Demander un délai de migration supplémentaire lors de l'essai d'abandon des cookies tiers

Pour faciliter les tests, Chrome a restreint les cookies tiers par défaut pour 1% des utilisateurs de Chrome. Chrome prévoit d'étendre les restrictions liées aux cookies tiers à 100% des utilisateurs à partir de début 2025, sous réserve de résoudre les problèmes de concurrence qui subsistent encore avec l'Autorité de la concurrence et des marchés (CMA) du Royaume-Uni. Pour faciliter la transition durant le processus d'abandon, nous proposons un essai d'abandon tiers qui permet aux sites et services intégrés de demander un délai supplémentaire pour éliminer les dépendances de cookies tiers pour les cas d'utilisation non publicitaires.

L'inscription à cet essai d'abandon a commencé la semaine du 4 décembre 2023. L'essai d'abandon commencera en janvier 2024 et prendra fin le 27 décembre 2024. Les développeurs sont tenus d'apporter les modifications et les plans nécessaires d'ici la date de fin de l'essai.

Nous savons qu'il existe un court laps de temps entre l'ouverture des inscriptions pour les essais avec abandon et le moment où la période des tests facilités par Chrome commence à bloquer 1% des cookies. Pour répondre à ces contraintes de temps, Chrome accorde un délai de grâce aux origines participantes pendant qu'elles déploient des jetons d'essai d'abandon. Pendant le délai de grâce, qui s'étendra jusqu'au 30 juin 2024, les origines enregistrées pour l'évaluation avant arrêt auront accès aux cookies tiers dans Chrome, même si elles n'ont pas encore déployé leurs jetons. L'objectif de ce délai de grâce est d'éviter les problèmes de compatibilité Web pendant la phase de transition. Les origines participantes doivent déployer des jetons d'évaluation avant la fin du délai de grâce.

Essais d'abandon

Les essais d'abandon sont une option standard fournie par Chrome pour permettre aux sites de s'inscrire pour obtenir un délai supplémentaire afin d'abandonner l'ancienne fonctionnalité supprimée. Un essai d'abandon est un type d'évaluation d'origine qui permet de réactiver temporairement une fonctionnalité.

Cet essai est destiné aux intégrations et aux services qui définissent des cookies tiers et qui répondent à nos critères d'éligibilité décrits dans la section suivante. En d'autres termes, si votre intégration ou votre service sont des tiers, vous pouvez vous inscrire à l'évaluation avant arrêt afin de réactiver temporairement vos cookies tiers dans tous les contextes où votre intégration ou votre service est inclus. L'essai ne s'applique qu'à l'origine intégrée enregistrée et non à l'ensemble du domaine de site de premier niveau consulté par les utilisateurs.

Les sites de premier niveau qui utilisent des tiers qui s'appuient sur des cookies n'ont pas besoin de s'inscrire à cet essai d'abandon. Vous devez auditer les cookies tiers utilisés sur votre site et contacter vos fournisseurs tiers pour vous assurer qu'ils sont prêts à l'abandon.

Critères d'éligibilité et procédure d'examen

Cet essai d'abandon diffère des essais précédents par l'introduction d'un processus d'examen et d'approbation de la participation. Il s'agit de trouver un équilibre entre l'amélioration de la confidentialité des utilisateurs sur le Web, tout en permettant aux services dont ils dépendent de demander plus de temps de migration si nécessaire.

Les principes qui guident cet essai d'abandon sont les suivants:

• Préserver les fonctionnalités essentielles à l'utilisateur:cet essai d'abandon est destiné aux fournisseurs tiers qui présentent des défaillances fonctionnelles dans les parcours utilisateur.
• Limiter le suivi des utilisateurs:l'évaluation avant arrêt n'est pas destinée à permettre le suivi intersites à des fins publicitaires. Par conséquent, les services intégrés et les services tiers utilisés pour la publicité ne sont pas éligibles.

