L'empreinte numérique du navigateur n'a pas besoin de cookies — et les régulateurs rattrapent leur retard
Le Règlement général sur la protection des données de l'UE et le California Consumer Privacy Act ont été largement rédigés en pensant aux cookies. Les deux exigent un consentement pour les cookies de suivi, accordent aux utilisateurs des droits de suppression et imposent des sanctions importantes en cas de non-conformité. L'infrastructure de conformité qui a suivi — bannières de cookies, plateformes de gestion du consentement, mécanismes d'opt-out — a créé un cadre visible, bien qu'imparfait, pour le suivi par cookies.
L'empreinte numérique du navigateur opère presque entièrement en dehors de ce cadre. Elle ne stocke rien sur l'appareil de l'utilisateur. Il n'y a pas de cookie à supprimer, pas de fichier à effacer. Le mode de navigation privée n'aide pas. Le blocage des cookies tiers n'a aucun effet. Les données utilisées pour construire une empreinte sont inhérentes au navigateur lui-même — la combinaison de la version du navigateur, du système d'exploitation, des polices installées, du matériel graphique, de la résolution d'écran, du fuseau horaire, des paramètres de langue et des dizaines d'autres attributs lisibles via les API JavaScript standard. Chaque attribut pris isolément est anodin. Combinés, ils sont souvent suffisamment uniques pour identifier un utilisateur spécifique à travers les sessions et les sites, sans aucun identifiant persistant stocké sur son appareil.
Comment fonctionne l'empreinte numérique en pratique
La technique centrale repose sur le fait que les API JavaScript conçues pour le développement web légitime exposent également des caractéristiques matérielles et logicielles uniques. L'objet navigator renvoie la version du navigateur, la plateforme et la liste des plugins. Le Canvas fingerprinting rend une image cachée via l'API Canvas et hache le résultat — car différents pilotes graphiques rendent la même image avec des différences subtiles au niveau des pixels, le hachage sert d'identifiant matériel. Le WebGL fingerprinting fait de même via le rendu 3D. L'AudioContext fingerprinting génère un son synthétique et hache la sortie traitée, qui varie selon le matériel audio et la pile audio du système d'exploitation.
Une empreinte complète combine 30 à 50 de ces attributs. Des recherches du projet Panopticlick de l'EFF ont montré que plus de 99% des navigateurs étaient identifiables de manière unique avec ces techniques lorsque l'énumération complète des polices était disponible. FingerprintJS revendique une précision d'identification supérieure à 99,5% avec une exécution JavaScript complète. Même avec du bruit ajouté par les navigateurs axés sur la vie privée, une empreinte basée sur suffisamment d'attributs peut identifier un visiteur de retour avec une grande fiabilité — souvent plus fiable qu'un cookie, car les cookies peuvent être supprimés alors que les caractéristiques du navigateur restent généralement stables jusqu'à une mise à jour logicielle.
Pourquoi les régulateurs peinent à le contrôler
La définition des données personnelles du RGPD couvre toute information permettant d'identifier une personne physique. Une empreinte numérique de navigateur entre clairement dans cette catégorie. L'ICO et la CNIL ont toutes deux publié des lignes directrices indiquant que l'empreinte numérique du navigateur est soumise aux exigences de consentement du RGPD. La CNIL a infligé une amende de 200 000 € à la société d'analyse française Eulerian Technologies en 2022, en partie pour avoir utilisé l'empreinte numérique sans consentement. Mais par rapport aux actions de contrôle sur le consentement aux cookies, les cas d'empreinte numérique sont rares.
Plusieurs facteurs expliquent ce décalage. Premièrement, les capacités de contrôle sont limitées, et les violations liées aux cookies sont plus faciles à détecter et à signaler — les utilisateurs voient la bannière. L'empreinte numérique est invisible ; son contrôle nécessite une enquête technique que la plupart des plaignants ne peuvent pas mener. Deuxièmement, la distinction juridique entre l'empreinte numérique pour la prévention de la fraude et celle pour le suivi comportemental est véritablement floue. Les cookies strictement nécessaires sont exemptés des exigences de consentement, et de nombreuses entreprises soutiennent que l'empreinte numérique pour la détection de bots ou la sécurité relève d'une exemption similaire. Troisièmement, la plupart des éditeurs mettent en œuvre l'empreinte numérique via des scripts tiers intégrés — fournisseurs d'analyse, réseaux publicitaires — où l'éditeur peut ne pas comprendre pleinement quelles données ces scripts collectent. La responsabilité est diffuse, ce qui complique les actions de contrôle contre une seule partie.
