures pour le mariage de sa sœur en juillet prochain.

Un samedi matin, Paul réalise plusieurs requêtes organiques sur Google Chrome (SEO) et se rend pour la première fois sur plusieurs sites web (e-commerce, blog, comparatif, etc) avec son ordinateur. Il ne réalise aucun achat.

2 jours plus tard, le lundi matin, dans le métro pour aller au travail, Paul scroll son fil d’actualité Facebook sur son téléphone, et comme par hasard, plusieurs publicités faisant la promotion de chaussures lui sont affichées.

Ce qui est encore plus fascinant, c’est que ces publicités ne sont pas toutes associées aux marques des sites web que Paul a visité samedi matin. Ce ne sont donc pas toutes des “publicités de retargeting classiques” réalisées uniquement à l’aide du cookies first-party “_fbp” de Meta Ads et/ou d’autres données first-party envoyées à Meta Ads depuis les sites web concernés par l’intermédiaire de requêtes HTTP. Paul a également utilisé deux devices différents (desktop puis mobile) ce qui est censé rajouter un cran de complexité dans le processus.

Sans surprise, ces publicités sont notamment rendues possibles grâce au cookie tiers “fr” de Meta Ads !

Voici un processus détaillé, présenté étape par étape, pour expliquer comment Meta Ads est capable de montrer des annonces personnalisées à Paul dans son fil d’actualités sur mobile :

Étape 1 – Paul se connecte sur Facebook avec son ordinateur. C’est précisément à ce moment-là (au moment de la première page vue) que le cookie tiers “fr” de Meta Ads est créé sur le navigateur de Paul par l’intermédiaire de l’en-tête de réponse HTTP “Set-Cookie” provenant du serveur/domaine “facebook.com”. Ce cookie est unique, sa valeur est “123456789xyz” (dans cet exemple bien sûr), il est stocké pour une durée de 90 jours sur le navigateur de Paul et son paramètre “Domaine” est donc “facebook.com”. À chaque fois que Paul retourne sur Facebook, la durée de vie de ce cookie est réinitialisée à 90 jours par l’intermédiaire de l’en-tête de réponse HTTP “Set-Cookie” provenant du serveur/domaine “facebook.com”. En d’autres termes, si Paul revient tous les jours sur Facebook pendant 10 ans sans vider ses cookies, ce même cookie persistera, en théorie, 10 ans. Du côté de Meta Ads l’identifiant “123456789xyz” est directement associé au compte Facebook de Paul dans leurs tables de données concernées.

Étape 2 – 3 semaines plus tard (le samedi en question), Paul visite un premier site web de chaussures : “chaussure-1.com” sur son ordinateur. Sur ce site web sont intégrés plusieurs extraits de code pouvant envoyer l’identifiant “123456789xyz” (toujours présent dans les cookies de Paul) à chaque page vue, par l’intermédiaire de l’en-tête de requête HTTP “Cookie” vers le serveur/domaine de Meta Ads “facebook.com”. Ainsi à chaque fois que Paul voit une nouvelle page sur ce site web, Meta Ads reçoit les informations associées, ce qui lui permet de nourrir sa connaissance concernant les centres d’intérêt de Paul.

Les extraits de code en question peuvent par exemple faire référence :

1. Au plug-in du bouton Facebook “J’aime” ;
2. Au plug-in du bouton Facebook “Partager” ;
3. À un pixel Meta Ads ;
4. Etc.

À date, la majeure partie des sites web “de qualité” présents sur Internet disposent d’au moins un extrait de code permettant d’envoyer des requêtes HTTP au serveur/domaine facebook.com.

À date, la majeure partie des sites web “de qualité” présents sur Internet disposent d’au moins un extrait de code permettant d’envoyer des requêtes HTTP au serveur/domaine facebook.com.

Étape 3 – Le même samedi, Paul visite un second site web de chaussures : “chaussure-2.com” sur son ordinateur. Sur ce site web sont intégrés plusieurs extraits de code pouvant envoyer l’identifiant “123456789xyz” (toujours présent dans les cookies de Paul) à chaque page vue, par l’intermédiaire de l’en-tête de requête HTTP “Cookie” vers le serveur/domaine de Meta Ads “facebook.com”. Ainsi à chaque fois que Paul voit une nouvelle page sur ce site web, Meta Ads reçoit les informations associées, ce qui lui permet de nourrir sa connaissance concernant les centres d’intérêt de Paul.

Étape 4 – Le même samedi, Paul visite un troisième site web de chaussures : “chaussure-3.com” sur son ordinateur. Sur ce site web sont intégrés plusieurs extraits de code pouvant envoyer l’identifiant “123456789xyz” (toujours présent dans les cookies de Paul) à chaque page vue, par l’intermédiaire de l’en-tête de requête HTTP “Cookie” vers le serveur/domaine de Meta Ads “facebook.com”. Ainsi à chaque fois que Paul voit une nouvelle page sur ce site web, Meta Ads reçoit les informations associées, ce qui lui permet de nourrir sa connaissance concernant les centres d’intérêt de Paul.

Étape 5 – 2 jours plus tard, le lundi matin, dans le métro pour aller au travail, Paul scroll son fil d’actualité Facebook sur son téléphone. À ce moment-là, étant donné que Paul s’est identifié pour se connecter, Meta Ads sait que l’utilisateur sur ce téléphone est Paul, que Paul est associé à l’identifiant “123456789xyz” et que cet identifiant (correspondant à la valeur du cookie “fr” stocké sur le navigateur de l’ordinateur de Paul) est associé, ces derniers jours, a beaucoup de pages vues réalisées sur des sites de chaussures. Ces informations sont correctement stockées dans les tables de données de Meta Ads. Ainsi, Meta Ads est au courant que Paul manifeste un certain intérêt pour les chaussures ces derniers jours et lui affiche donc des publicités de chaussures associées à plusieurs marques de chaussure qui payent Meta Ads pour générer du trafic sur leurs sites web ainsi que des conversions !