L'inéligibilité des cas d'utilisation publicitaires permettra également de s'assurer que l'essai d'abandon n'interfère pas avec les tests du secteur prévus pour début 2024, tels que décrits par l'Autorité de la concurrence et des marchés. Cela inclut les domaines liés à la publicité qui sont également utilisés à des fins non publicitaires.

Chrome travaillera dans un premier temps avec Disconnect.me, l'un des leaders du secteur dans le domaine de la confidentialité sur Internet, puis implémentera les listes de protection des traceurs de Déconnecter pour identifier les scripts et les domaines classés comme publicitaires. La déconnexion est déjà utilisée par d'autres navigateurs à des fins similaires sur le Web.

Nous appliquerons la procédure suivante pour les demandes d'enregistrement:

• Si l'origine tierce correspond à un domaine publicitaire connu, y compris si elle correspond à une entrée de la liste publicitaire Déconnecter, la demande d'enregistrement sera refusée. En général, les entrées de la liste correspondent à tous les sous-domaines situés sous l'origine spécifiée. Cependant, certaines entrées incluent un élément de chemin d'accès. Ces entrées plus spécifiques correspondront à l'origine donnée, mais pas aux sous-domaines.
• Les étapes permettant de reproduire une expérience utilisateur rompue doivent être indiquées. En particulier, il doit s'agir d'une expérience destinée à l'utilisateur de l'appareil sur lequel le cookie est stocké, et non à un utilisateur effectuant une analyse ultérieure des données. Si nous ne pouvons pas valider l'expérience utilisateur, la demande d'inscription sera rejetée.
• Sinon, la demande d'enregistrement sera approuvée.
• Si vous indiquez qu'une origine est "semblable" à une demande d'inscription précédemment approuvée, fournissez une description de la relation entre les origines.

Nous prévoyons de proposer une procédure d'appel si l'établissement d'origine estime que des informations supplémentaires pourraient clarifier sa décision. Il peut faire appel en envoyant une nouvelle demande dans la console d'évaluation. Les appels visent les demandes refusées en raison de l'absence des informations demandées (bug connu et/ou procédure de reproduction du problème) et/ou si l'origine d'enregistrement estime que plus d'informations pourraient répondre à ces exigences pour clarifier une décision d'examen.

Nous approuvons également les cas d'utilisation de lutte contre les utilisations abusives et la fraude pour lesquels nous pouvons trouver des preuves corroborantes. N'hésitez pas à nous envoyer vos commentaires pour nous aider à mieux évaluer ces cas d'utilisation.

S'inscrire à l'évaluation avant arrêt

Incluez les étapes de reproduction que notre équipe peut utiliser pour vérifier la défaillance fonctionnelle. Si c'est plus facile et/ou que votre fonctionnalité est contrôlée par une connexion ou un autre élément similaire, vous pouvez également fournir un lien vers un enregistrement des étapes permettant de reproduire le problème, à l'aide de l'enregistreur des outils pour les développeurs Chrome.

