Les navigateurs poussent-ils pour un avenir sans cookie ?

Des lois récentes telles que le RGPD européen, la directive ePrivacy, le CCPA de Californie et les prochaines réglementations ePrivacy ont poussé les navigateurs à rejoindre la cause de la protection de la vie privée des utilisateurs .

Avec Safari ITP et Firefox ETP à la tête des efforts, et Google les rejoignant récemment, les géants de l'Internet travaillent d'arrache-pied pour proposer une configuration de cadre juridique uniforme.

Pour les entreprises utilisant des outils de test A/B et la personnalisation qui souhaitent prolonger la durée pendant laquelle elles montrent une personnalisation ou une variation à la même personne - par exemple, jusqu'à 7 jours - la meilleure solution est de passer au DNS sur HTTP(s), également appelé une configuration CNAME, pour définir des cookies propriétaires.

C'est une décision controversée. Lisez la suite (ou regardez la vidéo ci-dessous) pour voir pourquoi nous le recommandons et comment vous pouvez l'utiliser (ou non) correctement.

Que veulent les navigateurs, l'Europe et le CCPA pour les utilisateurs ?

En Europe, la mise en place de cookies (même à des fins d'analyse, de test A/B ou de personnalisation) sans consentement est une pratique discutable, car certains d'entre eux contiennent des données personnelles et c'est un GROS problème.

Des navigateurs comme Safari et Firefox (et dans une moindre mesure, Chrome) souhaitent également protéger leurs utilisateurs de ces types de cookies, qui sont utilisés pour créer des profils d'utilisateurs et des intérêts d'achat. Ces informations seront ensuite vendues et utilisées pour cibler les utilisateurs sur d'autres sites. Le vendeur d'annonces réalisera un bénéfice plus élevé sur un placement d'annonce avec une intention vérifiée par rapport à une impression d'annonce simple. Les leaders de l'industrie de la publicité comprennent que la voie à suivre est moins de suivi et plus de placements d'annonces qui correspondent à l'intention de l'utilisateur sur la page (en utilisant la correspondance des annonces de contenu).

Ce changement modifie considérablement l'industrie de la publicité en ligne. Nous avons maintenant des entreprises qui nous contactent avec des demandes telles que : "changez votre DNS pour CNAME dans ce travail de 2 minutes et nous continuons comme d'habitude".

Cette pratique a introduit le terme CNAME Cloaking et BAM, nous entrons dans le côté obscur de la fonction CNAME utile. Les réseaux publicitaires peuvent se cacher derrière un sous-domaine d'entreprise et continuer à collecter des informations personnelles et à créer des profils pour des revenus publicitaires plus élevés.

C'est exactement ce que les navigateurs et les lois européennes tentent d' empêcher .

Parlons de l'idée derrière ces lois et des technologies de navigateur qui se déploient. Ils sont destinés à offrir de la transparence aux visiteurs du site Web et à les faire accepter explicitement les demandes. Ils visent également à empêcher la collecte de données cachées et la création de profils personnalisés à l'insu des utilisateurs.

Le Web devient lentement un endroit effrayant où quelques grands acteurs en savent plus sur vous que votre partenaire de vie.

Arrêter de faire ça! Vous devez arrêter de donner aux réseaux publicitaires autant d'accès aux données de vos utilisateurs. Période!

Piratage technologique ou bataille permanente ?

Vous pouvez voir cela comme un jeu de technologie du chat et de la souris que vous pouvez gagner, mais tout ce que vous faites est de reporter l'inévitable.

Ce faisant, vous limitez vos autres efforts de marketing qui sont toujours considérés comme sûrs.

Les navigateurs ou les lois sur la confidentialité ne veulent pas que vous perdiez votre conversion en tant que spécialiste du marketing une fois qu'une annonce vous est présentée (même si c'est dans un mois). Cela ne les dérange pas que vous utilisiez une connexion universelle pour plusieurs sites ou que vous utilisiez des analyses anonymes sur votre site pour mesurer l'impact. Cependant, ils se soucient du fait que vous (ou votre fournisseur, Google ou Facebook) vous êtes faufilé dans des scripts de suivi partout pour créer des profils d'utilisateurs en même temps. Les utilisateurs voulaient se connecter, ne pas partager qu'ils se sont connectés avec Facebook et seraient maintenant poussés vers +1 une catégorie d'annonces qui les intéressait. Si vous faites cela, ils vous couperont, mais de nouvelles initiatives vous aideront à collecter cette conversion (lisez la suite…)

Webkit, l'organisation à l'origine d'ITP dans Safari, explique cela dans sa politique de prévention du suivi :

Impact imprévu de l'ITP

Il existe des pratiques sur le Web que nous n'avons pas l'intention de perturber, mais qui peuvent être affectées par inadvertance car elles reposent sur des techniques qui peuvent également être utilisées pour le suivi. Nous considérons qu'il s'agit d'un impact non intentionnel. Ces pratiques comprennent :

Financement de sites Web utilisant des publicités ciblées ou personnalisées (voir Mesure des clics privés ci-dessous).

