Un chercheur indépendant, ancien responsable cookies de Google, révèle que les trois géants du web ignorent massivement le signal d'opt-out légalement obligatoire en Californie.
L'organisation webXray a publié le 14 avril un audit de confidentialité portant sur plus de 7 000 sites populaires en Californie. Le trafic a été analysé en mars 2026. Résultat : 55 % des sites déposent des cookies publicitaires dans le navigateur de l'internaute malgré son refus explicite de tout pistage. Les trois premières plateformes publicitaires mondiales sont en première ligne. Google échoue à respecter le signal d'opt-out dans 87 % des cas. Meta affiche un taux d'échec de 69 %. Microsoft, 50 %.
Comment ça marche (et pourquoi ça ne fonctionne pas)
Le mécanisme est censé être simple. Le Global Privacy Control est un signal standardisé envoyé par le navigateur via l'en-tête HTTP « Sec-GPC: 1 ». Il signifie : ne vendez pas mes données. Contrairement au Do Not Track, abandonné faute de base légale, le GPC est adossé au California Consumer Privacy Act.
Selon l'audit, le serveur publicitaire de Google reçoit ce signal, puis répond en déposant quand même un cookie publicitaire nommé « IDE ». 404 Media, premier média à couvrir l'affaire, a publié des captures du trafic réseau. Le code de Meta va plus loin : il ne contient aucune vérification du signal GPC. Le script de pistage se charge, déclenche un événement de suivi et dépose un cookie, quel que soit le choix de l'internaute. Microsoft présente le même schéma sur la moitié des cas testés.
Le détail le plus frappant tient à la solution. Selon webXray, une seule ligne de code suffirait à corriger le problème côté serveur. Un code de retour HTTP 451 (« indisponible pour raisons légales ») bloquerait le dépôt de cookie. Timothy Libert, fondateur de webXray, est aussi l'ancien responsable de la conformité cookies chez Google. Son résumé est sans appel : ce point est le « détroit d'Ormuz de l'économie des données ».
Amendes symboliques, violations systémiques
La Californie sanctionne déjà. Sephora a payé 1,2 million de dollars en 2022. Disney, 2,75 millions en février 2026. PlayOn Sports et Ford ont été épinglés la même année. L'amende moyenne atteint 1,39 million de dollars par dossier. Mais rapportée au chiffre d'affaires publicitaire de Google ou Meta, la somme reste négligeable. Les entreprises contestent toutes l'audit. Google invoque une « incompréhension fondamentale » de ses produits. Meta qualifie le rapport de « stratagème marketing ». Microsoft affirme respecter le GPC et distingue cookies publicitaires et cookies fonctionnels.
La question ne se limite pas à la Californie. En Europe, le RGPD et la directive ePrivacy imposent des obligations similaires sur le consentement. Le GPC y est juridiquement reconnu. Si les mêmes scripts tournent sur les sites européens, les mêmes violations s'y produisent. La CNIL n'a pas encore commenté l'audit. Mais les chiffres californiens posent une question directe : à quoi servent les bandeaux de cookies si les serveurs publicitaires les ignorent en coulisses ?
