Metapocalypse

Ces dernières années, Apple a sorti 2 fonctionnalités majeures pour la protection du suivi de ses utilisateurs : ITP en 2017 et ATT en 2021. 

ITP = Intelligent Tracking Prevention

ATT = App Tracking Transparency 

L’ITP et l’ATT sont activés par défaut sur tous les appareils iOS et MacOS. 

Le rôle de l’ITP est de limiter le suivi des utilisateurs lorsqu’ils visitent les sites web sans dégrader leur expérience. Concrètement, cela purge les données de suivies que les trackers essaient d’installer sur l’appareil de l’utilisateur. Cela bloque les cookies tiers par défaut et limite l’utilisation des first-party cookies à 7 jours (24 h sous certaines conditions décrites plus bas).

L’ITP est installé par défaut sur Safari, mais Google et son navigateur Chrome, tout comme Mozilla, vont suivre le mouvement et bloquer de plus en plus les cookies tiers. 

Avant cela, vous pouviez utiliser une extension de navigateur comme AdBlock, uBlock, uMatrix, etc. qui permettaient de bloquer tous les cookies tiers et donc le suivi utilisateur. 

Parlons des cookies : 

Les cookies sont des fichiers textes stockés sur votre navigateur internet. Tous les cookies ne sont pas “mauvais” à part les cookies de suivi/pistage. 

En effet, les cookies sont utilisés par les sites web pour stocker :

  • Des informations de sessions (pour voir si vous êtes connecté à un espace membre par exemple) 
  • Des préférences utilisateur (votre langue sur un site par exemple, ou votre fond d’écran hello-kitty)
  • Des infos de suivi / pistage (encore appelé traceurs)

Il existe 3 types de cookies :

  • Les first-party cookies : générés par le site propriétaire pour les infos de sessions et préférences utilisateurs. Par exemple, sur Targetez un cookie “lang” est généré et stocké pour gérer la langue de navigation.
  • Les second-party cookies : partages de cookies depuis les sites propriétaires (et donc first-party) avec d’autres partenaires de données. Typiquement, Booking peut partager les données récoltées à partir de leur first-party cookies à des compagnies aériennes. Après-tout, autant vous proposer un vol lorsque vous réservez votre hôtel ?! 
  • Les third-party cookies (ceux bloqués par l’ITP et AdBlock) utilisés pour le retargeting (coucou Criteo), cross-site tracking et les ads. 

Le pixel Facebook 

Le pixel facebook utilise les cookies tiers pour le suivi des utilisateurs. Voici à quoi ressemble le code du pixel Facebook : 

<!-- Facebook Pixel Code -->
<script>
  !function(f,b,e,v,n,t,s)
  {if(f.fbq)return;n=f.fbq=function(){n.callMethod?
  n.callMethod.apply(n,arguments):n.queue.push(arguments)};
  if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
  n.queue=[];t=b.createElement(e);t.async=!0;
  t.src=v;s=b.getElementsByTagName(e)[0];
  s.parentNode.insertBefore(t,s)}(window, document,'script',
  'https://connect.facebook.net/en_US/fbevents.js');
  fbq('init', '{your-pixel-id-goes-here}');
  fbq('track', 'PageView');
</script>
<noscript>
  <img height="1" width="1" style="display:none" 
       src="https://www.facebook.com/tr?id={your-pixel-id-goes-here}&ev=PageView&noscript=1"/>
</noscript>
<!-- End Facebook Pixel Code -->

En copiant ce code, vous donnez à Facebook la permission de suivre les évènements de conversion et de créer un cookie tier sur l’appareil de l’utilisateur. 

Le pixel créer 2 cookies nommés “_fbp” et “_fbc”  

(Pour voir vos cookies sur Chrome, vous pouvez appuyer sur F12, puis cliquer sur l’onglet “Application” et choisir à droite Storage > Cookies, nom du site sur lequel vous êtes.)  

Quand un évènement ou une action se passe sur votre site internet, vous pouvez envoyer au pixel des données sur l’évènement. 

        fbq('track', 'ViewContent', {
            content_name: 'ACCÈS À VIE au Logiciel Targetez',
            content_category: 'Software Lifetime Access',
            content_ids : ['prod_JC1TQsYMfq2HCa', 'prod_JC1T6gPzDBdBCh'],
            content_type : 'product',
            value : 98,
            currency : 'EUR',
            contents : [{'id': 'prod_JC1TQsYMfq2HCa', 'quantity': 1}, {'id': 'prod_JC1T6gPzDBdBCh', 'quantity': 1}]
        });

La donnée contenue dans “_fbc” sera exploitée pour récupérer le fbclid qui correspond à l’identifiant du clic. 

La valeur du champ “fbclid” (qui sert à remplir la dernière partie de “_fbc”) est récupérée depuis l’URL du site web. 

