Projet du W3C TAG : « Les cookies tiers doivent être supprimés du Web »

 (w3ctag.github.io)
4 points par GN⁺ 2025-05-03 | 1 commentaires | Partager sur WhatsApp
  • Les cookies tiers (third-party cookies) sont considérés comme une technologie portant gravement atteinte à la vie privée des individus et doivent être supprimés de la plateforme web
  • Conformément aux principes de conception d’un Web centré sur la vie privée, plusieurs navigateurs ont introduit le blocage des cookies tiers, et tous les navigateurs devraient s’y joindre
  • Les fonctions utiles existantes, comme la connexion, l’authentification ou le suivi publicitaire fondés sur les cookies, doivent être remplacées par de nouvelles technologies orientées par objectif
  • Il est indispensable d’évaluer les technologies de remplacement individuellement, ainsi que leurs interactions dans l’ensemble de l’écosystème web
  • Les standards du Web doivent rester neutres, de façon à renforcer la vie privée sans dépendre d’un modèle économique particulier

Third Party Cookies Must Be Removed

  • Les cookies tiers suivent les informations des utilisateurs du Web d’un site à l’autre et constituent un facteur d’atteinte à la vie privée
  • Ce document est un texte de consensus du W3C Technical Architecture Group (TAG) qui explique pourquoi les cookies tiers doivent être supprimés et pourquoi des technologies de remplacement sont nécessaires

1. Introduction

  • La vie privée sur le Web est un principe de conception fondamental, que divers documents et outils cherchent à garantir
  • Certains navigateurs bloquent déjà les cookies tiers, mais une réponse cohérente de tous les navigateurs est nécessaire
  • Cette suppression n’est pas simple et exige des considérations techniques pour préserver les fonctionnalités existantes

2. Why remove third party cookies?

  • Les cookies avaient à l’origine été conçus pour la reconnaissance des visiteurs d’un site, mais leurs usages se sont ensuite étendus au suivi, à la publicité et à la prévention de la fraude
  • Les cookies tiers sont une technologie centrale des réseaux de suivi et collectent et partagent des données à l’insu des utilisateurs
  • Cette centralisation peut freiner l’innovation et favoriser l’évitement des responsabilités
  • Les atteintes à la vie privée sont aussi liées à la liberté d’expression, à la santé des communautés et à l’affaiblissement du contrôle des utilisateurs

3. Use cases previously met by third-party cookies

  • La connexion, le single sign-on, l’autorisation d’accès à des ressources intersites, la détection de fraude, etc., dépendent aujourd’hui des cookies tiers
  • Il en va de même pour la mesure publicitaire et le ciblage, et les technologies de remplacement devront répondre à ces besoins
  • De nouvelles API peuvent, lorsqu’elles sont combinées, créer des possibilités de suivi, ce qui exige une conception prudente et une surveillance attentive

4. Leaving the web better than we found it

  • Toute nouvelle proposition technologique doit démontrer clairement qu’elle ne nuit pas à la vie privée
  • En particulier, les propositions liées au profilage, à la reconnaissance des utilisateurs et au partage de données entre contextes devraient faire l’objet d’une revue indépendante
  • Les navigateurs et les sites ne doivent pas contourner ni affaiblir ces améliorations
  • L’écosystème du Web doit rester neutre vis-à-vis des modèles économiques et ne pas intégrer structurellement un modèle de revenus particulier
  • En conclusion, il faut introduire des technologies de remplacement avec prudence, afin qu’elles ne deviennent pas un nouveau moyen de maintenir les technologies de surveillance existantes

À lire aussi

1 commentaires

 
GN⁺ 2025-05-03
Avis Hacker News

  • Ce texte donne une impression très étrange, et l’on se demande s’il fait vraiment partie du processus de travail du W3C

    • Section 2 : il souligne que les cookies tiers sont devenus problématiques
    • Section 3 : il indique qu’il existe des cas d’usage légitimes pour les cookies tiers et avertit que de nouvelles technologies pourraient être combinées pour suivre les utilisateurs
    • Section 4 : il affirme que les nouvelles technologies de la plateforme web pourraient aggraver le problème des cookies tiers et qu’il faut donc le résoudre rapidement
    • Comme il ne connaît pas bien le contexte culturel du W3C, il suppose que ce document pourrait être un brouillon qui sera clarifié plus tard

  • Des « technologies de remplacement » sont déjà en cours de rédaction, et elles viendront s’ajouter aux cookies tiers

    • Selon les recherches de Google, la suppression des cookies tiers réduit les revenus, tandis que le suivi « respectueux de la vie privée » les augmente
    • Ils utiliseront donc les deux méthodes

  • Un cas d’usage légitime des cookies tiers consiste à maintenir une session sur un site logique unique réparti sur plusieurs domaines

    • Il se demande s’il existe d’autres cas
    • Personnellement, il préférerait que même les cookies de première partie ne soient pas utilisés dans un contexte tiers
    • Il préférerait supprimer totalement les cookies et utiliser des certificats clients pour suivre l’état

  • Si les cookies tiers disparaissent, les traqueurs demanderont aux sites web d’inclure leurs scripts afin de rendre les cookies « de première partie »

    • Il faut des protections qui empêchent le pistage lui-même, pas seulement une méthode de pistage particulière

  • Le problème des cookies n’est qu’un habillage, car si JavaScript est activé, le suivi reste possible même sans cookies

    • Il faut davantage d’efforts pour faire en sorte que les spécifications du web empêchent le suivi des utilisateurs même quand JavaScript est activé
    • Des navigateurs comme Brave et Firefox ne font rien à ce sujet
    • Il se demande s’il faut utiliser un navigateur avec JavaScript désactivé pour bénéficier d’une vraie confidentialité

  • Google n’implémentera pas cette spécification

    • Ce n’est actuellement pas autorisé légalement, et les annonceurs affirment qu’ils ne peuvent pas concurrencer sans cookies tiers
    • Google étend la Privacy Sandbox et abandonne son projet de blocage

  • Parmi les cas d’usage qui nécessitent des solutions spécifiques à un objectif figurent l’identité fédérée, l’autorisation d’accès aux ressources intersites et la prévention de la fraude

    • Il affirme qu’il n’existe aucun moyen de garantir la vie privée en matière de prévention de la fraude
    • Il faut soit accepter la fraude comme un coût de l’activité, soit renoncer à la vie privée

  • Tant que Google contrôle Chrome, cette discussion est vaine

    • Même si les régulateurs forçaient Google à vendre Chrome, il ne s’attend pas à ce que le nouveau propriétaire obtienne de meilleurs résultats

  • Il a toujours bloqué les cookies tiers, et le seul problème est que certaines vidéos intégrées à des pages web ne se lisent pas

  • Supprimer les cookies tiers sans moyen de remplacement rendra le fingerprinting agressif omniprésent