Cookies, pixels invisibles, adresse IP, empreinte du navigateur… Le pistage en ligne ne repose pas sur une seule technique, mais sur une addition de signaux souvent discrets. Pour le limiter, il faut donc regarder plus loin que le simple bandeau de consentement.
Quand vous naviguez sur le web, vous ne laissez pas une trace bien nette derrière vous. Vous en laissez plusieurs. Un cookie ici, une adresse IP là, un pixel dans une newsletter, un script publicitaire sur une page, un compte Google ou Meta ouvert dans un autre onglet. Pris ensemble, ces signaux permettent aux sites, aux régies publicitaires et aux courtiers en données de vous reconnaître, de suivre une partie de vos habitudes et d’alimenter le ciblage publicitaire.
Le pistage en ligne ne repose donc pas sur un grand mouchard planqué dans un coin du navigateur. Il s’appuie sur une série de techniques parfois utiles au fonctionnement d’un service, parfois beaucoup moins défendables. Entre le cookie qui garde votre session ouverte et le traceur qui vous suit d’un site à l’autre, la frontière n’est pas toujours visible côté utilisateur.
Il y a le bon cookie… et celui dont on se passerait très bien
La technique la plus connue demeure celle des cookies. Ces petites données enregistrées par le navigateur permettent à un site de mémoriser des informations utiles, comme une langue d’affichage, un panier ou une session ouverte. Sans eux, il faudrait se reconnecter à chaque page, perdre ses préférences et recommencer une partie de sa navigation à zéro. Pas exactement l’idée qu’on se fait d’un web pratique.
Tous les cookies ne posent donc pas problème. Les cookies internes, souvent appelés first-party cookies, sont déposés par le site consulté. Ils servent au fonctionnement du service, à la personnalisation de l’affichage ou à la sécurité de la session. Les cookies tiers, eux, viennent d’acteurs extérieurs au site visité. Régies publicitaires, réseaux sociaux, outils de mesure ou plateformes marketing peuvent les exploiter pour reconnaître un même navigateur sur plusieurs sites et reconstituer une partie du parcours de navigation.
C’est ce qui explique ces publicités qui vous suivent après la consultation d’un produit, d’un billet d’avion ou d’un service en ligne. Le site quitté quelques minutes plus tôt n’est pas forcément en train de vous courir après lui-même. Il peut avoir transmis des signaux exploitables par des partenaires publicitaires.
La distinction entre cookies internes et cookies tiers demeure utile, mais elle ne suffit plus. Un cookie interne peut aussi servir au suivi publicitaire lorsqu’il est exploité par l’éditeur ou partagé par ses partenaires. Et certaines techniques brouillent encore la lecture. Le CNAME cloaking, par exemple, consiste à faire transiter des requêtes publicitaires par un sous-domaine du site consulté. Pour le navigateur, l’échange ressemble davantage à une communication interne. Pour l’internaute, le résultat change peu, la collecte continue.
Les navigateurs ont fini par serrer la vis. Safari et Firefox bloquent depuis longtemps une grande partie des cookies tiers, Brave applique des protections strictes par défaut, et Chrome a multiplié les reports avant d’abandonner la suppression générale promise depuis des années. Les cookies tiers ont perdu du terrain, mais ils n’ont pas disparu. L’écosystème publicitaire s’est surtout déplacé vers d’autres méthodes, plus difficiles à repérer.
Les pixels invisibles, plus discrets qu’un bandeau cookie
Les cookies ne sont qu’une partie du sujet. Le pistage passe aussi par des balises web, plus connues sous le nom de pixels invisibles. Une image minuscule, souvent transparente, est intégrée à une page web ou à un mail. Quand le contenu s’ouvre, le navigateur ou le client de messagerie interroge le serveur qui héberge cette image.
Cette requête suffit à transmettre plusieurs informations. L’adresse IP, l’heure d’ouverture, le navigateur utilisé, le système, parfois quelques éléments liés à l’appareil ou au contexte de consultation. Dans une newsletter, le pixel permet de savoir si le message a été ouvert, à quel moment, et depuis quel environnement. Voilà pourquoi de nombreux services de messagerie bloquent désormais le chargement automatique des images. Ce n’est pas seulement pour éviter les visuels cassés, c’est aussi pour empêcher l’expéditeur de recevoir une confirmation silencieuse.
Le pixel Meta illustre bien cette logique. Installé sur des sites tiers, il permet de mesurer des visites, des achats, des ajouts au panier ou des consultations de pages, puis de relier ces actions à des campagnes publicitaires sur Facebook et Instagram. Quand les cookies tiers deviennent moins fiables, les grandes plateformes poussent d’autres outils, comme la mesure côté serveur ou l’envoi de données hachées par les annonceurs. Le pistage ne disparaît pas. Il change simplement de chemin.
Le vrai problème, c’est l’accumulation
Un cookie isolé ne dit pas grand-chose. Un pixel seul non plus. Une adresse IP, une langue de navigateur ou une résolution d’écran peuvent paraître banales. Mais l’ensemble finit par raconter beaucoup plus qu’on ne le pense.
Pages consultées, fréquence des visites, produits regardés, articles lus, mails ouverts, clics, achats, abandons de panier, comptes connectés, heures de connexion. Ces données permettent de déduire des habitudes, des centres d’attention, des intentions d’achat, parfois même des périodes de vulnérabilité. Ce n’est pas toujours nominatif au départ, mais le recoupement fait une bonne partie du travail.