1. Accédez à Essai pour l'abandon des cookies tiers, puis cliquez sur "S'inscrire".
2. Pour "Web Origin" (Origine Web), indiquez l'origine qui diffuse votre page ou vos scripts intégrés.
3. L'option "Correspondance tierce" dépend de la manière dont vous devez fournir le jeton. Les options sont expliquées plus en détail dans la section Ajouter le jeton d'essai.
   • Si vous fournissez le jeton dans un en-tête HTTP ou une balise Meta sur vos propres pages intégrées, ne cochez pas la case "Correspondance tierce".
   • Si vous injectez le jeton avec du code JavaScript dans un autre site, vous devez cocher "Correspondance tierce".
   • Si vous devez faire les deux, vous devez procéder à des enregistrements distincts.
4. Si vous hébergez du contenu intersite dans plusieurs sous-domaines, cochez l'option "J'ai besoin d'un jeton pour correspondre à tous les sous-domaines de l'origine".
   • Lorsque cette option est sélectionnée, le jeton fourni correspond au domaine enregistré et aux domaines inférieurs. Par exemple, enregistrez https://example.com pour qu'il corresponde à example.com, www.example.com, foo.example.com et bar.foo.example.com. Si vous enregistrez https://www.example.com, votre jeton correspondra à www.example.com et foo.www.example.com, mais pas à foo.example.com.
   • Les jetons correspondent à plusieurs sous-domaines, de la même manière que la correspondance avec caractères génériques, par exemple *.<domain>. Demandez un jeton pour example.com. Il peut être fourni sur a.example.com, b.example.com. L'accès aux cookies tiers ne sera toujours réactivé que pour les origines spécifiques qui fournissent le jeton, et non pour tous les sous-domaines. Consultez Quels cookies sont activés lorsque la mise en correspondance des sous-domaines est activée ?
   • Si vous hébergez du contenu intersites à des origines distinctes qui ne sont pas sous le même domaine, vous devez effectuer des enregistrements distincts pour chaque origine.
5. Acceptez toutes les conditions incluses dans "Divulgation et accusé de réception" en cochant toutes les cases.
6. Envoyez la demande.
7. Nous avons besoin d'informations supplémentaires pour traiter votre demande. Vous recevrez une notification par e-mail avec un ticket généré automatiquement vous demandant les éléments suivants :
   • Nombre de sous-domaines liés à l'origine demandée
   • ID ou lien des bugs liés au dépôt de défaillances tiers que vous avez précédemment signalés à l'adresse goo.gle/report-3pc-broken.
   • Toute information/contexte supplémentaire sur la panne/le cas d'utilisation que vous souhaitez que nous prenions en compte (En cas d'appel d'une demande d'essai refusée, expliquez pourquoi/comment votre origine répond aux critères décrits pour cet essai).

Une fois votre demande envoyée, nous l'examinerons et vous informerons lorsqu'elle sera terminée ou si des informations supplémentaires sont nécessaires, et si votre demande a été approuvée ou refusée. Vous recevrez également l'état et la justification du résultat. Si votre demande est approuvée, vous pouvez nous envoyer le jeton d'essai si nécessaire. En cas de refus, vous pouvez suivre les instructions de la demande d'assistance.

Définir des indicateurs pour les tests

Pour le moment, nous vous recommandons de définir les indicateurs suivants, disponibles à partir de Chrome 123, afin de permettre des tests efficaces. Cette combinaison de paramètres d'indicateur permet de reproduire l'expérience utilisateur en Mode B.

• chrome://flags/#third-party-cookie-deprecation-trial → enabled
  Il s'agit de la valeur par défaut. Autorisez la participation à l'essai.

• chrome://flags/#tracking-protection-3pcd → enabled
  Activez Protection contre le suivi : affichez l'interface utilisateur de l'icône en forme d'œil dans la barre d'adresse pour permettre à l'utilisateur d'activer temporairement les cookies tiers pour un site et fournissez chrome://settings/trackingProtection au lieu de chrome://settings/cookies.

• chrome://flags/#tpcd-metadata-grants → disabled
  Faites en sorte que Chrome se comporte comme si le délai de grâce n'était pas en vigueur. Cela permet de vérifier que votre site a correctement déployé des jetons d'évaluation avant arrêt avant la fin du délai de grâce (pour un site soumis à ce délai).

• chrome://flags/#tpcd-heuristics-grants → disabled
  N'autorisez pas les atténuations basées sur des heuristiques. Cela peut être utile pour vérifier que d'autres corrections à plus long terme (sans cookies tiers) fonctionnent comme prévu sans mesures d'atténuation heuristiques, et que la participation aux essais d'abandon fonctionne comme prévu.

Si vous devez vérifier manuellement que le délai de grâce fonctionne comme prévu, avant de tester le déploiement, vous devez enable chrome://flags/#tpcd-metadata-grants au lieu de le désactiver.

Ajouter le jeton d'essai

Pour en savoir plus, consultez Premiers pas avec les phases d'évaluation, Phases d'évaluation tierces et Résoudre les problèmes liés aux phases d'évaluation de Chrome.

