Pendant cinq ans, tout le monde m'a chanté la même rengaine : « prépare-toi, en 2025 les cookies tiers meurent, ton retargeting est fini ». J'ai lu des dizaines de tribunes là-dessus, monté des slides de formation entières autour de cette échéance. Et puis le 22 avril 2025, Google a tout balayé d'un communiqué. Anthony Chavez, le VP Privacy Sandbox, a annoncé le maintien de l'approche actuelle et l'abandon d'un nouveau prompt de consentement dédié aux cookies tiers dans Chrome. Traduction : le couperet promis n'est jamais tombé.
Alors si vous êtes venu chercher le énième article qui vous dit que le retargeting est mort, vous pouvez fermer l'onglet. Le sujet de 2026 n'est pas la disparition d'une technologie. C'est le consentement.
Le retargeting n'est pas mort, il est sous conditions#
Reprenons les bases, parce que la confusion règne. Le retargeting, comme le définit Criteo, cible « des utilisateurs qui ont déjà visité votre site ou interagi avec votre marque sans convertir ». Concrètement, on recible des visiteurs anonymes via des canaux payants (display, Meta, LinkedIn) en s'appuyant sur des données de navigation : cookies, pixels, signaux serveur.
Le remarketing, lui, joue sur un autre terrain. Toujours selon Criteo, il désigne « des tactiques de réengagement utilisant des sources de données propriétaires, comme les adresses email ». Donc des contacts identifiés, votre CRM, vos listes email. La nuance est technique mais elle change tout côté conformité : l'un travaille sur de l'anonyme reciblé, l'autre sur de l'identifié que vous possédez déjà.
Et c'est là que le RGPD entre en scène. Contrairement à ce qu'on lit souvent, le règlement n'interdit pas le retargeting. Il conditionne son fonctionnement. La CNIL est limpide : les cookies essentiels (authentification, panier, sécurité) ne réclament qu'une information, alors que les cookies publicitaires exigent un consentement préalable et positif. Pas d'opt-in explicite, pas de dépôt. Votre pixel de reciblage tombe dans la seconde catégorie, sans exception.
Ce que la CNIL exige, noir sur blanc#
J'ai vu trop de bannières cookies bricolées pour ne pas insister. Les règles sont écrites, elles sont publiques, et elles ne se négocient pas.
Premier point : la symétrie. La CNIL impose que l'utilisateur puisse « accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité ». Deux boutons, même niveau, même format, « tout accepter » et « tout refuser ». Si votre « refuser » est planqué derrière trois clics et un menu gris pâle, vous êtes hors des clous.
Deuxième point, celui qu'on oublie le plus : le refus par défaut. Toute action autre qu'une acceptation explicite, un silence, la fermeture de la bannière, un scroll, doit être considérée comme un refus. Le consentement implicite n'existe pas.
Troisième point, la durée. La CNIL recommande de conserver le choix de l'utilisateur, consentement comme refus, pendant six mois avant de le ressolliciter. Ni plus, ni moins. Ça pose au passage une vraie question opérationnelle sur la fenêtre de reciblage disponible.
Et pour ceux qui gèrent plusieurs écrans par internaute, il y a du nouveau. La délibération n°2025-131, adoptée le 18 décembre 2025 et publiée au Journal officiel le 18 janvier 2026, autorise un consentement unique pour tous les terminaux rattachés à un même compte utilisateur, à condition qu'il soit connecté. L'objectif affiché : limiter la fatigue du consentement, cette lassitude qui pousse les gens à cliquer « tout accepter » juste pour faire disparaître la fenêtre. Honnêtement, je ne sais pas encore si ça va vraiment réduire la friction ou juste déplacer le problème vers la page de login. On verra à l'usage.
Le RTB, cette machine invisible que peu de marketeurs comprennent#
Un détour technique, parce qu'on ne pilote pas ce qu'on ne comprend pas. Derrière une bonne partie du retargeting display se cache le Real-Time Bidding. La CNIL le définit comme « un type de publicité programmatique qui repose sur la mise aux enchères de chaque impression de manière indépendante ».
Le mécanisme, quand on le regarde de près, tient de la course contre la montre. Vous chargez une page avec un espace publicitaire. Cet espace part instantanément aux enchères auprès d'acheteurs potentiels, qui consultent des informations sur vous et votre profil publicitaire pour fixer leur mise. Le plus offrant remporte l'affichage. Le tout dure quelques centaines de millisecondes, le temps que la page finisse de s'afficher. Chaque impression display que vous voyez a fait l'objet d'une micro-enchère dont vous n'avez rien perçu. Quand j'explique ça en formation, il y a toujours un silence dans la salle.
