Faits saillants sur la confidentialité et la sécurité : comment le suivi et les cookies ont changé en 2019 (et ce que cela signifie pour vos tests en 2020)

2018 s'est terminée alors que la confidentialité de l'année a changé pour toujours.

Le RGPD a laissé son empreinte… dans des mèmes qui nous ont fait rire et des demandes déferlantes de collecte, de traitement et de transparence des données qui nous ont (un peu) débordés.

Mais personne ne s'attendait à ce que 2019 soit un whopper. Pourtant, ça l'était. Les navigateurs ont participé pour que les utilisateurs se sentent plus en sécurité et aient confiance que leurs informations personnelles et leurs préférences n'étaient PAS utilisées pour lancer sans relâche des publicités sur Internet.

Voici une ventilation des changements anti-suivi et de prévention du suivi qui se sont produits en 2019, ce que cela signifie pour les spécialistes du marketing et les testeurs et comment Convert les a traités .

Comment la prévention du tracking et les tests A/B ont-ils changé en 2019 ?

La politique anti-pistage de Mozilla

Introduit par : Mozilla (Firefox)

Quand : Janvier 2019

Résumé : Mozilla Firefox a publié une politique anti-pistage en janvier 2019 qui définit les techniques de suivi que Firefox bloquera par défaut à l'avenir. Décrits dans la politique sont les types suivants :

• Suivi intersite basé sur les cookies — Les cookies et autres types de stockage peuvent être utilisés par des tiers pour suivre les utilisateurs sur Internet.

• Suivi intersites basé sur les paramètres d'URL - Une autre pratique de suivi intersites qui s'appuie sur les URL au lieu des cookies pour transmettre les identifiants des utilisateurs.

• Empreintes digitales du navigateur — Les sites peuvent utiliser les données fournies par le navigateur lors des connexions ou en utilisant certaines techniques Web pour créer des empreintes digitales des utilisateurs.
• Supercookies — Aussi connus sous le nom d'Evercookies. Fait référence au stockage utilisé pour le suivi qui n'est pas effacé automatiquement lorsqu'un utilisateur efface l'historique et les données de navigation. Consultez cette liste de caches utilisés par Firefox.

Impact sur la conversion : après l'avoir lu en détail, le suivi de la conversion n'est pas impacté par cette politique car son suivi n'entre pas dans les catégories ci-dessus.

Prévention du suivi intelligent (ITP) 2.1

Présenté par : Apple (Safari)

Quand : février 2019

Résumé : Apple a annoncé ITP 2.1 en février 2019 ; il s'agissait de la mise à jour ITP qui visait principalement les cookies propriétaires définis à l'aide de JavaScript.

Apple a officiellement limité les cookies côté client (basés sur JavaScript) à 7 jours. Les premières versions d'ITP (1.x) limitaient la durée des cookies tiers.

ITP 2.1 a perturbé les principaux efforts des spécialistes du marketing pour suivre, analyser, mesurer, cibler et personnaliser les utilisateurs de Safari.

Déballons ceci :

• L'analyse Web a perdu de sa précision car un visiteur du site a été oublié au bout de sept jours, ce qui a gonflé le nombre de visiteurs uniques qu'un spécialiste du marketing voit sur le site Web. Cette inflation pourrait avoir un impact sur la manière dont les spécialistes du marketing développent le contenu et les promotions.

• Les tests A / B ont souffert car les spécialistes du marketing avaient peu d'opportunités d'obtenir des informations. Les tests A/B n'ont qu'une fenêtre de sept jours pour tester le contenu et suivre les résultats. Les clients qui visitent les sites moins d'une fois par semaine sont considérés comme de nouveaux visiteurs et peuvent être regroupés dans un groupe de test différent, ce qui entraîne des données de résultats inexactes.

• Les plates-formes de gestion de données (DMP) ont vu un nombre gonflé d'appareils mobiles car les purges épisodiques de cookies créent de nouveaux identifiants pour les appareils mobiles qui ne sont pas nouveaux. Cela exagère la taille des audiences et peut avoir un impact sur la façon dont les audiences sont créées. Les spécialistes du marketing risquent de créer des segments d'audience basés sur des données obsolètes ou incomplètes.

• La personnalisation a également souffert. Les sites non authentifiés qui exploitent des outils de personnalisation basés sur les comportements et les préférences passés pour créer des expériences client cohérentes ne disposent pas de données historiques pour personnaliser le contenu. Pour cette raison, les clients ont des expériences Web incohérentes.