En pratique, sur votre feed facebook, lorsque vous cliquez sur une publicité pour atterrir sur un site internet, vous avez souvent une url du type “fbclid=IwAR2MR1TdmRoT3eYxWlsdvO6hmrB”.

La partie “?fbclid=” contenue dans l’URL est un query String qui contient l’identifiant du clic généré par Facebook. C’est un des mécanisme qui permet de déduire quels Ads à générer quel clic. 

Pour résumer : Le pixel Facebook utilise des cookies pour fonctionner et surtout les cookies tiers (qui sont maintenant bloqués par l’ITP).

Et là ils se sont dit “Prenons des first-party cookies à la place !“

Les limites des first-party cookies :

  • Leur durée est limitée à 7 jours depuis la dernière interaction (c’est ce qui explique la disparition de l’attribution à 28 jours dans le gestionnaire de publicité Facebook) 
  • Leur durée peut être de seulement 24 h si :
    • Le cookie est généré par Javascript (c’est le cas avec le code du pixel Facebook)
    • L’URL a été altérée pour ajouter des query string (c’est le cas avec “?fbclid=”) 
    • Le site a été classé par l’ITP d’Apple comme “cross-site tracking” 

C’est une assez mauvaise nouvelle pour les annonceurs, voici un exemple pour vous l’expliquer :

Exemple pratique : 

Vous êtes sur votre fil d’actualité Facebook, cliquez sur une publicité et atterrissez sur un site internet. 

L’URL contient “?fbclid=”, l’identifiant du clic qui sera stocké dans votre cookie de session “_fbc“ pendant seulement 24h (car le pixel utilise maintenant les first-party cookie et avec quelques limites décrites plus haut). De son côté, l’annonceur devrait voir que vous avez cliqué sur une publicité (le clic est bien attribué). 

Vous faites rien d’autre et revenez 3 jours plus tard, mais cette fois-ci, pas à travers une publicité Facebook mais de manière directe : en tapant l’url dans le navigateur. 

Le pixel Facebook ne détecte pas de champ ni de valeur “fbclid” dans l’URL. Alors il va vérifier votre cookie utilisateur. Malheureusement, cela fait plus de 24h ! Le first-party cookie qui stockait le “_fbc” et qui contenait la valeur du précédent “fbclid” a été purgé.

Si vous faites un achat ou une conversion, le pixel est incapable d’attribuer la conversion avec le fbclid. Donc l’annonceur voit une vente sur son site, un clic il y a 3 jours et la conversion n’est pas reportée dans le gestionnaire de publicité Facebook. 

Il est impossible d’attribuer la vente dans ces conditions avec l’ITP qui impose l’utilisation de first-party cookies qui expirent en 24h. 

La réponse à ces problèmes était d’utiliser une solution sans cookies : Conversions API 

Conversion API (CAPI) :

L’Api de conversion Facebook permet d’envoyer directement des évènements de conversion depuis votre serveur, vers le serveur de Facebook. 

C’est un suivi Server-To-Server. Facebook recommande d’installer à la fois le pixel Facebook et CAPI. Les évènements seront ensuite dédupliqués. 

Mais les choses se sont corsées avec l’apparition de l’ATT.

L’introduction de l’App Tracking Transparency (ATT)

En 2021, avec la sortie de la mise à jour iOS14.5, l’App Tracking Transparency (ATT) débarque.

Toutes les applications présentes dans l’App Store doivent demander à leur utilisateurs s’ils ont la permission d’utiliser leur données : 

Imaginons que l’utilisateur refuse de donner cette permission à l’app Facebook. voici ce qu’il se passe, s’il clique sur une publicité et qu’il fait un achat : 

  • Le pixel Facebook déclenche plusieurs évènements dont le view content, add to cart, initiate checkout puis purchase. Tous ces évènements ainsi ceux de l’API de Conversion seront envoyés vers l’Aggregated Event Measurement (AEM) car l’utilisateur a décidé de ne pas autoriser le tracking.

Aggregated Event Measurement (AEM)

L’AEM traite les données des utilisateurs qui ont refusé le suivi sur iOS. C’est un outil mis en place par Facebook pour contrer l’ATT.

Le concept consiste à : 

  1. vérifier son nom de domaine
  2. prioriser 8 évènements
  3. puis attendre 72 heures.

Le problème c’est que seul l’évènement prioritaire est envoyé même si l’utilisateur a fait plusieurs actions. Ces autres évènements sont soit sous reportés ou tout simplement ignorés.

Globalement, il y aura aussi beaucoup de période de latence avant de voir les données apparaître dans votre gestionnaire de publicité (jusqu’à ~72h). Facebook tente de pallier à ce problème avec un algorithme prédictif 

[…]

Suite et fin de cet article prochainement !

Laisser un commentaire

Retour en haut
Retour haut de page