Vous devez inclure le jeton d'essai dans toutes les réponses de page où vous souhaitez définir ou envoyer des cookies dans un contexte intersite.

Fournir le jeton dans un en-tête HTTP

Si vous devez réactiver les cookies tiers pour une page intégrée dans un iFrame intersite, vous pouvez inclure l'en-tête HTTP Origin-Trial dans la réponse de la page:

Origin-Trial: TOKEN_GOES_HERE

Cela signifie que la "mise en correspondance tierce" n'est pas activée dans votre enregistrement pour l'abandon, car vous fournissez le jeton dans vos propres réponses.

Cette réponse de la page peut définir un cookie. Les requêtes ultérieures adressées à cette même origine, telles que les sous-ressources de cette page ou les navigations à partir de cette page, incluront les cookies intersites du site et peuvent également définir des cookies.

Si vous souhaitez que des cookies intersites soient présents lors de la toute première requête adressée à votre origine dans la session, vous pouvez également utiliser l'en-tête Critical-Origin-Trial en transmettant le nom de l'essai:

Critical-Origin-Trial: Tpcd

Le navigateur relance alors la requête en activant les cookies tiers.

L'évaluation avant arrêt est proposée comme un essai persistant. Cela signifie qu'une fois le jeton reçu par le navigateur, le comportement de l'essai s'applique jusqu'à ce qu'un iFrame soit chargé sans jeton d'essai. Nous vous recommandons d'envoyer le jeton d'essai de manière cohérente lors de chaque chargement iFrame.

Fournir le jeton dans une balise Meta

Au sein d'une page, vous pouvez utiliser une balise Meta dans le document <head>:

<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">

La balise Meta activera les cookies intersites pour les requêtes ultérieures ou le code JavaScript sur la page, mais vous devrez utiliser l'en-tête HTTP si vous avez besoin que des cookies existants soient envoyés lors de la requête initiale.

Injecter le jeton avec JavaScript

Si vous devez activer les cookies tiers pour votre origine avant ou sans diffuser votre propre demande de page (par exemple, si les cookies sont requis dans une demande d'image intersite ou si vous avez l'intention de créer un iFrame avec JavaScript), vous pouvez injecter le jeton dans le site de premier niveau à l'aide de JavaScript:

const otMeta = document.createElement('meta');
otMeta.httpEquiv = 'origin-trial';
otMeta.content = 'TOKEN_GOES_HERE';
document.head.append(otMeta);

Pour ce faire, vous devez activer la "mise en correspondance tierce" lors de votre inscription à l'essai avant arrêt lorsque vous injectez le jeton pour votre origine (le tiers) dans un autre site.

Un jeton pour lequel la mise en correspondance tierce est activée peut être injecté dans n'importe quelle origine, y compris la vôtre, et cela fonctionnera.

Un essai persistant sera toujours désactivé si un iFrame est chargé sans le jeton d'essai. Vous devez systématiquement fournir le jeton d'essai sur tous les iFrame chargés, même si l'essai a été activé initialement avec un chargement de script tiers.

Valider votre jeton

Ouvrez les outils pour les développeurs Chrome, sélectionnez le panneau "Application", puis développez l'onglet "Frames". Lorsque vous sélectionnez une trame, une section "Phases d'évaluation" s'affiche si des jetons ont été fournis. Si vous injectez le jeton dans le site de premier niveau, il apparaît dans l'entrée "top". Sinon, vous devez sélectionner le cadre qui correspond à votre page intégrée.

Dans la section "Phases d'évaluation", si vous avez fourni un jeton, l'entrée "Tpcd" doit s'afficher. Si la fonctionnalité a bien été activée, l'état "Activé" s'affiche en vert. Sinon, un état d'erreur rouge s'affiche. Vous pouvez développer l'entrée pour voir le problème.

Un seul jeton valide est nécessaire pour activer l'essai d'abandon. Si vous vous êtes enregistré pour la mise en correspondance propriétaire et tierce, vous pouvez fournir les deux jetons sur la page ne pose pas de problème. Par exemple, si une seule page peut être intégrée de différentes manières, vous n'avez pas besoin de choisir dynamiquement un jeton: vous pouvez fournir les deux et l'essai sera activé dans chacun d'eux.