C’est aussi ce qui rend le fingerprinting difficile à saisir. Même sans cookie, un site peut tenter de reconnaître un navigateur à partir de son empreinte technique. La méthode consiste à croiser plusieurs caractéristiques visibles depuis le navigateur, comme la résolution d’écran, la langue, le fuseau horaire, le système d’exploitation, la version du navigateur, les polices disponibles, les extensions installées ou certaines informations transmises dans les en-têtes HTTP. Aucune de ces données ne suffit forcément à identifier quelqu’un. Ensemble, elles peuvent pourtant rendre un environnement de navigation assez reconnaissable.
Le réflexe consistant à ajouter toujours plus d’extensions peut donc produire l’effet inverse de celui recherché. Un bloqueur sérieux peut aider à limiter le pistage, mais un navigateur bardé de modules, de réglages rares et de personnalisations trop visibles peut aussi sortir du lot. Pour réduire le fingerprinting, Tor Browser demeure la référence, parce qu’il cherche à rendre ses utilisateurs et utilisatrices aussi semblables que possible. Brave intègre aussi des protections dédiées, tandis que Firefox permet d’aller plus loin dans les réglages, au prix parfois de quelques ajustements.
Le RGPD impose bien un consentement pour les traceurs non nécessaires. En théorie, vous devez pouvoir accepter ou refuser clairement les cookies publicitaires et les outils de mesure non indispensables. En pratique, beaucoup de bandeaux poussent encore vers l’acceptation. Le bouton “tout accepter” saute aux yeux, le refus demande parfois trois clics et une petite fouille dans des menus interminables. Curieux hasard.
Comment limiter le pistage sans se raconter d'histoire
Le premier réflexe consiste à reprendre la main sur le navigateur. Firefox, Safari, Brave, Vivaldi ou Edge proposent des protections contre les traqueurs connus, les cookies tiers et plusieurs scripts publicitaires. Chrome intègre aussi des réglages de confidentialité, mais son lien direct avec l’écosystème publicitaire de Google justifie de ne pas tout laisser par défaut.
Refuser les cookies non essentiels demeure utile. Ce n’est pas parfait, ce n’est pas toujours agréable, mais cela limite une partie des traceurs déposés dès la première visite. Il faut aussi supprimer de temps en temps les cookies et les données de site, surtout lorsque le même navigateur sert à tout faire.
Dans les mails, le blocage du chargement automatique des images mérite aussi un détour par les réglages. Un clic manuel suffit ensuite à afficher les visuels d’un expéditeur de confiance. Pour les newsletters commerciales, cette petite barrière évite déjà de confirmer chaque ouverture sans s’en rendre compte.
Les bloqueurs de contenus peuvent renforcer l’ensemble, à condition de choisir un outil sérieux et de ne pas empiler les extensions. Chaque module ajouté obtient des permissions, modifie le comportement du navigateur et peut participer à son empreinte. Quelques protections bien choisies valent mieux qu’un navigateur transformé en sapin de Noël.
Séparer les usages aide également. Un profil de navigateur pour les comptes personnels, un autre pour le travail, moins de connexions permanentes aux réseaux sociaux, moins de boutons “se connecter avec Google” ou “continuer avec Facebook”. Ce n’est pas très glamour, mais cela évite de relier trop facilement toutes les activités entre elles.
Et le VPN dans tout ça ?
Un VPN ne fait pas disparaître le pistage en ligne, mais il peut en réduire une partie. Son premier rôle consiste à masquer votre adresse IP réelle aux sites consultés, en faisant transiter la connexion par un serveur intermédiaire. Ce n’est pas un détail. L’adresse IP peut servir à estimer votre position, à reconnaître un réseau, à associer plusieurs visites entre elles ou à alimenter un profil de navigation.
Le chiffrement du tunnel entre l’appareil et le serveur VPN limite aussi ce que peuvent observer certains intermédiaires, notamment sur un Wi-Fi public, dans un hôtel, un aéroport, une location de vacances ou un réseau professionnel peu maîtrisé. Le site consulté voit toujours ce que vous lui envoyez, mais le réseau utilisé ne peut plus lire le trafic de la même manière.
Les VPN grand public ne se limitent plus toujours au masquage d’adresse IP. Plusieurs services intègrent désormais des bloqueurs de publicités, de trackers, de domaines malveillants ou de tentatives de suivi connues. Selon les fournisseurs, ces protections peuvent filtrer une partie des requêtes avant même qu’elles n’atteignent le navigateur, bloquer certains scripts publicitaires ou empêcher le chargement de domaines associés au tracking. Ce n’est pas aussi fin qu’un navigateur bien réglé ou qu’une extension spécialisée, mais cela ajoute une barrière utile, surtout sur mobile ou dans les applications qui échappent aux bloqueurs installés dans le navigateur.
Reste que le VPN ne remplace pas les autres protections. Il ne supprime pas les cookies déjà enregistrés, ne vide pas le stockage du navigateur, ne déconnecte pas vos comptes Google, Meta ou Amazon et ne modifie pas à lui seul l’empreinte technique de votre appareil. Si vous utilisez le même navigateur, les mêmes sessions ouvertes et les mêmes habitudes, les sites gardent d’autres moyens de vous reconnaître.
Il trouve donc sa place dans une routine plus large. Navigateur protecteur, refus des cookies non essentiels, blocage des images dans les mails, séparation des usages, nettoyage régulier des données de site, puis VPN pour masquer l’adresse IP, chiffrer la connexion et filtrer une partie des traqueurs lorsque le service le permet. Pas un costume d’invisibilité, mais un outil utile, surtout lorsqu’il complète le reste au lieu de prétendre le remplacer.
