Retour au blog
5 min de lectureprivacytrackinggdprcompliance

Google a Inversé Son Interdiction du Fingerprinting : Ce Que les Développeurs Doivent Savoir

En février 2025, Google a levé sa propre interdiction du fingerprinting des appareils. Voici ce qui a changé, pourquoi les régulateurs sont alarmés, et ce que cela signifie pour votre stack analytics.

En février 2025, Google a discrètement mis à jour ses politiques publicitaires pour autoriser le fingerprinting des appareils — la même technique qu'il avait publiquement condamnée comme « mauvaise » en 2019. Le changement est entré en vigueur le 16 février 2025 et a des conséquences importantes pour quiconque construit des analytics, exploite une propriété web ou s'appuie sur l'infrastructure publicitaire de Google.

Ce qu'est réellement le fingerprinting

Le fingerprinting d'appareil est la pratique consistant à combiner plusieurs signaux passifs d'un navigateur ou d'un appareil pour construire un identifiant persistant. Aucun cookie n'est posé. Aucune entrée localStorage n'est écrite. L'utilisateur n'est jamais sollicité. Les signaux utilisés incluent :

  • Adresse IP et métadonnées réseau
  • Système d'exploitation et version du navigateur
  • Résolution d'écran et profondeur de couleur
  • Polices installées et codecs disponibles
  • Langue, fuseau horaire et état de la batterie

Pris individuellement, aucun de ces éléments n'est un identifiant unique. Combinés, ils produisent une empreinte suffisamment précise pour ré-identifier le même appareil entre les sessions, même après que les cookies ont été effacés et même en navigation privée. Contrairement aux cookies, il n'existe aucun mécanisme permettant à un utilisateur de supprimer une empreinte.

Ce que disait la politique de Google — et ce qui a changé

La position de Google en 2019 était explicite : le fingerprinting « contourne le choix de l'utilisateur et est mauvais » parce qu'il opère en dehors des contrôles de confidentialité standard du navigateur. La politique interdisait aux annonceurs d'utiliser le fingerprinting dans les produits publicitaires Google.

La mise à jour de février 2025 a supprimé cette interdiction. La présentation de Google était procédurale — la mise à jour était décrite comme une révision de politique de routine — mais le fond était un revirement. Les annonceurs peuvent désormais utiliser des identifiants au niveau de l'appareil, y compris l'adresse IP, la taille d'écran, le fuseau horaire, l'état de la batterie et les chaînes user agent pour le ciblage et la mesure, sans aucune obligation d'obtenir le consentement de l'utilisateur ni de divulguer la pratique.

La réaction réglementaire

L'Information Commissioner's Office du Royaume-Uni a réagi immédiatement. Stephen Almond, directeur exécutif du risque réglementaire de l'ICO, a qualifié la décision d'« irresponsable » et a clarifié la position réglementaire : le fingerprinting est soumis aux mêmes exigences de consentement que les cookies en vertu de PECR (les Privacy and Electronic Communications Regulations).

Le raisonnement de l'ICO est techniquement précis. PECR définit un déclencheur de consentement comme « stocker des informations, ou accéder à des informations stockées, sur un appareil ». Le fingerprinting accède à des informations depuis l'appareil — il lit des valeurs dans l'environnement du navigateur — ce qui signifie que l'exigence de consentement s'applique, qu'un fichier cookie soit écrit ou non. Le mécanisme d'accès est ce qui compte, pas le format de persistance.

Au regard du RGPD, les mêmes personnes concernées qui peuvent demander l'effacement d'un profil basé sur les cookies n'ont aucun mécanisme comparable pour un profil dérivé d'une empreinte. Vous ne pouvez pas supprimer une empreinte d'un serveur que vous ne contrôlez pas. Cela crée une asymétrie que les régulateurs de l'UE et du Royaume-Uni examinent activement.

Pourquoi cela compte pour votre stack analytics

Si votre site charge les balises publicitaires de Google — y compris gtag.js de GA4 lorsqu'il est connecté à Google Ads — vos visiteurs sont désormais soumis au fingerprinting dans le cadre d'une politique qui ne requiert pas leur consentement. La balise GA4 elle-même fait environ 45 KB et déclenche plusieurs requêtes sortantes ; avec le changement sur le fingerprinting, ces requêtes peuvent désormais transporter des identifiants persistants dérivés de l'appareil vers l'infrastructure de Google.

Pour les développeurs opérant sous le RGPD, la conséquence pratique est que déployer les balises de Google sans mécanisme de consentement devient de plus en plus difficile à défendre. L'ICO a déclaré que le fingerprinting « présente un seuil élevé à atteindre » dans les cadres existants — un signal indiquant que les actions de mise en application contre les éditeurs activant le suivi basé sur le fingerprinting constituent un risque réaliste à court terme.

Il existe une seconde conséquence, plus subtile : la qualité des données. Le fingerprinting injecte des identifiants non consentis dans les pipelines analytics. Si vous utilisez la stack de mesure de Google, une fraction de vos données d'attribution est désormais dérivée de signaux d'appareil passifs plutôt que d'événements consentis. Les deux populations — consentie et fingerprintée — ne sont pas équivalentes, et les mélanger sans les étiqueter dégrade la fiabilité de vos métriques.

Le contraste avec une collecte de données sans empreinte

Une approche analytics qui ne fait pas du tout de fingerprinting contourne ces problèmes structurellement. Le traceur Monoid envoie un unique POST vers /collect sans aucun signal au niveau de l'appareil au-delà d'une famille de navigateur grossière et d'un type d'appareil dérivés côté serveur depuis l'ordinaire User-Agent de la requête. Aucune IP n'est stockée. Aucune énumération de polices. Aucune résolution d'écran. Aucun identifiant inter-sessions.

Le hachage visiteur quotidien — SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD) — utilise l'IP et le user agent uniquement en mémoire, les écarte immédiatement et produit une valeur qui se réinitialise toutes les 24 heures. C'est l'opposé d'une empreinte : elle ne peut pas persister entre les sessions, ne peut pas être corrélée entre les jours et ne peut pas être utilisée pour ré-identifier un appareil spécifique.

Selon l'analyse de l'ICO, cette approche ne déclenche pas les exigences de consentement PECR, parce qu'elle n'accède pas à des informations stockées sur l'appareil et ne produit pas d'identifiant persistant. Les arguments juridiques et techniques en faveur de cette approche n'ont fait que se renforcer depuis février 2025.

Ce qu'il faut auditer maintenant

Si vous exécutez des balises analytics ou publicitaires sur votre site, trois questions méritent une réponse immédiate :

1. Does this tag access device-level signals (fonts, battery, screen resolution)?
2. Does it send those signals to a third-party server?
3. Do you have a legal basis — consent or legitimate interest — documented for that transfer?

Le changement de politique de Google ne modifie pas vos obligations légales ; il modifie ce que Google permet à ses annonceurs de faire. Le RGPD et PECR exigent toujours une base légale pour le traitement, la transparence dans votre avis de confidentialité et — lorsque la base est le consentement — un mécanisme permettant aux utilisateurs de le refuser et de le retirer.

Le chemin le plus simple à travers cela est de ne pas collecter de données dérivées du fingerprinting dès le départ. Un outil qui ne touche jamais aux signaux au niveau de l'appareil n'a aucune exposition à l'incertitude réglementaire entourant le fingerprinting, indépendamment de l'évolution des politiques de Google.