Retour aux articles
Analytics
Analytics Cookies Vie privée Tracking

Cookieless tracking : l'avenir de l'analytics web

24 décembre 2025 11 min de lecture DPLIANCE

Le cookieless tracking n’est plus une tendance. C’est la direction dans laquelle se dirige l’ensemble de l’écosystème web. Et ce n’est pas principalement une question de technologie. C’est une question de confiance.

Pendant vingt ans, le web a fonctionné sur un postulat : on peut traquer les individus pour optimiser l’expérience et la publicité. Les cookies tiers étaient l’instrument principal de ce modèle. Aujourd’hui, ce modèle est en cours de démantèlement, poussé par trois forces convergentes : les navigateurs, les régulateurs et les utilisateurs eux-mêmes.

Chez DPLIANCE, nous pensons que c’est une bonne nouvelle. La vie privée n’est pas un obstacle à l’analytics. C’est une contrainte qui pousse à construire de meilleurs outils.

Pourquoi le cookieless tracking est inévitable

Les navigateurs ferment le robinet

L’état des lieux en mars 2026 est sans ambiguïté :

Safari — Intelligent Tracking Prevention (ITP)

Apple a été le premier à agir, en 2017, avec le lancement d’ITP dans Safari. Depuis, les restrictions se sont durcies à chaque version :

  • ITP 1.0 (2017) : limite la durée des cookies tiers à 24 heures
  • ITP 2.0 (2018) : bloque tous les cookies tiers par défaut
  • ITP 2.1 (2019) : limite les cookies first-party posés par JavaScript à 7 jours de durée de vie
  • ITP 2.3 et versions ultérieures : restrictions supplémentaires sur le localStorage et les referrers

Safari ne bloque pas seulement les cookies tiers. Il s’attaque également aux cookies first-party posés par des scripts de tracking connus, limitant leur durée de vie à 7 jours. Pour un outil comme Google Analytics, cela signifie qu’un visiteur Safari revenant après 8 jours est comptabilisé comme un nouveau visiteur.

Firefox — Enhanced Tracking Protection (ETP)

Mozilla a lancé ETP en 2019. Firefox bloque par défaut les cookies de tracking connus tout en autorisant les cookies tiers non liés au tracking. L’approche est basée sur des listes de domaines de tracking maintenus par Disconnect.

ETP est activé par défaut pour tous les utilisateurs de Firefox, sans configuration nécessaire.

Chrome — Privacy Sandbox

La saga Chrome est la plus complexe. Voici la chronologie :

  • Janvier 2020 : Google annonce la dépréciation des cookies tiers dans Chrome d’ici 2 ans
  • Juin 2021 : report à fin 2023
  • Juillet 2022 : report à mi-2024
  • Avril 2024 : report à début 2025
  • Juillet 2024 : Google annonce qu’il ne supprimera pas les cookies tiers par défaut, mais proposera un choix aux utilisateurs
  • Avril 2025 : Google confirme qu’il n’introduira pas de prompt de consentement spécifique dans Chrome. Les utilisateurs gèrent les cookies tiers via les paramètres de confidentialité existants

En parallèle, les API Privacy Sandbox continuent leur déploiement :

  • Topics API : remplace le tracking individuel par des catégories d’intérêt (fitness, voyage, etc.) déduites localement par le navigateur sur la base de l’historique récent. Seuls 3 “topics” sont partagés avec les sites et annonceurs.
  • Attribution Reporting API : permet de mesurer les conversions publicitaires sans suivre les individus.
  • Protected Audiences : permet le ciblage publicitaire sans partager les données de navigation avec des tiers.

Début 2025, seulement 32 % des acheteurs programmatiques déclaraient utiliser les API Privacy Sandbox. L’adoption est lente, mais la direction est claire.

Les régulateurs durcissent le ton

Le cadre réglementaire européen ne laisse aucun doute :

  • Le RGPD (2018) exige une base légale pour tout traitement de données personnelles. Les cookies contenant des identifiants sont des données personnelles.
  • La directive ePrivacy impose le consentement pour tout dépôt de traceur sur le terminal de l’utilisateur, sauf exceptions limitées.
  • La CNIL en France applique ces règles avec rigueur. En 2025, elle a sanctionné Google de 325 millions d’euros et Shein de 150 millions d’euros pour des manquements liés aux cookies et au consentement. Le total des amendes CNIL en 2025 s’élève à 487 millions d’euros.

Le message est sans équivoque : le tracking sans consentement est illégal en Europe. Et les sanctions sont de plus en plus lourdes.

Les utilisateurs se protègent

Les bloqueurs de publicités et de traceurs sont utilisés par une part croissante des internautes. En France, selon les estimations, plus de 30 % des internautes utilisent un bloqueur. Sur certaines audiences techniques (développeurs, IT), ce chiffre dépasse 50 %.

Ajoutez à cela les 30 à 70 % de visiteurs qui refusent les cookies via les bandeaux de consentement (selon le secteur), et la conclusion est claire : le tracking basé sur les cookies ne couvre plus qu’une minorité de l’audience.