• L'attribution est plus difficile à exécuter. Avec une période d'analyse raccourcie, les spécialistes du marketing ne peuvent pas attribuer les conversions qui se produisent plus de sept jours après la dernière visite du site par l'utilisateur. Les spécialistes du marketing attribuent à tort le crédit aux campagnes et accordent trop d'importance à la dernière touche marketing, risquant de dépenser trop sur des canaux inefficaces.

Impact sur la conversion : vous pouvez comprendre comment ce qui précède peut fausser les résultats de vos expériences de conversion, en particulier si vous avez une large part d'audience à l'aide du navigateur Safari. Par conséquent, nous avons envisagé plusieurs façons de résoudre ITP 2.1 et avons finalement décidé de déplacer le processus de création de cookies du navigateur vers le serveur.

Étant donné que les nouvelles restrictions de durée des cookies ne s'appliquent qu'aux cookies créés par le navigateur, nous avons déplacé la partie d'émission des cookies sur votre serveur Web, ce qui signifie que votre serveur créera les cookies et non les navigateurs des utilisateurs.

Vous pouvez trouver les étapes pour faciliter la création de tels cookies côté serveur ici. Si vous avez besoin d'aide pour modifier l'infrastructure de votre serveur Web, n'hésitez pas à nous contacter.

Vous utilisez des outils de test A/B qui ont un impact négatif sur vos résultats en raison de problèmes de suivi ? Essayez un essai gratuit de 15 jours de Convert Experiences et découvrez les fonctionnalités qui font de nous l'un des outils les plus respectueux de la vie privée sur le marché.

Prévention du suivi intelligent (ITP) 2.2

Présenté par : Apple (Safari)

Quand : Avril 2019

Résumé : En avril 2019, Apple a continué à combler les lacunes de la fonctionnalité anti-pistage de Safari, Intelligent Tracking Prevention. Le plus grand changement d'ITP 2.2 par rapport aux versions 2.1 et 2.0 a limité la durée de certains cookies propriétaires définis par JavaScript à un jour, contre sept jours implémentés par ITP 2.1.

Pour qu'un cookie soit plafonné à un jour par ITP 2.2, il doit remplir trois conditions :

1. Le cookie est défini via JavaScript (ou selon leurs propres termes, "défini via document.cookie"). Cette condition a également été appliquée avec ITP 2.1.
2. Le site qui a envoyé l'utilisateur vers la page de destination a été classé par ITP comme "ayant des capacités de suivi inter-sites" (les principaux réseaux publicitaires, Google et Facebook sont certainement classés de cette façon)
3. Le lien utilise une décoration de lien (il utilise des paramètres de chaîne de requête et/ou un identifiant de fragment)

Impact sur Convert : les trois facteurs ci-dessus combinés signifient que les cookies définis par Convert sont affectés par ITP 2.2, SI (i) votre site sur lequel le code de suivi Convert est installé reçoit du trafic provenant de domaines considérés comme dotés de capacités de suivi intersites ET (ii ) vous utilisez la décoration de lien à des fins d'attribution.

Heureusement, parmi les conditions ci-dessus, seule la première a eu un impact sur les cookies Convert puisque ceux-ci sont créés via le document.cookie de Javascript. Nous avons suggéré à nos clients de déplacer le processus de création de cookies du navigateur vers le serveur, comme nous l'avons fait avec la solution de contournement ITP 2.1.

Cookies du même site

Introduit par : Google (Chrome version 76)

Quand : mai 2019

Résumé : Google a exploité la fonctionnalité HTTP cookie « SameSite » pour permettre aux développeurs de communiquer s'ils souhaitent autoriser la lecture de leurs cookies dans un contexte tiers.

En effet, les développeurs peuvent dire "ce cookie est privé" et rendre le cookie plus sécurisé au moment de la création du cookie. La mise à jour de Chrome 76 a défini une valeur SameSite par défaut même lorsqu'un développeur Web n'en a pas explicitement défini une. Cela signifie que la plupart des cookies côté serveur étaient automatiquement plus sécurisés par défaut.

La version stable de Chrome 80 en février 2020 est destinée à activer cette fonctionnalité par défaut, comme résumé ci-dessous :

• Les cookies sans attribut SameSite seront traités comme SameSite=Lax.
• Les cookies avec SameSite=None doivent également spécifier Secure.

