Que sont les cookies ? Explication simple
Les cookies sont de petits fichiers texte qu’un site web stocke dans votre navigateur. Cela semble inoffensif — et à l’origine, c’était le cas. Les cookies ont été inventés en 1994 par Lou Montulli chez Netscape. Le problème qu’ils devaient résoudre était simple : HTTP, le protocole du web, n’a pas de mémoire. Chaque chargement de page est pour le serveur un visiteur complètement nouveau. Sans cookies, un site ne pourrait pas se souvenir que vous êtes connecté, ce que vous avez mis dans votre panier, ou votre langue préférée. Voici comment ils fonctionnent : vous visitez un site. Le serveur envoie avec la page un petit cookie — par exemple session_id=abc123. Votre navigateur enregistre cette information. Lors de votre prochaine visite, votre navigateur envoie automatiquement le cookie, et le serveur vous reconnaît. C’est très utile et indispensable pour beaucoup de fonctionnalités web. Sans cookies, vous devriez vous reconnecter à chaque chargement. Le shopping en ligne serait impossible, car le panier serait vidé à chaque clic. Les préférences personnelles comme la langue ou le thème ne pourraient pas être sauvegardées. Les cookies en soi ne sont ni bons ni mauvais. Ce sont simplement des stockages de données. Le problème apparaît quand ils sont utilisés de façon malveillante — notamment avec les cookies tiers, qui viennent de domaines que vous n’avez jamais visités directement. Et là, l’histoire devient compliquée. Car le petit fichier texte qui devait simplement stocker votre login est devenu le principal outil de surveillance du web commercial.
Cookies first-party vs cookies tiers
La différence clé réside dans qui dépose le cookie. Les cookies first-party viennent du site que vous visitez. Vous êtes sur shop.fr, et shop.fr stocke un cookie dans votre navigateur. C’est un cookie first-party. Il sert généralement à vous garder connecté, à sauvegarder votre panier ou à mémoriser vos préférences. Ces cookies sont généralement inoffensifs et souvent nécessaires. Les cookies tiers viennent d’un autre domaine que celui que vous visitez. Vous êtes sur shop.fr, mais en arrière-plan, la page charge une bannière publicitaire de ads.adnetwork.com. Ce réseau publicitaire dépose aussi un cookie dans votre navigateur — c’est un cookie tiers. Il ne vient pas de shop.fr, mais d’un tiers que vous n’avez jamais visité consciemment. Pourquoi c’est problématique ? Parce que ce même réseau publicitaire est intégré dans des milliers de sites. Si demain vous visitez news.fr, et que ce même réseau publicitaire est actif, il vous reconnaîtra — via le cookie tiers. Il saura que vous étiez chez shop.fr hier, et aujourd’hui chez news.fr. Cela crée un profil inter-site. Le réseau publicitaire vous suit sur une moitié d’Internet, sans que vous le sachiez. Il sait quels produits vous regardez, quelles actualités vous lisez, quels voyages vous planifiez, et même quels symptômes vous recherchez. En plus, un seul site charge souvent du contenu provenant de 20 à 50 domaines tiers différents. Chacun peut déposer ses cookies. Chacun construit son propre profil. Et beaucoup échangent ces données — dans un système appelé Real-Time Bidding, qui vend votre profil en millisecondes à des centaines d’annonceurs.
Comment les cookies tiers vous suivent sur le Web
Faisons un exemple concret de suivi. Lundi : tu recherches sur Google des « chaussures de course ». Tu cliques sur une boutique en ligne. La boutique a intégré Google Ads, Facebook Pixel et trois autres réseaux publicitaires. Cinq cookies tiers sont déposés dans ton navigateur. Tu ne achètes rien et fermes l’onglet. Mardi : tu lis un article sur un site d’actualités. Le site a intégré les mêmes réseaux publicitaires. Ils te reconnaissent via les cookies de la veille. Soudain, tu vois des publicités pour des chaussures de course. Ce n’est pas une coïncidence — c’est ce qu’on appelle le retargeting. Mercredi : tu visites un portail de voyages. Les mêmes réseaux sont à nouveau actifs. Ton profil est enrichi : une personne s’intéresse aux chaussures de course ET prévoit apparemment un voyage. La publicité devient encore plus ciblée. Jeudi : tu googles un symptôme de santé. Tu atterris sur un portail médical. Ici aussi : des trackers. Ton profil contient maintenant des informations de santé — sans que tu aies jamais donné ton accord. Cela se produit à chaque chargement de page, sur chaque site web, chaque jour. Les grands réseaux publicitaires — Google, Facebook, Amazon — sont intégrés à plus de 80 % de tous les sites internet. Ils voient pratiquement tout ce que tu fais en ligne. Le profil résultant est effrayamment détaillé : données démographiques, intentions d’achat, intérêts politiques, état de santé, statut relationnel, situation financière. Et ce profil est vendu lors d’enchères en temps réel — littéralement dans les millisecondes nécessaires au chargement d’un site. Les bannières de cookies devraient y faire obstacle. En pratique, 90 % des utilisateurs cliquent sur « Accepter », car la bannière masque le contenu et l’option « Refuser » est souvent intentionnellement difficile à trouver. Les plateformes de gestion du consentement sont devenues une industrie à part entière — qui, ironiquement, dépose elle-même des cookies de suivi.