Où l'empreinte numérique apparaît réellement
L'empreinte numérique n'est pas principalement le domaine des sites manifestement malveillants. Le produit commercial de FingerprintJS est utilisé par les grandes banques, les compagnies aériennes et les plateformes de commerce électronique pour la prévention de la fraude et la sécurité des sessions — des utilisations légitimes où l'identification des utilisateurs de retour empêche la prise de contrôle de comptes. La même API est également utilisée par les réseaux publicitaires pour le suivi intersites sans consentement et pour reconstruire les profils utilisateur après la suppression des cookies.
Les scripts de synchronisation de cookies ajoutent une autre couche. Un éditeur peut bloquer les cookies tiers sur son propre site tout en hébergeant un script qui synchronise les empreintes numériques du navigateur avec les identifiants de cookies d'un réseau publicitaire pour le suivi interdomaines. Le résultat est que le blocage des cookies atteint moins que ce que les utilisateurs attendent, car l'empreinte fournit l'identifiant persistant que le cookie fournissait auparavant.
Les atténuations au niveau du navigateur et leurs limites
Les navigateurs ont ajouté des protections contre l'empreinte numérique, mais elles sont partielles. L'Intelligent Tracking Prevention de Safari limite l'accès à certaines API tierces. La protection renforcée contre l'empreinte numérique de Firefox ajoute du bruit aux résultats Canvas et WebGL — assez pour déjouer les scripts simples mais pas les systèmes sophistiqués qui collectent suffisamment d'attributs supplémentaires pour compenser. L'approche Privacy Sandbox de Chrome traite les cookies tiers mais n'élimine pas le suivi basé sur l'empreinte numérique.
Le Tor Browser offre la protection la plus complète en homogénéisant délibérément les attributs d'empreinte : la résolution d'écran est arrondie, l'énumération des polices est bloquée, les résultats Canvas sont randomisés par site. Le compromis est une dégradation significative de l'utilisabilité et un signalement par les systèmes de détection de bots. Pour les utilisateurs qui souhaitent une protection sérieuse sans le niveau de friction de Tor, Firefox avec une protection stricte contre l'empreinte numérique plus uBlock Origin en mode avancé, ou le Brave browser avec sa randomisation intégrée de l'empreinte, offre la meilleure combinaison grand public disponible. Aucune configuration n'empêche toute empreinte numérique de la part d'un traqueur suffisamment déterminé.
La direction réglementaire
Le mouvement de contrôle le plus significatif ne passe pas par des cas dédiés à l'empreinte numérique mais par des opérations de contrôle plus larges sur le suivi sans cookies. La CNIL française a mené des actions coordonnées en 2025 ciblant l'empreinte numérique et le suivi par pixels aux côtés des cookies, les traitant comme une stratégie d'évasion coordonnée. Le DSK allemand a publié des lignes directrices indiquant que les règles ePrivacy s'appliquent à tout mécanisme de suivi qui lit les caractéristiques de l'appareil — y compris les empreintes dérivées des propriétés du navigateur.
Si cette interprétation devient cohérente dans tous les États membres de l'UE, l'empreinte numérique sera soumise à la même obligation de consentement que les cookies — nécessitant un opt-in affirmatif pour les utilisations de suivi comportemental. L'industrie publicitaire observe de près : l'empreinte numérique est de plus en plus le recours pour le ciblage comportemental intersites alors que les cookies tiers achèvent leur phase de suppression dans Chrome. La perdre au profit du contrôle du RGPD nécessiterait de reconstruire l'infrastructure de la publicité comportementale autour d'identifiants véritablement basés sur le consentement, et non pas simplement d'échanger un identifiant persistant contre un autre.
L'écart entre ce que l'empreinte numérique du navigateur peut faire et ce que la régulation contraint actuellement reste large — mais il se réduit grâce à des contrôles coordonnés, des directives réglementaires plus claires, et les fournisseurs de navigateurs qui ferment progressivement les API permettant les empreintes les plus fiables. Les utilisateurs qui souhaitent une protection maintenant ont de meilleures options qu'il y a deux ans. Ceux qui attendent que la régulation résolve le problème attendent probablement plus longtemps qu'ils ne le pensent.