Quels sont les cookies activés ?

L'évaluation avant arrêt n'active que les cookies tiers pour l'origine enregistrée pour l'essai. Une fois l'activation effectuée, des cookies tiers seront présents dans les requêtes iFrame et de sous-ressources adressées à cette origine. Les cookies tiers seront également disponibles avec document.cookie dans les iFrames de cette origine.

Les attributs Domain du cookie ne sont pas pris en compte ici. Seule l'origine de l'URL de la requête est prise en compte. Une fois qu'une demande est identifiée comme contenant des cookies tiers, tous ces cookies sont associés normalement, même si le domaine d'un cookie est plus permissif.

Par exemple, si https://one.test.example est enregistré et que son jeton est fourni dans un iFrame https://one.test.example:

• https://one.test.example/image.jpg va recevoir les cookies définis par https://one.test.example
• https://one.test.example/image.jpg recevra des cookies définis à partir d'autres origines avec Domain=.test.example
• Les requêtes https://test.example/image.jpg ou https://two.test.example/image.jpg ne recevront pas de cookies tiers, car ils n'ont pas la même origine.

Quels cookies sont activés lorsque la mise en correspondance des sous-domaines est activée ?

L'option "Faire correspondre à tous les sous-domaines" permet d'utiliser un seul jeton sur l'origine d'enregistrement ou sur toute origine associée à un sous-domaine plus spécifique. Un jeton pour https://test.example avec correspondance de sous-domaine peut être utilisé pour activer l'essai avec des iFrames https://test.example, https://one.test.example ou https//two.test.example et des chargements de scripts tiers.

En outre, lorsque la mise en correspondance des sous-domaines est activée, les cookies tiers sont également disponibles dans les requêtes et dans les iFrames associés aux sous-domaines correspondants. Par exemple, si https://test.example utilise la mise en correspondance des sous-domaines, les requêtes de sous-ressources telles que https://cdn.one.test.example/image.jpg reçoivent des cookies tiers.

La désactivation de l'essai ne tient pas compte de la correspondance des sous-domaines. Pour désactiver l'essai, vous devez charger un iFrame correspondant exactement à l'origine dans l'enregistrement sans jeton. Ainsi, l'enregistrement de https://test.example avec correspondance de sous-domaine ne peut être désactivé que par un iFrame https://test.example sans jeton. Cette situation est susceptible d'être modifiée à l'avenir. Par conséquent, nous vous recommandons de fournir un jeton sur tous les iFrames sous-frames lorsque vous souhaitez activer l'essai et de supprimer les jetons de tous les iFrames lorsque vous souhaitez désactiver l'essai.

Résoudre les problèmes liés aux jetons d'essai

La page Résoudre les problèmes liés aux phases d'évaluation de Chrome fournit une checklist complète pour vous aider à déboguer l'enregistrement et le déploiement des jetons d'essai.

Voici quelques problèmes fréquents que vous pouvez rencontrer lors de cet essai:

• Lorsque l'option "J'ai besoin d'un jeton correspondant à tous les sous-domaines de l'origine" est sélectionnée, le jeton fourni correspondra au domaine enregistré et aux domaines inférieurs. Par exemple, enregistrez https://example.com pour qu'il corresponde à example.com, www.example.com, foo.example.com et bar.foo.example.com. Si vous enregistrez https://www.example.com, votre jeton correspondra à www.example.com et foo.www.example.com, mais pas à foo.example.com.
• Les sites ou services tiers intégrés à votre site Web doivent s'inscrire eux-mêmes à l'essai. Vous ne devez pas demander un domaine dont vous n'êtes pas le propriétaire ou le propriétaire.
• Si vous vous trompez lors de votre inscription à la phase d'évaluation, vous devez effectuer un nouvel enregistrement pour corriger les erreurs et obtenir un nouveau jeton.

