Cookies 2026 : Google garde les cookies tiers, Privacy Sandbox est mort

Privacy Sandbox est mort

La saga a duré 5 ans. En avril 2025, Google a annoncé qu'il conservait les cookies tiers dans Chrome et abandonnait le "user choice prompt". En octobre 2025, Google a retiré officiellement la plupart des APIs Privacy Sandbox. Le projet est mort.

Les raisons de cet échec :

• Faible adoption par l'industrie : les annonceurs et les éditeurs n'ont jamais massivement adopté les APIs Topics, Attribution Reporting ou Protected Audience
• Performances insuffisantes : les tests ont montré des résultats bien inférieurs aux cookies tiers pour le ciblage et la mesure
• Pression réglementaire : la CMA britannique a bloqué la dépréciation pour risque anticoncurrentiel, l'UE et le DoJ américain ont exprimé des préoccupations similaires

Ce qui survit du Privacy Sandbox : CHIPS (cookies partitionnés par site, utiles pour les widgets et embeds) et FedCM (gestion d'identité fédérée, alternative aux pop-ups de login tiers).

Pour les marketeurs, la situation est paradoxale : les cookies tiers restent dans Chrome (67% de part de marché mondial), mais Safari (ITP), Firefox (ETP) et Brave les bloquent déjà. Environ 35-40% du trafic web est déjà sans cookies tiers. La stratégie first-party data n'est pas un luxe, c'est une nécessité.

75% des top sites non conformes

Les chiffres sont alarmants :

• 75% des 100 premiers sites US et EU ne respectent pas les règles de confidentialité
• 67% des configurations Consent Mode v2 sont défaillantes
• En Autriche, un tribunal a jugé que les boutons « Accepter » colorés avec des liens « Refuser » en gris violent le RGPD
• Amendes RGPD cumulées en Europe : plus de 5.5 milliards d'euros depuis 2018, dont 1.15 milliard en 2025
• En France, la CNIL a sanctionné Google (325M€) et SHEIN (150M€) rien qu'en septembre 2025 pour des manquements cookies

Le problème va au-delà des grandes entreprises. Une étude des 10 000 premiers sites mondiaux a révélé que si 67% affichent une bannière cookies, seulement 15% respectent les exigences minimales. En janvier 2025, le ICO britannique a audité 200 sites : 134 utilisaient des bannières non conformes

Les stratégies first-party data

Même si les cookies tiers survivent dans Chrome, la tendance de fond est claire : les données first-party sont l'avenir.

Server-side tracking (priorité n°1)

Le tracking côté serveur (via Google Tag Manager Server-Side ou des solutions comme Stape, Addingwell) récupère 15-30% des signaux de conversion perdus par les bloqueurs côté client. Le principe : au lieu que le navigateur envoie les données directement à Google/Meta/etc., votre serveur fait le relais. Résultat : les ad blockers ne peuvent pas intercepter les requêtes. Coût : environ 50-200€/mois pour l'infrastructure cloud (Google Cloud Run ou AWS).

CDPs (Customer Data Platforms)

Segment, mParticle, Bloomreach ou Rudderstack unifient les données first-party (site, app, email, CRM) en un profil client unique. C'est le socle de la personnalisation cross-canal. Pour les PME, des solutions comme Brevo offrent une version simplifiée avec CRM + email + automatisation intégrés.

Mesure sans cookies : la triangulation

Combiner trois méthodes pour une mesure robuste :

• MMM (Marketing Mix Modeling) : modélisation statistique qui évalue l'impact de chaque canal sans tracking individuel

• Tests d'incrémentalité : expériences A/B sur des zones géographiques ou des cohortes pour mesurer la vraie contribution d'un canal

• Enhanced conversions : envoi de données first-party hashées (email, téléphone) à Google/Meta pour le matching côté plateforme

Seulement 23% des entreprises utilisant Consent Mode v2 récupèrent effectivement les 65% de données promis par Google. La triangulation est le filet de sécurité

Ce qu'on met en place

Chez Mita Studio, chaque projet intègre une stratégie data privée dès la conception :

• Consent Management : bannière conforme RGPD avec refus aussi visible qu'acceptation, pas de dark patterns, respect des préférences « Do Not Track »

• Server-side tracking : GTM server-side pour récupérer les signaux perdus tout en respectant le consentement

• First-party data : stratégie email et CRM (Brevo) pour construire une base de données propriétaire, légale et qualifiée

• Mesure hybride : enhanced conversions Google Ads + attribution multi-touch + tests d'incrémentalité trimestriels

• Conformité continue : audit annuel des pratiques cookies et mise à jour selon les recommandations CNIL

La privacy n'est pas un obstacle au marketing. C'est une contrainte qui pousse à des pratiques plus efficaces : les données first-party sont plus fiables, le server-side tracking est plus précis, et la triangulation donne une vue complète sans dépendre d'un seul cookie.