Impact sur Convert : Jusqu'à présent, la fonctionnalité SameSite semble n'affecter que la transmission du cookie au backend, ce qui n'est pas important car Convert ne le fait pas.

Cela n'a d'impact que si les clients utilisent la lecture principale des cookies Convert à des fins différentes. Pour ne pas compter sur la valeur par défaut, nous définissons nos cookies de conversion avec les indicateurs SameSite=Lax et Secure.

Prévention du suivi

Introduit par : Microsoft Windows (Edge)

Quand : juin 2019

Résumé : Microsoft a introduit une nouvelle fonctionnalité en juin 2019 pour bloquer les scripts de suivi dans son navigateur Edge basé sur Chromium. La société a appelé cette fonctionnalité "Tracking Prevention" et n'était initialement disponible que dans Edge Insiders Preview Builds (à partir de 77.0.203.0). La société a déclaré que la fonctionnalité était en cours de développement et qu'elle avait publié la première version pour obtenir des commentaires et un développement accéléré.

Fondamentalement, ce que Microsoft a fait a été d'activer de nouvelles catégories de protection contre le suivi (Basic, Balanced, Strict) dans Edge pour bloquer plus de trackers. Pour éviter les problèmes de compatibilité, Microsoft a conçu un système qui assouplissait la prévention du suivi en fonction des scores d'engagement en mode équilibré.

Cette fonctionnalité est similaire à la protection améliorée contre le suivi dans Mozilla Firefox et à la protection intelligente contre le suivi dans Apple Safari et bloque tout chargement de scripts de suivi à partir d'un domaine auquel l'utilisateur n'a pas directement accès.

Impact sur la conversion : le traqueur de conversion peut être répertorié dans la liste de protection de confiance, et nous disons peut-être parce qu'il s'agit d'un composant caché qu'Edge n'a pas entièrement révélé. Dans tous les cas, Microsoft Edge Tracking Prevention bloquera le tracker Convert UNIQUEMENT lorsqu'un visiteur a défini Tracking Prevention sur le mode Strict (et non sur le mode Balanced qui est celui par défaut). Par conséquent, dans une navigation normale, les expériences de Convert ne sont PAS affectées par les nouveaux paramètres imposés par Edge.

Protection améliorée contre le suivi

Introduit par : Mozilla (Firefox)

Quand : juin 2019

Résumé : Les nouveaux utilisateurs qui ont installé Firefox pour la première fois après le 5 juin 2019 ont activé par défaut la protection renforcée contre le pistage (ETP). ETP est automatiquement activé par défaut dans le cadre du paramètre "Standard" du navigateur et bloque (i) les "cookies de suivi tiers" connus et (ii) les traceurs connus dans toutes les fenêtres du navigateur privé/incognito selon la liste de déconnexion qui Mozilla s'est associé à.

Impact sur la conversion : le suivi de conversion est répertorié dans la liste de déconnexion. Cependant, la protection améliorée contre le pistage de Firefox bloquera la conversion traceur UNIQUEMENT lorsqu'un visiteur utilise une fenêtre privée/incognito. De plus, dans Convert, dans le cadre de nos efforts pour nous conformer au GDPR, les cookies tiers ont été désactivés le 21 février 2018. Ainsi, en navigation normale Les expériences de Convert ne sont PAS affectées par les nouveaux paramètres imposés par Firefox.

Politique de prévention du suivi WebKit

Présenté par : Apple (Safari)

Quand : août 2019

Résumé : L'équipe WebKit d'Apple a publié sa "Politique de prévention du suivi" complète en août 2019.

Cette politique décrit les efforts de suivi de WebKit et détaille les types de suivi que WebKit empêche, contre-mesures, etc. Il empêche plusieurs techniques de suivi, notamment le suivi intersite, le suivi avec état, le suivi avec état secret, le suivi de navigation, les empreintes digitales, le suivi secret et d'autres techniques inconnues qui ne relèvent pas de ces catégories.

Impact sur la conversion : le suivi des conversions n'est pas affecté par cette politique, car son suivi n'entre pas dans les catégories ci-dessus.