Les méthodes de cookieless tracking

Le cookieless tracking regroupe plusieurs approches techniques, avec des niveaux de sophistication et de respect de la vie privée très différents.

1. Le tracking server-side

Le server-side tracking est considéré comme l’investissement technique le plus impactant pour les marketeurs en 2026. Le principe : au lieu d’exécuter des scripts de tracking dans le navigateur de l’utilisateur, les données sont collectées par le serveur web, traitées, anonymisées si nécessaire, puis envoyées aux outils d’analyse.

Comment ça fonctionne :

  1. L’utilisateur visite une page de votre site
  2. Votre serveur web enregistre la requête (URL, referrer, user-agent, etc.)
  3. Le serveur envoie les données pertinentes à votre outil d’analytics
  4. Aucun script tiers n’est exécuté dans le navigateur

Avantages :

  • Immune aux bloqueurs de publicités (les données ne passent pas par le navigateur)
  • Contrôle total sur les données envoyées (vous filtrez ce qui part)
  • Meilleure performance du site (moins de scripts côté client)
  • Gestion centralisée du consentement
  • Les entreprises récupèrent en moyenne 20 à 40 % de conversions manquées

Limites :

  • Mise en place plus complexe (nécessite un accès serveur)
  • Ne capture pas nativement les interactions côté client (clics, scroll, formulaires) sans instrumentation supplémentaire
  • Nécessite une expertise technique

2. Le tracking basé sur les sessions

Le session-based tracking identifie les visiteurs le temps d’une session, sans stockage persistant. À chaque nouvelle session, le visiteur est considéré comme nouveau.

Comment ça fonctionne :

  1. Un identifiant de session temporaire est généré (en mémoire ou via un cookie de session)
  2. Les actions du visiteur sont rattachées à cet identifiant pendant la session
  3. Après un délai d’inactivité (généralement 30 minutes), la session expire
  4. L’identifiant est détruit — aucune trace persistante

Avantages :

  • Permet d’analyser les parcours au sein d’une visite
  • Aucun stockage persistant sur le terminal
  • Compatible avec l’exemption CNIL si correctement configuré

Limites :

  • Pas de mesure fiable des visiteurs récurrents
  • Pas de suivi des cohortes dans le temps

3. Le hachage anonymisé et non persistant

Certains outils créent un identifiant temporaire basé sur un hash de paramètres techniques (IP tronquée, user-agent, etc.), valide pour une durée limitée (généralement 24 heures). Ce n’est pas du fingerprinting persistant : l’identifiant change chaque jour et ne permet pas de suivre un utilisateur dans le temps.

Exemple concret : Matomo utilise un config_id généré à partir d’un hash aléatoire et temporaire. Ce mécanisme permet de regrouper les pages vues d’un même visiteur au sein d’une journée, sans le suivre au-delà.

Avantages :

  • Permet de mesurer le nombre de visiteurs uniques par jour
  • Plus précis que le tracking purement session-based

Limites :

  • La frontière avec le fingerprinting peut être floue
  • Nécessite une implémentation rigoureuse pour rester conforme

4. L’approche contextuelle

L’approche contextuelle ne cherche pas à identifier les visiteurs. Elle analyse le contenu des pages consultées pour en déduire les centres d’intérêt. Cette approche est principalement utilisée en publicité, mais elle a des applications en analytics.

Avantages :

  • Zéro identification individuelle
  • Totalement conforme par design
  • Pertinente pour le ciblage publicitaire

Limites :

  • Ne permet pas d’analyser les parcours utilisateur
  • Moins utile pour l’analytics web classique

5. Le fingerprinting (à éviter)

Le fingerprinting consiste à créer une empreinte unique de l’appareil à partir de ses caractéristiques techniques. Contrairement aux cookies, cette empreinte est invisible et ne peut pas être supprimée par l’utilisateur.

Pourquoi il faut l’éviter :

  • Le RGPD considère le fingerprinting comme un traceur nécessitant le consentement
  • Les autorités de protection des données le considèrent comme plus intrusif que les cookies
  • Les navigateurs implémentent des contre-mesures (randomisation des paramètres)
  • Il viole le principe de transparence du RGPD (l’utilisateur ne sait pas qu’il est tracé)
  • Il est contraire à l’éthique : l’utilisateur ne peut pas s’y opposer techniquement

Des outils comme Matomo l’indiquent clairement : le fingerprinting “n’est pas considéré comme respectueux de la vie privée” et “peut être contraire aux réglementations GDPR”.

Le vrai cookieless tracking ne repose pas sur le fingerprinting. Il repose sur des méthodes qui respectent l’utilisateur par design.