À date, si vous videz vos cookies et que vous vous connectez sur Facebook, vous pouvez effectivement facilement identifier le serveur/domaine “facebook.com” déposer le cookie tiers “fr” sur votre navigateur. Voici un exemple (capture réalisée sur la console Google Chrome dans l’onglet “Network”) :

Tout ce qui est sélectionné (en bleu) représente l’écriture du cookie tiers “fr” de Meta Ads (avec ses différents paramètres) à l’aide de l’en-tête de réponse HTTP “Set-Cookie” d’une requête HTTP initiée depuis le navigateur utilisé vers le serveur/domaine “facebook.com” (cette requête permet de récupérer et d’afficher la page HTML concernée).

Ensuite, si vous allez sur le site de chaussures Paraboot avec le même navigateur, sans adblockers et en acceptant les cookies, vous pouvez effectivement facilement identifier le serveur/domaine “facebook.com” recevoir une requête HTTP avec la valeur du cookie tiers “fr” de Meta Ads présent sur votre navigateur. Voici un exemple (capture réalisée sur la console Google Chrome dans l’onglet “Network”) :

Tout ce qui est sélectionné (en bleu) représente la lecture du cookie tiers “fr” de Meta Ads (avec ses différents paramètres) à l’aide de l’en-tête de requête HTTP “Cookie” initiée depuis le navigateur utilisé (lors de la page vue via le Pixel Meta Ads et donc de la librairie fbevents.js) vers le serveur/domaine “facebook.com”.

Comme vous pouvez le voir, la valeur du cookie “fr” n’a pas changé depuis le moment où il a été déposé (lors de la session su Facebook). De notre côté, ça valeur est la suivante :

“0MOe97xWuffb84Rmc.AWXQNzQJ4oDFG8AIlcMWF4SqsZ4.Blwkg6..AAA.0.0.BlxKSt.AWWMI7R-Pbk”

Les campagnes publicitaires qui vont être les plus impactées par la fin des cookies tiers (cookies third-party)

Pour rappel, la fin des cookies tiers sur Google Chrome est prévu pour début 2025.

La volonté de mettre fin aux cookies tiers d’ici début 2025 découle d’une préoccupation croissante à l’égard de la confidentialité et de la vie privée des utilisateurs d’Internet.

Les campagnes publicitaires qui vont être les plus impactées par la fin des cookies tiers sont les suivantes :

1 – Les campagnes de retargeting – Sans cookies tiers c’est beaucoup plus compliqué pour les plateformes publicitaires de faire correspondre un utilisateur d’un site web lambda avec un utilisateur de leur plateforme. Cet impact négatif se traduit, en théorie, par une augmentation des CPA.

2 – Les campagnes “classiques” de ciblage sur des centres d’intérêt – Sans cookies tiers, les plateformes publicitaires ont beaucoup plus de mal à connaître les centres d’intérêt de leurs utilisateurs en raison du fait qu’elles collectent beaucoup moins de données concernant les sites web qu’ils visitent, leur comportement sur ces derniers, etc. Cet impact négatif se traduit, en théorie, par une augmentation des CPA.

3 – Les campagnes lookalike – Sans cookies tiers, les plateformes publicitaires ont beaucoup plus de mal à connaître les centres d’intérêt de leurs utilisateurs en raison du fait qu’elles collectent beaucoup moins de données concernant les sites web qu’ils visitent, leur comportement sur ces derniers, etc. Les plateformes publicitaires ont donc plus de mal à cibler des personnes “similaires” aux meilleurs acheteurs d’une marque (d’un annonceur). Cet impact négatif se traduit, en théorie, par une augmentation des CPA.

La fin des cookies tiers compte deux autres principaux inconvénients :

1. Sans cookies tiers, il devient beaucoup plus compliqué (voire impossible) pour les plateformes publicitaires de mesurer l’impact des campagnes publicitaires avec des attributions dites “post view” ;
2. Sans cookie tiers, il devient difficile pour les plateformes publicitaires d’exclure les utilisateurs qui ont déjà converti chez l’annonceur concerné, ce qui se traduit, en théorie, par une augmentation des CPA et du spam publicitaire.

Comment accéder à la liste des cookies tiers (cookies third-party) présents sur un site web ?

Accéder à la liste des cookies tiers d’un site web dépend du navigateur que vous utilisez. Voici comment faire sur Google Chrome (la logique est plus ou moins la même sur les autres navigateurs acceptants les cookies tiers) :

1. Étape 1 – rendez-vous sur le site web concerné ;
2. Étape 2 – utilisez le raccourci clavier suivant : Cmd + Option + C (sur Mac) ou Ctrl + Maj + J (sous Windows) ;
3. Étape 3 – rendez-vous sur l’onglet “Application” ;
4. Étape 4 – cliquez sur “Cookies” (à gauche) puis sur le domaine concerné ;
5. Étape 5 – identifier les cookies dont le paramètre “Domaine” ne correspond pas à celui du site web visité et dont de paramètre “SameSite” est égal à “None “.

SDK, Web analytics, Mobile analytics, IDFA, Hit, Fingerprinting, DataLayer, Cookies internet, Attribution mobile, Google Consent Mode v1 et v2, Tracking server-side, Tag Management System (TMS), Cookie tiers (cookie third-party), Cookie first-party (cookie interne)