Privacy Sandbox enterré : Chrome liquide 6 ans de promesses

Six ans de roadmap, des équipes entières mobilisées chez les éditeurs, des millions de lignes de spec W3C, et au final : rien. Google a appuyé sur le bouton reset le 17 octobre 2025. Onze APIs Privacy Sandbox retirées d'un coup, la CMA qui libère ses engagements de 2022 dans la foulée, et Chrome qui repart comme si 2020 n'avait jamais eu lieu. Pour ceux qui avaient cru à la transition, c'est un camouflet. Pour ceux qui n'y ont jamais cru, c'est la confirmation que le premier projet web à l'échelle mondiale venait de mourir à petit feu.

Je fais le tri. Parce qu'entre les titres catastrophistes d'AdWeek et les communiqués édulcorés de Mountain View, il reste à expliquer ce qui se passe vraiment pour un site qui veut continuer à mesurer et à acquérir du trafic en 2026. Spoiler : ce n'est pas la fête, mais ce n'est pas la catastrophe annoncée non plus.

La vraie rupture date du printemps 2025, pas de l'automne. Le 22 avril, Google annonce officiellement qu'il renonce au standalone prompt de choix cookies tiers. Traduction : les cookies tiers restent actifs par défaut dans Chrome, point. Pas de bannière, pas de choix utilisateur séparé, pas de transition douce. L'engagement de 2020, celui qui avait déclenché six ans d'agitation dans l'industrie adtech, est officiellement enterré ce jour-là.

The Register titre « RIP to the Google Privacy Sandbox » dès le lendemain, et personne dans le milieu ne les contredit. Les éditeurs qui avaient investi en server-side pour préparer la transition se retrouvent avec une infrastructure prête pour un monde qui n'arrivera pas. Les annonceurs qui avaient testé la Protected Audience API en bêta pendant deux ans rangent leurs notes.

Soyons honnêtes : personne n'y croyait plus vraiment depuis juillet 2024, quand Google avait déjà reculé une première fois. Mais le 22 avril officialise ce que tout le monde pressentait. Chrome ne changera pas. Les cookies tiers sont là pour durer.

Six mois plus tard, Anthony Chavez, VP Privacy Sandbox, publie le billet qui achève le projet. Onze APIs retirées en une annonce, dont les plus emblématiques :

• Topics API (Chrome et Android)
• Protected Audience API (ex-FLEDGE, ex-PAAPI)
• Attribution Reporting API
• IP Protection
• On-Device Personalization
• Private Aggregation API
• Shared Storage API
• Protected App Signals
• Related Website Sets
• SelectURL
• SDK Runtime (Android)

Trois APIs survivent : CHIPS (cookies partitionnés), FedCM (identité fédérée), Private State Tokens (anti-fraude). Soit les trois seules qui servent à autre chose qu'au ciblage publicitaire. Le reste part à la poubelle.

Dans la même journée, la CMA britannique publie sa décision finale et libère Google de ses engagements de 2022. Le régulateur écrit noir sur blanc : « The CMA remains of the view that it has reasonable grounds for believing that its competition concerns no longer arise. » Logique : si Google ne supprime plus les cookies tiers, il n'y a plus de risque concurrentiel à encadrer. James Rosewell, du Movement for an Open Web, prévient quand même : Google peut faire un nouveau U-turn. Il a raison.

Topics API n'est pas encore morte en avril 2026. Elle est deprecated, ce qui n'est pas pareil. Le calendrier précis vaut la peine d'être regardé.

• Chrome 144 (13 janvier 2026) : premières notices de deprecation pour Private Aggregation, Shared Storage, Protected Audience. L'API répond encore mais signale sa fin prochaine.
• Chrome 150 (automne 2026 estimé) : retrait complet (removal) de Topics API prévu. À cette date, les appels échouent.

Si vous lisez quelque part que « Topics est supprimée », c'est inexact. Elle le sera, probablement à l'automne 2026. En attendant, elle tourne toujours, même si plus personne ne devrait s'en servir en production. C'est le genre de détail que les articles copiés-collés ratent systématiquement.