Comparaison des approches

MéthodeIdentifie les visiteursPersistanceConforme RGPDPrécision
Server-sideConfigurableConfigurableOui (si configuré)Élevée
Session-basedPar sessionAucuneOuiMoyenne
Hash anonymiséPar jour24 hOui (si non persistant)Bonne
ContextuelNonAucuneOuiFaible (analytics)
FingerprintingOuiPersistanteNon sans consentementÉlevée mais non éthique

Comment Mirage Analytics fait du cookieless tracking

Mirage Analytics est un exemple concret d’implémentation du cookieless tracking. Voici comment il fonctionne :

  • Pas de cookie tiers, pas de traceur persistant : le tracking repose sur les sessions, sans stockage sur le terminal de l’utilisateur
  • Session replay sans cookie : les sessions sont enregistrées de manière anonyme. Chaque session est un événement isolé, sans lien persistant avec les sessions précédentes du même visiteur
  • Heatmaps et error monitoring : les données d’interaction (clics, scroll, erreurs) sont collectées au sein de la session, sans identification individuelle
  • Hébergement en France (Scaleway) : aucun transfert de données hors UE. Les données restent sous juridiction européenne
  • Traitement exclusif pour l’éditeur : DPLIANCE ne réutilise pas les données à des fins propres

Le résultat : une vision complète du comportement des visiteurs (analytics, session replay, heatmaps, erreurs) sans compromis sur la vie privée.

Ce que le cookieless tracking change pour les entreprises

Ce que vous perdez

  • La capacité de suivre un individu précis sur des semaines ou des mois
  • Les métriques de “visiteurs récurrents” au sens traditionnel
  • La possibilité de cibler individuellement un visiteur en fonction de son historique

Ce que vous gagnez

  • Des données sur 100 % de votre audience, pas seulement sur les 30 à 70 % qui acceptent les cookies
  • La conformité légale sans dépendance à un cadre juridique fragile (DPF)
  • De meilleures performances web : moins de scripts, moins de cookies, moins de requêtes
  • La confiance de vos utilisateurs : pas de bandeau de cookies intrusif, pas de tracking caché
  • L’indépendance : vos données ne nourrissent pas l’écosystème publicitaire d’un tiers

L’enjeu stratégique

Le cookieless tracking n’est pas une contrainte. C’est un avantage compétitif. Les entreprises qui l’adoptent aujourd’hui auront une longueur d’avance quand les dernières restrictions navigateur entreront en vigueur, quand le DPF sera éventuellement invalidé, quand la réglementation se durcira encore.

Les entreprises les plus résilientes en 2026 sont celles qui ont anticipé : des données first-party propres, des outils souverains, et une relation de confiance avec leurs utilisateurs.

FAQ

Le cookieless tracking est-il moins précis que le tracking avec cookies ?

Il est différent, pas moins précis. Vous mesurez 100 % de votre audience au lieu d’un sous-ensemble biaisé. Vous perdez le suivi longitudinal des individus, mais vous gagnez une vision globale plus fiable. Pour la plupart des décisions business (quelles pages fonctionnent, d’où vient le trafic, quels contenus convertissent), le cookieless tracking fournit des données suffisantes et plus complètes.

Le server-side tracking contourne-t-il le RGPD ?

Non. Le server-side tracking est un choix d’architecture, pas une exemption légale. Si vous collectez des données personnelles côté serveur, les obligations RGPD s’appliquent. L’avantage du server-side est le contrôle : vous décidez précisément quelles données sont collectées, traitées et transmises.

Google va-t-il vraiment supprimer les cookies tiers dans Chrome ?

Google a abandonné l’idée de supprimer les cookies tiers par défaut en juillet 2024. Les utilisateurs Chrome peuvent choisir de les bloquer via les paramètres de confidentialité. Les API Privacy Sandbox restent disponibles comme alternative. En pratique, les cookies tiers dans Chrome survivront tant que les utilisateurs ne les bloquent pas activement, mais leur fiabilité diminue avec la montée des bloqueurs et des régulateurs.

Le cookieless tracking fonctionne-t-il pour le e-commerce ?

Oui. Les métriques essentielles du e-commerce (pages produits consultées, ajouts au panier, conversions, sources de trafic) sont parfaitement mesurables sans cookie. Certains outils, comme Mirage Analytics, intègrent le session replay qui permet de comprendre les abandons de panier sans identifier les individus.

Combien coûte la transition vers le cookieless tracking ?

La transition est généralement simple et peu coûteuse. L’installation d’un outil comme Mirage se fait en ajoutant un script sur votre site. Le coût principal est l’abonnement à l’outil (à partir de 19 EUR HT/mois pour Mirage). Si vous optez pour du server-side tracking avancé, le coût de mise en place est plus élevé (configuration serveur, développement custom).

Sources : Apple, documentation Intelligent Tracking Prevention (webkit.org) ; Mozilla, documentation Enhanced Tracking Protection (support.mozilla.org) ; Google, “Privacy Sandbox Next Steps” et “Updated Timeline for Privacy Sandbox Milestones” (privacysandbox.google.com) ; CNIL, amendes 2025 (cnil.fr) ; Matomo, documentation cookieless tracking et fingerprinting (matomo.org) ; RGPD, articles 6, 7 et 9 ; Directive ePrivacy, article 5(3).

Le cookieless tracking n’est pas l’avenir. C’est le présent. Découvrez Mirage Analytics : analytics web sans cookie, session replay, heatmaps et error monitoring. Hébergé en France. À partir de 19 EUR HT/mois.

Écrivez-nous

contact@dpliance.com
Nous contacter