• Mesurer l'efficacité de la publicité.

• Connexion fédérée à l'aide d'un fournisseur de connexion tiers.

• Authentification unique sur plusieurs sites Web contrôlés par la même organisation.

• Média embarqué qui utilise l'identité de l'utilisateur pour respecter ses préférences.

• Boutons "J'aime", commentaires fédérés ou autres widgets sociaux.

• Prévention de la fraude.

• Détection de robots.

• Amélioration de la sécurité de l'authentification client.

• Analytics dans le cadre d'un seul site Web.

• Mesure d'audience.

Face à un compromis, nous accordons généralement la priorité aux avantages pour les utilisateurs plutôt qu'à la préservation des pratiques actuelles du site Web. Nous pensons que c'est le rôle d'un navigateur Web, également connu sous le nom d'agent utilisateur.

Cependant, nous essaierons de limiter l'impact involontaire. Nous pouvons modifier les méthodes de prévention du suivi pour permettre certains cas d'utilisation, en particulier lorsqu'une plus grande rigueur nuirait à l'expérience utilisateur. Dans d'autres cas, nous concevrons et mettrons en œuvre de nouvelles technologies Web pour réactiver ces pratiques sans réintroduire les capacités de suivi. L'API d'accès au stockage et la mesure des clics privés en sont des exemples .

Je suis sûr que d'autres navigateurs partagent cette idée.

Bien que leur technologie et leur rapidité de mise en œuvre puissent refléter leur politique et leur vision, ils s'efforcent tous d'accroître la transparence et l'adhésion des utilisateurs à l'un ou à l'autre. Un outil utile pour suivre tous leurs efforts est Cookie Status de Simo Ahava.

CNAME comme solution temporaire

Lorsque vous utilisez des services tels que CookieSaver et TraceDock, qui prétendent vous redonner le "business as usual", et que l'accent est mis sur ce que vous " pensez manquer ", vous risquez de manquer la logique derrière les nouvelles lois sur la confidentialité et les changements de navigateur. .

Mais soyez clair, certains cookies doivent être conservés hors de CNAME ! C'est un nouveau monde où les gens choisissent s'ils veulent renoncer à toute leur vie privée pour le confort et s'inscrire et se connecter. Vous ne pouvez pas continuer à priver les gens de leur vie privée pour atteindre vos objectifs commerciaux. Vous ne pouvez plus être aussi égoïste. Vous devez avoir confiance qu'en faisant ce qu'il faut, votre entreprise se développera. Faites confiance et mesurez….

Des navigateurs comme Chrome et Safari travaillent sur des initiatives qui vous donneront accès à des informations utilisateur personnalisées approuvées par l'utilisateur. Une certaine personnalisation sera possible en fonction de ceux-ci (ils sont encore dans deux ans).

Chrome et Webkit (Safari) travaillent sur des technologies qui vous permettent de récupérer les conversions publicitaires à l'aide d'une API. Cela signifie que vous pourrez continuer à faire des attributions et même suivre les conversions 3 à 60 jours après le jour de l'impression.

Le problème avec cela est que les lois sur la confidentialité sont appliquées maintenant, alors que ces alternatives ne sont pas encore disponibles.

Ce n'est pas parce que CNAME est actuellement une option pour étendre le suivi des réseaux publicitaires et leur permettre de créer des profils personnels qu'il s'agit d'une solution viable à long terme.

C'est l'intention des navigateurs de protéger les utilisateurs contre cela. Si vous prolongez la durée de vie des cookies qui permettent de créer des profils d'utilisateurs sur votre site et de les recibler ailleurs, ou pire encore, de créer des profils d'utilisateurs et de les vendre… c'est à ce moment-là que les navigateurs et les tiers commenceront à créer des listes de blocage pour ces réseaux douteux.

Vous devez cesser de prendre en charge tout système qui crée des profils personnels en dehors de votre domaine . C'est ce que veulent les utilisateurs, les navigateurs et les lois sur la confidentialité. C'est ce qui va vous mordre si vous ne le faites pas. Assurez-vous que quelqu'un exposera votre marque pour cela.

Cette pratique pourrait également ajouter un risque de sécurité à votre site Web.

Lorsque vous déplacez des trackers publicitaires qui ont un cookie tiers vers un cookie propriétaire utilisant CNAME, cela ajoute le risque que leurs scripts puissent lire les authentifications et les cookies de connexion de vos utilisateurs.

La plupart des articles sur CNAME Cloaking se concentrent sur les systèmes publicitaires créant des profils sur les utilisateurs. Nous aimerions nous démarquer de cette pratique.

