Cookies et individus : les frères ennemis

Longtemps notre industrie de la publicité en ligne a idéalisé le cookie. On lui prêtait toutes les vertus, passeur d’information (cookie matching), identifiant unique (calcul de la répétition), sésame du profil (si, si je vous assure, je suis un chat !), baron du comportemental (je sais que tu veux ces chaussures rouges, je le sais !).

Ca m’a toujours paru bizarre. Et plus encore, lorsque le cookie était vu par certains comme un individu.

Alors que cookie et individu désignent deux concepts très éloignés l’un de l’autre.

Étymologiquement, individu signifie individuum, « ce qui est indivisible ».

Le cookie, lui, est divisible. Pire encore, il est divisé.

Un cookie n’est qu’un artifice technique, dérivé du magic cookie inventé en 1979 pour désigner une donnée que l’on stocke sans la changer. On est loin de la notion d’être pensant, hein ?

Entrons un peu dans le détail, sans passer à un discours technique. Le cookie est un fichier géré par le navigateur. Dans ce fichier, chaque domaine (ex : bidule.com) peut écrire et lire ses propres données.

Voyons maintenant les implications de cette définition.

« Navigateur » implique que :

  • le cookie est lié à un ordinateur. Deux ordinateurs, deux cookies.
  • le cookie est lié à un navigateur sur cet ordinateur. Deux navigateurs, deux cookies. Deux navigateurs sur deux ordinateurs, quatre cookies. Si on tient compte de la synchronisation des comptes sur Chrome, on peut estimer à la louche qu’on a trois cookies plutôt que quatre.

« Domaine » implique que :

  • le cookie est lié exclusivement au domaine qui l’a déposé. Deux domaines, deux cookies.
  • si le domaine du cookie n’est pas celui de la page qui est chargée, le cookie n’est même pas déposé sur Safari et Firefox, et il ne le sera plus sur Chrome en 2022. L’utilisation du cookie tiers pour éviter le problème « deux domaines, deux cookies » est en train de disparaître.

On a donc un entonnoir de silos.
Prenons un individu que nous appellerons A. A utilise :

  • un ordinateur familial
  • un ordinateur professionnel
  • un smartphone
  • un ipad

Sur les deux ordinateurs, il utilise Firefox.
Premièrement parce qu’il est resté naïf et croie encore aux projets open-source, deuxièmement parce qu’il ne souhaite pas que Google sache vraiment tout de lui et troisièmement parce qu’il a ses signets, son historique et ses cookies (hé oui, certains choisissent de ne pas effacer leurs cookies).
Mais certains sites ne fonctionnent déjà plus bien sur Firefox. Il doit donc passer parfois sur Chrome.
Enfin, certaines applications de ses ordinateurs Apple et de son iPad ouvrent uniquement Safari.

A a donc trois navigateurs sur chacun de ses deux ordinateurs. Ca nous fait donc six cookies par domaine.

A navigue sur Internet pour son boulot, et pour ses besoins personnels. Il n’aime pas trop mélanger les genres et il doit parfois être connecté avec un compte Google professionnel, parfois avec un compte Google personnel. Il a donc deux profils sur son navigateur Chrome professionnel.
On passe à sept cookies par domaine.

Parfois, il veut faire un cadeau à sa femme (😉) et passe en navigation privée. C’est comme s’il passait sur un nouvel ordinateur à chaque fois. Disons que l’on est alors au moins huit (disons dix) cookies par domaine et par mois.

Plaçons-nous maintenant dans le cas le PLUS favorable aux cookies. Nous sommes en 2021, et A utilise Chrome. Les cookies tiers existent encore. A reçoit donc des cookies de toutes les technologies publicitaires :

  • doubleclick, googlesyndication (Google)
  • adnxs (AppNexus, Xandr)
  • smartadserver (Smart)
  • criteo
  • taboola…

Chacune de ces technologies est en silo, c’est à dire que ses cookies ne sont pas lisibles par les autres. On a donc une vingtaine de ces domaines publicitaires en quelques minutes de surf.

OK, ces domaines font du cookie-matching a tour de bras. Mais

  1. encore faut-il qu’il marche. Les taux de matching sont rarement au dessus de 60%, et jamais au dessus de 85% !
  2. encore faut-il que le consentement ait été donné pour faire le matching.

Bref, sans même forcer le trait, A se retrouve avec Au moins vingt cookies publicitaires, que l’on peut réduire à dix avec le cookie-matching. Mais attention, on parle toujours de 10 cookies PAR navigateur !

Et on a estimé que A utilise 10 navigateurs (réels ou virtuels) par mois. On arrive donc à environ 10 x 10, soit 100 cookies publicitaires !

OK, ce nombre peut être ramené à 50 par le jeu du matching des adresses emails encryptées.

Un seul individu, sans être particulièrement atypique, peut donc correspondre à 50 identifiants « uniques » !

Et ça marche aussi dans l’autre sens.

L’ipad et l’ordinateur personnel de A sont utilisés par son conjoint et leurs deux enfants. Donc 30 de ses identifiants (trois navigateurs réels + deux navigateurs virtuels sur ordinateur + un navigateur sur iPad, pour chacune des cinq technologies publicitaires après déduplication, soit 30 combinaisons) correspondent en fait à quatre individus !

Dans le meilleur cas, on a donc 50 identifiants publicitaires pour lesquels 20 correspondent à un même individu, et 30 à potentiellement quatre individus.
Dans le pire cas, on n’a rien (c’est plus simple).

Cela signifie :

  1. que quatre comportements différents peuvent être associés à tort à un même individu, sur 30 identifiants qui ne devraient pas être regroupés
  2. que 20 profils ne peuvent pas être regroupés alors qu’ils le devraient

Placer les cookies et les individus au même plan a autant de sens que comparer Arnold Schwarzenegger et Dany De Vito.

Et on nous dit que la disparition des cookies est une perte énorme ?

C’est une perte énorme si on croit encore à leur pureté et à leur perfection ! Mais si on regarde ma démonstration, on comprend vite quelles précautions il faut prendre…

Le monde publicitaire va passer du tout data au peu de data et au contextuel. La précision des solutions de ciblage va diminuer. OK, je l’admets.
Mais elle va diminuer non pas depuis un optimum de qualité, mais depuis une situation déjà discutable. J’ai récemment entendu (sans avoir pu comprendre la source), qu’un fournisseur de data estimait sa propre qualité à 47% ! C’est à dire que sa donnée était fausse dans 53% des cas !

Alors, abandonner un système de qualité moyenne, qui a érigé des statues à un identifiant technique, pour développer un système qui remet l’individu au centre de ses analyses, je pense qu’au final, notre industrie va y gagner !

5 réflexions au sujet de « Cookies et individus : les frères ennemis »

Laisser un commentaire