Alors si les cookies tiers survivent, pourquoi tout le monde bascule vers la donnée first-party ? Parce que « ils ne disparaissent pas » ne veut pas dire « rien ne bouge ». Le programme Privacy Sandbox a été officiellement enterré en octobre 2025 après six ans de développement, plusieurs API abandonnées faute d'adoption. J'en parle plus en détail dans mon article sur le server-side tracking et la first-party data, parce que c'est là que se déplace vraiment le centre de gravité.
Google Customer Match illustre bien le virage. L'outil permet d'activer vos listes clients sur Search, l'onglet Shopping, YouTube, Gmail et Display. Mais attention aux garde-fous : les emails, prénoms, noms et téléphones doivent être hachés en SHA-256 avant l'upload, et une liste doit compter au moins 100 membres ajoutés ou mis à jour sur les 540 derniers jours pour rester éligible. Depuis début mars 2024, les listes Customer Match activées sur l'inventaire partenaire ou des places de marché tierces dans l'Espace économique européen (Royaume-Uni et Suisse inclus) ne sont plus disponibles pour le web et les applications. Seules les propriétés Google en propre restent ouvertes à la donnée first-party.
Côté cadre publicitaire, le Transparency and Consent Framework d'IAB Europe évolue aussi. La version 2.3 a été publiée le 19 juin 2025, avec une date limite d'adoption fixée au 28 février 2026. Et depuis la v2.2 de mai 2023, confirmé en v2.3, l'intérêt légitime n'est plus une base légale valable pour les finalités publicitaires : seul le consentement explicite permet désormais de cibler ou personnaliser une publicité. C'est un point que beaucoup d'annonceurs continuent d'ignorer, à leurs risques.
Un mot sur le fantasme du moment, le Digital Omnibus et son article 88a. Non, ce texte ne va pas supprimer le consentement publicitaire. Il n'est pas encore adopté, il est en cours de négociation, et sa liste de finalités dispensées de consentement vise la mesure d'audience agrégée en propre ou la sécurité. La publicité ciblée, elle, resterait soumise au consentement même si le texte passe en l'état. Ne bâtissez pas votre stratégie 2026 sur une loi qui n'existe pas.
Doser la pression, sans tomber dans le mythe#
Reste la question de la fréquence. On lit partout des règles gravées dans le marbre du genre « trois impressions par jour, dix par semaine ». Méfiance : ce sont des exemples indicatifs isolés, pas une norme du secteur. La seule référence un peu sérieuse que je connaisse reste une étude Nielsen de 2017, qui situait entre cinq et neuf expositions la zone où la résonance client augmentait de 51 %. Ancienne, encore citée, mais à prendre pour ce qu'elle est : une fourchette, pas une vérité universelle. Le bon plafonnement dépend de votre secteur, de votre objectif et de votre créa.
Meta, de son côté, allonge la laisse. À partir du 18 mai 2026, la rétention maximale des audiences personnalisées basées sur l'événement « Achat » passe de 180 jours à 730 jours, deux ans, avec migration automatique des audiences existantes sauf opt-out avant la date. Deux ans de fenêtre de reciblage sur un acheteur, ça change la maille de vos campagnes. En parallèle, le mode Advantage+ Audience laisse l'algorithme identifier les meilleurs convertisseurs à partir de l'historique et des signaux du Pixel, en supprimant les contraintes manuelles de ciblage.
Ma conviction, à froid : le retargeting de 2026 se joue moins sur la technologie que sur la propreté de votre chaîne de consentement. Une bannière conforme, une donnée first-party bien collectée, un plafonnement raisonnable. Le reste, c'est du bruit de fond. Si vous voulez creuser la mesure sans traceurs, jetez un œil à mon guide sur le privacy-first analytics, et pour l'articulation avec la conformité globale, RGPD et analytics fait le tour.
Sources#
- Google Privacy Sandbox : maintien des cookies tiers dans Chrome (22 avril 2025)
- CNIL : règles de conformité sur les cookies et traceurs
- CNIL : recommandations finales sur le consentement multi-terminaux
- CNIL : définition du Real-Time Bidding (RTB)
- Criteo : retargeting vs remarketing, la différence
- Google Ads Help : Customer Match, plateformes et conditions
- IAB Europe : transition vers le TCF v2.3
- Common Thread Co : extension de la rétention Meta à 730 jours
- Blog Droit Européen : la proposition Digital Omnibus et l'article 88a
- Nielsen (2017) : la fréquence publicitaire efficace