Prévention du suivi intelligent (ITP) 2.3

Présenté par : Apple (Safari)

Quand : Septembre 2019

Résumé : Auparavant, ITP 2.2 réduisait la durée de vie des cookies persistants côté client de sept jours à 24 heures (si les trois conditions énumérées ci-dessous étaient remplies) et restreignait le suivi intersite via la décoration des liens :

1. Le cookie est défini via JavaScript (ou selon leurs propres termes, "défini via document.cookie"). Cette condition a également été appliquée avec ITP 2.1.
2. Le site qui a envoyé l'utilisateur vers la page de destination a été classé par ITP comme "ayant des capacités de suivi inter-sites" (les principaux réseaux publicitaires, Google et Facebook sont certainement classés de cette façon)
3. Le lien utilise une décoration de lien (il utilise des paramètres de chaîne de requête et/ou un identifiant de fragment)

Mais les ingénieurs de WebKit ont remarqué que certains trackers avaient réagi en déplaçant leurs cookies propriétaires vers d'autres formes de stockage de données de sites Web propriétaires pour suivre les utilisateurs. Ils ont ajouté du code à leur propre URL de référence pour lire l'ID de suivi sur la page de destination.

Sous ITP 2.3, les sites qui le font verront toutes leurs données de site Web non-cookies supprimées après sept jours. Combiné avec l'expiration plafonnée des cookies côté client, cela signifie que les trackers ne pourront pas utiliser la décoration de lien combinée avec le stockage à long terme des données du site Web de première partie pour suivre les utilisateurs.

ITP 2.3 concerne donc la décoration des liens.

Impact sur Convert : comme expliqué ici, il est clair que le suivi de conversion et les cookies ne sont PAS affectés par les deux nouvelles étapes sous ITP 2.3 que l'équipe WebKit a prises pour lutter contre les trackers ci-dessus.

API IsLoggedIn

Présenté par : Apple (Safari)

Quand : Septembre 2019

Résumé : Lors de la réunion du comité consultatif et plénier technique du W3C (TPAC) 2019, WebKit a annoncé qu'il en était aux toutes premières étapes du test d'une API qui donnerait aux opérateurs de navigateur la possibilité de voir si les utilisateurs sont connectés ou non à un site Web.

Cela n'est resté qu'un sujet de discussion dans l'ordre du jour du TPAC et aucune autre mise en œuvre n'a été effectuée.

Impact sur la conversion : il semble que les cookies qui permettent le suivi croisé, comme les cookies définis lors de la redirection à partir d'une URL classée comme tracker en fonction de certains paramètres de chaîne de requête, soient ceux qui sont affectés. Convert n'effectue pas un tel suivi et n'a donc aucun impact.

Améliorations apportées à ITP

Présenté par : Apple (Safari)

Quand : décembre 2019

Résumé : Cette mise à jour de Safari est arrivée avec iOS 13.3, iPadOS 13.3 et Safari 13.0.3 sur macOS Catalina, Mojave et High Sierra.

Des fonctionnalités telles que la prévention du suivi et le blocage de contenu peuvent elles-mêmes être utilisées à des fins de suivi. Mais trois nouvelles améliorations rendent difficile, voire impossible, la détection du contenu Web et des données de site Web qu'il peut suivre.

1. Origin-Only Referrer For All Third-Party Requests : par exemple, une requête à https://images.example qui contiendrait auparavant l'en-tête de référence https://store.example/baby/strollers/deluxe-stroller-navy- blue.html sera désormais réduit à https://store.example/.
2. Tous les cookies tiers bloqués sans interaction préalable de l'utilisateur
3. L'API d'accès au stockage tient compte de la politique de cookies sous-jacente

Impact sur Convert : Convert n'est pas impacté par ces améliorations qui améliorent la prévention du tracking dans Safari WebKit.

SOMMAIRE

Cela fait beaucoup de détails techniques à prendre en compte. Vous n'avez pas besoin d'être un expert de toutes les mises à jour ITP. Mais étant donné l'état du flux, nous pensons qu'une chose est claire.

Les navigateurs continueront à peaufiner les choses et jusqu'à ce qu'un alignement se produise, le temps de configuration et d'installation de l'outil de test augmentera, compte tenu de la complexité des cas d'utilisation que vous traitez.

Si nous avions un conseil à donner, ce serait de vous associer à des fournisseurs soucieux de la confidentialité comme Convert et de ne collecter aucune donnée que votre avocat ne souhaite pas plaider en votre nom devant un tribunal !