L’ère post-cookie — empreintes digitales & nouvelles méthodes de suivi
La bonne nouvelle : les cookies tiers disparaissent lentement. Safari et Firefox les bloquent déjà par défaut. Google a, après des années de tergiversations, mis en œuvre la restriction dans Chrome sous une forme modifiée. L’ère du suivi simple par cookies touche à sa fin. La mauvaise nouvelle : l’industrie du suivi a déjà développé des alternatives, qui sont parfois encore plus difficiles à détecter et à bloquer. L’empreinte digitale du navigateur est l’alternative la plus connue. Ton navigateur fournit à chaque chargement de page des dizaines d’informations techniques : résolution d’écran, polices installées, fuseau horaire, langue, système d’exploitation, modèle GPU, résultats WebGL, et plus encore. Pris ensemble, ces points de données forment une empreinte presque unique. Des études montrent que plus de 90 % des navigateurs peuvent être identifiés de façon univoque — sans cookies. Le suivi côté serveur déplace le suivi du navigateur vers le serveur. Au lieu de charger un pixel Facebook dans le navigateur, le serveur du site envoie directement les données à Facebook. C’est invisible pour ton navigateur, car la communication se fait entre serveurs. Les domaines de suivi en première partie sont une astuce intelligente : au lieu de déposer des cookies de tracker.werbenetzwerk.com, le site configure un sous-domaine comme analytics.shop.de, qui pointe vers le serveur du tracker. Techniquement, c’est un cookie de première partie, mais en pratique, c’est du suivi tiers. Le suivi basé sur la connexion (login) contourne complètement les cookies. Si tu es connecté à Google, Facebook ou Amazon, ces services n’ont pas besoin de cookies — ils te reconnaissent via ton compte. Les ETags, LocalStorage, IndexedDB et autres stockages du navigateur peuvent être utilisés de façon similaire aux cookies pour l’identification. Certains sont plus difficiles à supprimer que les cookies classiques. L’industrie du suivi est créative. Pour chaque porte qu’on ferme, elle en ouvre deux nouvelles.
Comment te protéger réellement du suivi
Si les cookies ne sont qu’une partie du problème, la solution doit être plus globale. Voici une stratégie réaliste pour 2026 : Dans le navigateur : utilise Safari, Firefox ou Brave — tous bloquent par défaut les cookies tiers. Active la protection contre le suivi la plus stricte proposée par ton navigateur. Installe uBlock Origin (non disponible pour Safari, mais pas nécessaire pour Firefox et Brave). Efface régulièrement cookies et données du navigateur. Utilise différents navigateurs ou conteneurs pour différentes activités — banque séparée des réseaux sociaux, séparée du shopping. Au niveau DNS : utilise un résolveur DNS respectueux de la vie privée comme NextDNS ou Quad9. Ils bloquent les domaines de suivi connus avant même que la connexion ne s’établisse. Cela fonctionne de façon compatible avec navigateur et applications. Au niveau des applications — et c’est ici que ça devient crucial : ton navigateur n’est qu’une des nombreuses applications sur ton Mac. Toute autre application peut aussi envoyer des données de suivi, et beaucoup le font. Un pare-feu par application comme NetMute surveille tout le trafic réseau de ton Mac, pas seulement le navigateur. Le Tracker-Shield de NetMute bloque automatiquement plus de 624 domaines de suivi connus — pour toutes les applications en même temps. Que Spotify Analytics envoie des pings, que ton éditeur de texte envoie des données d’utilisation ou qu’une application oubliée contacte Facebook en arrière-plan : NetMute le détecte et le bloque. Le X-Ray des applications te montre le score de confidentialité de chaque application, basé sur son comportement réseau réel. Tu peux ainsi repérer immédiatement quelles applications posent problème — et les bloquer ou les remplacer par de meilleures alternatives. Changements de comportement : déconnecte-toi de Google et Facebook si tu ne les utilises pas activement. Utilise une adresse e-mail séparée pour les boutiques en ligne. Questionne chaque application que tu installes. Moins d’applications, moins de surface de suivi. Aucun outil unique ne résout le problème du suivi. Mais une combinaison de navigateur respectueux de la vie privée, de blocage du suivi au niveau système et d’un comportement conscient t’amène aussi près que possible de la vraie vie privée, en 2026.