Quand « pas de cookies » ne suffit pas : comment les navigateurs vous suivent à la trace

Pour de nombreux utilisateurs, refuser ou supprimer les cookies est perçu comme une victoire pour la protection de la vie privée. Mais en réalité, ce n'est qu'une partie du problème. Qu'il s'agisse de négligence, de techniques sophistiquées ou de technologies émergentes, les méthodes de suivi web actuelles vont bien au-delà des bannières de cookies.

Les bannières de cookies se sont multipliées avec l'entrée en vigueur du RGPD et des réglementations similaires. Pourtant, un nombre important de sites web continuent de suivre les utilisateurs même après le refus du consentement. Une étude menée en juin 2025 sur plus de 20 000 domaines a révélé qu'environ 50 % d'entre eux envoient des cookies dits « résistants » : des cookies qui persistent et sont envoyés aux traqueurs avant même que vous n'ayez donné votre consentement sur les sites suivants.

Pire encore : seuls 15 % des principaux sites web respectent les lois modernes sur le consentement. La plupart s'appuient encore sur des mécanismes de consentement implicites et complexes. Autrement dit, les bannières de cookies sont souvent trompeuses : vous pensez peut-être avoir refusé le suivi, mais celui-ci continue discrètement.

Les cookies sont visibles, supprimables et, pour beaucoup, gérés consciemment par les utilisateurs. L’empreinte numérique, en revanche, est silencieuse et bien plus insidieuse.

JavaScript peut lire des caractéristiques spécifiques à l’appareil, comme la taille de l’écran, le système d’exploitation, les polices, le fuseau horaire, la version du navigateur, les spécificités de rendu du GPU, etc. Ces caractéristiques se combinent pour former une empreinte numérique unique qui persiste même après la suppression des cookies et l’utilisation de la navigation privée.

Une étude de l’université Texas A&M, datant de mi-2025, a confirmé que l’empreinte numérique du navigateur est désormais activement utilisée pour le suivi, en corrélation avec le comportement publicitaire sur différentes sessions et sites. Une analyse d’août 2025 le résumait ainsi : « Les cookies sont facultatifs. L’empreinte numérique, elle, ne l’est pas.» Et des études de navigation réelles montrent que les analyses automatisées sous-estiment l’utilisation de l’empreinte numérique : environ 45 % des sites utilisant cette technique ne sont rencontrés que lors d’interactions utilisateur authentiques.

Les géants de la tech aggravent le problème. Le récent changement de politique de Google autorise l’empreinte numérique sur tous les appareils connectés, y compris les téléviseurs intelligents et les consoles. Cette mesure est qualifiée d’« irresponsable » par les autorités de régulation britanniques, notamment l’ICO, car elle compromet le contrôle des utilisateurs.

La suppression des cookies n’est pas toujours efficace. Avez-vous déjà entendu parler des cookies persistants ou cookies zombies ? Ces scripts stockent des identifiants dans plusieurs zones de stockage du navigateur (Flash, HTML5, ETags, stockage local…), permettant aux traqueurs de réactiver les cookies supprimés.

De même, l’empreinte numérique Canvas exploite la manière dont différentes machines affichent les images ou le texte via l’élément canvas HTML5. Elle génère des identifiants uniques basés sur de subtiles différences graphiques, ce qui rend le blocage ou la suppression plus difficile.

Le suivi ne se limite pas aux sites web. Une enquête de juin 2025 a montré comment Meta et Yandex exploitent la communication interne d’Android pour démasquer les utilisateurs, même en navigation privée ou via un VPN. Des scripts JavaScript intégrés comme Meta Pixel collectaient les métadonnées du navigateur, les cookies et les commandes via l'interface de l'application, contournant ainsi totalement les protections de la navigation privée.

Bien que Meta ait suspendu cette fonctionnalité et que Yandex ait nié toute malversation, les autorités de régulation, en vertu du RGPD et de la loi britannique sur la protection des données, examinent désormais de près ces pratiques clandestines.

Si vous pensez que changer de navigateur résoudra vos problèmes de confidentialité, détrompez-vous. Chrome est peut-être particulièrement hostile à la vie privée, mais des alternatives comme Edge, Brave ou Opera sont souvent basées sur la même plateforme Chromium. Cela signifie que Google influence toujours le suivi de vos activités, même lorsque vous pensez y échapper.

Par ailleurs, Chrome, qui synchronise votre historique, vos recherches, vos achats et bien plus encore avec votre compte Google, a conclu un accord à l'amiable en mai 2025 dans le cadre d'une action en justice pour un montant de 1,375 milliard de dollars pour avoir illégalement suivi la géolocalisation, les recherches en navigation privée et les données biométriques des utilisateurs.

Les autorités de régulation mettent en garde : la collecte de données reste prioritaire, tandis que le contrôle de l’utilisateur est masqué par défaut.

En résumé, les bannières de cookies ne suffisent pas, car de nombreux sites continuent de vous suivre via des cookies persistants ou un consentement implicite. Les cookies ne peuvent pas vous protéger contre le traçage invisible, les cookies permanents impossibles à supprimer, le suivi au niveau des applications contournant le navigateur, ni même contre le navigateur lui-même.

Refuser les cookies peut sembler un pas vers la protection de la vie privée, mais le monde numérique a évolué. Le suivi s’opère désormais de manière insidieuse et se cache dans presque toutes les activités connectées. Même si le consentement aux cookies ne suffit pas à garantir une protection absolue de la vie privée, il reste la première étape essentielle pour la préserver et doit être correctement mis en œuvre pour être efficace.

Gérez-vous correctement le consentement aux cookies ?