La réalité du terrain : pas grand-chose de nouveau côté navigateur. Les cookies tiers restaient bloqués sur Safari depuis 2017 (ITP) et partitionnés sur Firefox depuis 2022 (Total Cookie Protection). À eux deux, ces navigateurs représentent autour de 17 à 18 % du trafic mondial selon Statcounter 2026, avec Chrome qui pèse toujours 68 à 71 %. Pour cette portion du trafic, le ciblage cross-site via cookie tiers n'a jamais marché et ne marchera jamais.

La vraie nouvelle : la transition vers le first-party data est inévitable, avec ou sans Privacy Sandbox. Pas parce que Chrome l'impose. Parce que les ad blockers montent (plus de 40 % de sessions bloquées sur certains marchés), parce que le RGPD impose le consentement explicite dans l'UE, parce que la CMA surveille, et parce que l'ePrivacy bougera tôt ou tard. Ceux qui attendaient Privacy Sandbox comme excuse pour ne pas migrer leur stack ont juste gagné deux ans de sursis. C'est tout.

La checklist n'a pas bougé, elle s'impose juste plus vite.

1. Server-side tracking en baseline, pas en option. Si votre GTM tourne encore côté client, vous perdez déjà une part significative de votre mesure selon le marché (dans mes observations chez des clients B2B FR, la déperdition se situe couramment entre un quart et 40 % des événements, ad blockers + Consent Mode confondus). Migrez vers sGTM sur un sous-domaine first-party. Vos Core Web Vitals remercieront en prime.
2. First-party data comme actif stratégique. CRM, email, programme de fidélité, formulaires. C'est la seule donnée qui reste à vous, qui résiste aux navigateurs, et qui ne dépend pas de la bonne volonté de Mountain View.
3. Consent Mode v2 + modélisation. GA4 avec Consent Mode modélise les utilisateurs non consentants. Ce n'est pas parfait, mais c'est ce qui existe.
4. MMM (Marketing Mix Modeling) pour l'attribution. Les signaux individuels vont continuer à se dégrader. Le MMM travaille sur des agrégats et résiste à tout. Google Meridian est gratuit.
5. Tester les analytics privacy-first. Plausible, Matomo. Pas nécessairement pour remplacer GA4, mais pour l'audit croisé. Quand GA4 vous annonce 2 000 sessions et Plausible 3 200, vous savez que Consent Mode vous cache quelque chose.

J'ai basculé mes sites personnels sur une stack sGTM + GA4 + Plausible en parallèle il y a dix-huit mois. Sur ce point, j'hésite encore à le recommander à 100 % des clients : ça ajoute de la complexité de maintenance pour un gain de robustesse qui n'est pas toujours visible au bilan mensuel. Mais sur un site à fort trafic, c'est la bonne décision.

Pour aller plus loin sur l'infra, j'ai détaillé la stack dans server-side tracking et first-party data post-cookies. Sur les alternatives GA4, le comparatif GA4 vs Matomo de Lucas fait le tour. Et pour la partie conformité, le guide RGPD analytics 2026 couvre le consentement.

Six ans à parler de Privacy Sandbox pour finir par… rien. Pas de nouveau standard, pas de transition propre, pas de remplaçant crédible aux cookies tiers. Google conserve son monopole Search, son monopole navigateur avec Chrome, et fait ce qu'il veut. La CMA l'a libéré, les régulateurs européens ne bougent pas, et les éditeurs qui avaient pris l'engagement au sérieux se retrouvent avec des chantiers rentabilisés par accident (le server-side est utile, Privacy Sandbox ou pas).

Ma lecture : le bon pari, c'est de considérer que la prochaine annonce Google sera un nouveau U-turn. Construisez votre mesure comme si les cookies tiers allaient disparaître demain, même s'ils sont là pour rester aujourd'hui. C'est le seul moyen de ne pas se faire avoir deux fois.

• Google Privacy Sandbox, Annonce du 22 avril 2025
• Google Privacy Sandbox, Update on plans (17 octobre 2025)
• CMA, Consultation 13 juin 2025
• AdExchanger, Google Pulls The Plug (17 octobre 2025)
• Search Engine Land, Privacy Sandbox officiellement terminé
• Clifford Chance, Analyse juridique CMA
• Chrome for Developers, Release Notes 144
• Statcounter, Browser Market Share
• The Register, RIP to the Google Privacy Sandbox