Les outils de test et de personnalisation A/B utilisent des cookies propriétaires depuis des années. Ils ont déjà été en mesure de manipuler l'ensemble du site et des systèmes de connexion dans le cadre du système dont ils disposent. Pour ces types d'outils, rien ne change en utilisant les CNAME, sauf que les expériences peuvent être cohérentes pendant 30 à 60 jours au lieu de 7 jours.

Les réglementations européennes ePrivacy suivent les navigateurs

L'Europe travaille sur ses dernières versions du règlement ePrivacy qui permet de placer des cookies à des fins d'analyse et d'optimisation de sites Web. Cela envoie un signal clair que, désormais, seuls les cookies essentiels, comme le stockage des sessions de connexion ou des produits dans les paniers d'achat, ainsi que les analyses et les tests A/B au profit de l'utilisateur, seront autorisés.

Le 8 novembre 2019, le gouvernement finlandais a publié une proposition révisée de règlement ePrivacy avec quelques modifications.

Gaming Tech Law le résume ainsi :

L'utilisation de cookies (et fichiers/tags similaires) nécessite un consentement général. Cependant, le règlement ePrivacy prévoit de nombreuses exemptions, y compris des exemptions déjà connues (cookies nécessaires à la communication ou pour des raisons techniques) ainsi que de nouvelles exemptions telles que (certaines formes d') analyse, sécurité (y compris la prévention de la fraude), mises à jour logicielles et exécution des tâches des employés ainsi que les autres exemptions énumérées ci-dessus.

À des fins de test A/B, vous n'avez probablement pas besoin de consentement et pouvez placer des cookies sans problème, comme l'indique la dernière version du règlement ePrivacy (novembre 2019) à l'article 21a :

Les cookies peuvent également être un outil légitime et utile, par exemple, pour évaluer l'efficacité d'un service de la société de l'information fourni, par exemple la conception de sites Web et la publicité ou en aidant à mesurer le nombre d'utilisateurs finaux visitant un site Web, certaines pages d'un site Web ou le nombre d'utilisateurs finaux d'une application. Ce n'est cependant pas le cas en ce qui concerne les cookies et identifiants similaires utilisés pour déterminer la nature de l'utilisateur du site, qui nécessite toujours le consentement de l'utilisateur final.

Le projet de règlement ePrivacy met l'accent sur l'idée que le suivi et l'analyse sont autorisés sans consentement, tant qu'ils ne sont pas utilisés pour créer des profils d'utilisateurs, comme mentionné à l'article 17AA :

Étant donné que les utilisateurs finaux attachent une grande importance à la confidentialité de leurs communications, y compris de leurs déplacements physiques, ces données ne peuvent pas être utilisées pour déterminer la nature ou les caractéristiques d'un utilisateur final ou pour établir le profil d'un utilisateur final, afin de, par exemple, éviter que les données soient utilisées à des fins de segmentation, pour surveiller le comportement d'un utilisateur final spécifique ou pour tirer des conclusions concernant la vie privée d'un utilisateur final. Pour la même raison, l'utilisateur final doit être informé de ces activités de traitement en cours et avoir le droit de s'opposer à un tel traitement.

Que dira le projet final ?

Nous devrons attendre la version finale du Règlement, puis les législations nationales pour vraiment commencer à discuter plus en profondeur des lignes directrices. Mais la directive ePrivacy actuelle donne de bons espoirs pour les tests A/B. Paul Schmitt m'a fait remarquer que même si l'ICO (l'autorité britannique de la protection de la vie privée) et la CNIL (l'autorité française de la protection de la vie privée) ont réglementé que les cookies pour les tests et analyses A/B nécessitaient un consentement, les dernières directives de la CNIL (en français) de Github disent Par ailleurs. Voici une traduction :

Bénéficiez de la dispense de consentement, sous réserve d'un certain nombre de conditions, les cookies utilisés à des fins de mesure d'audience sont dispensés de consentement. Ces conditions, telles que précisées dans les lignes directrices sur les cookies et autres traceurs, sont (1) d'informer les utilisateurs de leur utilisation ; (2) leur donner le pouvoir de s'y opposer ; (3) de limiter le dispositif aux seules finalités suivantes : mesure d'audience et A/B testing.

Pour résumer, les navigateurs et les lois sur la confidentialité veulent la même chose. Ils ne sont pas là pour arrêter vos efforts d'analyse des utilisateurs (sur votre site) ou pour faire des tests A/B pour améliorer et optimiser l'expérience utilisateur.

Pas de cookies… Utilisons les empreintes digitales

L'empreinte digitale consiste à créer un identifiant unique en combinant plusieurs propriétés qui ne vous sont pas propres, en contournant les restrictions du navigateur sur les cookies et même en étant capable de vous suivre sur tous les appareils (c'est quelque chose que les cookies ne peuvent pas faire).