Questions fréquentes

1. Que faire si j'ai des questions concernant la liste Disconnect.me ?
   • Contactez Déconnecter à l'adresse support@disconnect.me, car nous ne gérons pas la liste de déconnexion. Pour en savoir plus, consultez la page de protection des traceurs.
2. Puis-je m'inscrire à l'évaluation avant arrêt si mon domaine est utilisé à des fins publicitaires et non publicitaires ?
   • Les services intégrés et les services tiers utilisés à des fins publicitaires ne sont pas éligibles à l'essai avant arrêt, pour les raisons expliquées précédemment sur ce blog. Cela inclut les domaines liés à la publicité qui sont également utilisés à des fins non publicitaires. Pour en savoir plus, consultez la section Critères d'éligibilité et processus d'examen.
3. Les sites pourront-ils voir lesquels de leurs partenaires se sont inscrits à l'évaluation avant arrêt ? Seront-ils en mesure de limiter les inscriptions à leurs partenaires ?
   • Oui, les sites peuvent voir quels services intégrés et quels services reposent sur un jeton d'essai d'abandon en consultant les informations sur le jeton dans le panneau "Application" des outils pour les développeurs Chrome. Pour en savoir plus, consultez Résoudre les problèmes liés aux phases d'évaluation de Chrome.
   • Les sites de premier niveau ne peuvent pas limiter l'inscription de leurs partenaires, ni les intégrations et services présents sur leur page. Contactez le partenaire si vous le souhaitez.
4. En quoi ce test est-il différent des autres essais (comme la phase d'évaluation pour la réduction user-agent ?) ?
   • La principale différence entre cette évaluation avant arrêt est le nouveau processus d'inscription qui implique le respect des critères de participation, ainsi que la nouvelle interface utilisateur et les nouvelles pages de la console d'évaluation.
   • La deuxième différence est qu'il est exclusivement destiné aux sites intégrés tiers pour résoudre un maximum de problèmes de compatibilité Web sur un certain nombre de sites/clients de service.
5. Y aura-t-il un essai d'abandon des cookies tiers auquel les sites de premier niveau pourront s'inscrire pour activer les cookies tiers sur l'ensemble de leur site ?
   • Pour le moment, nous nous concentrons sur les services intégrés et les services tiers. Nous recommandons aux sites propriétaires de continuer à modifier directement leurs sites pour corriger les dysfonctionnements et d'encourager leurs tiers intégrés à s'inscrire à cet essai d'abandon.
6. Combien de temps faudra-t-il pour examiner ma demande d'évaluation avant arrêt ? Où puis-je consulter l'état de ma demande ?
   • Les temps de réponse peuvent varier. Nous vous encourageons à commencer le processus d'inscription dès que possible afin de vous préparer à l'abandon de 1 % des cookies tiers au début du premier trimestre. Si vous n'avez pas reçu de réponse dans un délai d'une à deux semaines suivant l'envoi de votre inscription, contactez 3pcd-deprecationtrial@google.com.
   • Fil de discussion du bug pour une conversation ouverte, l'état de la décision et sa justification.
7. L'enregistrement de notre essai d'abandon a été approuvé et nous avons déployé un jeton d'essai comme recommandé. Cependant, l'évaluation avant arrêt ne fonctionne pas comme prévu. Que pouvons-nous faire ?
   • La page Résoudre les problèmes liés aux phases d'évaluation Chrome fournit une checklist pour résoudre les problèmes liés aux phases d'évaluation. En particulier, pour cet essai d'abandon, assurez-vous de vous être enregistré pour la bonne origine, d'avoir choisi un jeton tiers si nécessaire et d'avoir correctement fourni le jeton dans un en-tête HTTP, une balise Meta ou (pour un jeton tiers) à l'aide de JavaScript. Pour en savoir plus sur les phases d'évaluation tierces, consultez la page Phases d'évaluation tierces. Une démo d'abandon est disponible dans la Démo de la phase d'évaluation de Chrome: jeton injecté par un script tiers. Si le problème persiste, contactez origin-trials-support@google.com.