Certaines de ces propriétés sont votre adresse IP, la version de votre système d'exploitation, la version de votre navigateur, la langue de votre ordinateur, votre heure, la taille de votre écran, la densité de pixels de votre écran, la vitesse de votre ordinateur, et la liste continue et sur.

Vous pouvez envisager de ne pas utiliser de cookies du tout pour des techniques spécifiques. Cependant, cela ne signifie pas que vous pouvez renoncer à la transparence et aux problèmes de confidentialité en cachant ce que vous faites aux visiteurs individuels côté serveur ou à la périphérie du CDN. C'est l'une des raisons pour lesquelles nous encourageons une transparence absolue sur les efforts de test et de personnalisation en cours sur notre site.

Vous pouvez configurer des tests A/B en périphérie sans cookies (sur Fastly), mais cela n'est pas transparent et peut être mal vu. Les navigateurs limitent les informations que vous obtenez pour créer une expérience hachée/unique pour quelqu'un.

Les réglementations ePrivacy sont claires - elles n'autorisent pas la prise d'empreintes digitales. Les navigateurs et les autorités chargées de la protection de la vie privée vous combattront encore plus pour les empreintes digitales qu'ils ne le feraient pour les cookies. N'y allez pas.

Plus de transparence, pas moins

Convert Experiences est notre outil de test et de personnalisation A/B. Il ne permet pas de créer des profils d'utilisateurs en utilisant des données personnelles par défaut.

Nous regroupons les données dans des rapports et envoyons des avertissements lorsque les segments deviennent si petits qu'ils rendent les utilisateurs identifiables ou lorsque nous soupçonnons que des données personnelles ont été ajoutées dans des champs où elles ne devraient pas l'être.

Notre outil est souvent utilisé par des marques qui se soucient du respect de toutes les lois sur la confidentialité dans le monde. Nous proposons des options permettant aux propriétaires de sites Web de partager un lien ou une touche de raccourci pour être transparents sur les expériences exécutées sur le site Web et sur les expériences des utilisateurs.

Nous encourageons nos clients à créer des expériences qui améliorent l'expérience utilisateur et optimisent le flux.

Si vous voulez construire un monde meilleur, créez des formulaires meilleurs et plus courts . Les navigateurs, les utilisateurs et les lois sur la confidentialité vous soutiennent à cet égard. Ce qu'ils ne prendront pas en charge, c'est un test A/B où vous vous glissez dans une vente incitative cochée par défaut. Améliorez vos propriétés et il n'y aura alors aucun problème à être transparent à ce sujet. Les tests A/B profitent aux utilisateurs et peuvent être bons pour les affaires, car vous offrez les meilleures expériences en ligne.

Ainsi, lorsque vous installez CNAME pour votre outil de test A/B, assurez-vous que votre outil ne crée pas de profils utilisateur. N'utilisez pas d'identifiants tels que le sexe, l'âge, la race et la religion pour cibler (certains outils - pas les nôtres - offrent cela). N'y allez pas, ça n'en vaut pas la peine et personne n'en veut plus.

Configurez un CNAME pour les outils auxquels vous faites confiance. Ne les laissez pas canaliser des informations sur vos visiteurs vers des sites et des emplacements tiers. Vous et vous seul êtes responsable de ce que ces outils stockent et font avec les données. Vous pouvez regarder chaque outil et les tonnes d'extraits qu'ils soulèvent avec l'outil (vous pouvez utiliser Collision - voir l'image ci-dessous). Configurez CNAME uniquement pour une entreprise pour laquelle vous avez signé un DPA (accord de traitement des données) - trouvez le nôtre ici.

Maintenant quoi?

J'ai exposé tout ce que je sais sur CNAME dans cet article - j'espère que vous l'avez trouvé utile et qu'il a éclairé ce sujet compliqué.

N'hésitez pas à me contacter sur LinkedIn ou à lire comment nous nous sommes complètement tournés vers une focalisation sur la confidentialité en 2018.

Regardez comment nous gérons Privacy Shield, SCC, CCPA et nos efforts généraux dans cet espace.

J'espère que cet article a expliqué clairement comment vous pouvez utiliser CNAME dans vos efforts pour prolonger vos expériences de test A/B de 7 à 30 jours. N'achetez pas d'outils CNAME qui prolongent la durée de vie des cookies publicitaires qui créent des profils d'utilisateurs, s'il vous plaît.

Faites un essai gratuit de notre logiciel de test A/B, si vous souhaitez voir comment fonctionne un outil soucieux de la confidentialité. Nous (tout comme le Règlement ePrivacy) sommes convaincus que les tests A/B sont une méthode positive qui peut aider à valider les efforts des entreprises pour offrir une meilleure expérience aux utilisateurs et non les exploiter.