Accueil
Blog
Les restrictions de mise en place du tracking par Apple
Mise en conformité

Les restrictions de mise en place du tracking par Apple

9
min de lecture
Publié le
6/11/2025
tracking apple
Contributeurs
Romain Trublard
Romain Trublard
TrackAnalyse
Partager

Apple a été le premier acteur majeur du web à placer la protection de la vie privée au cœur de sa stratégie. Bien avant la vague RGPD et la disparition annoncée des cookies tiers, la marque à la pomme avait déjà enclenché un mouvement de fond : réduire les capacités de suivi des utilisateurs.

Depuis près de vingt ans, les équipes marketing et data voient donc leurs outils d’attribution, d’analyse et de tracking évoluer au rythme des décisions d’Apple. Retour sur les grandes étapes de cette révolution, de Safari à iOS 14.5, puis jusqu’à iOS 16.4. Avec pour chaque avancée importante un vrai point d’étape sur les solutions tracking et analytics mises en place.

Une première étape dès 2005 (!!)

Dès 2005, Safari devient le premier navigateur à bloquer par défaut les cookies tiers. Cette décision, passée relativement inaperçue à l’époque, marque pourtant une rupture fondamentale : alors que l’écosystème publicitaire repose presque exclusivement sur les cookies tiers utilisés pour suivre la navigation des internautes, Apple prend une première décision forte.

En pratique, la mise en place de cette mesure signifie que les régies et plateformes de tracking ne peuvent plus « suivre » un internaute de site en site à travers les cookies tiers. Les premières versions de Safari ont donc réduit, avant tout le monde, la capacité de cibler et de mesurer précisément les campagnes.

Cette orientation, longtemps isolée, deviendra pourtant la norme : Firefox, Brave et d’autres suivront le mouvement des années plus tard. Pour Apple, c’est le début d’une longue histoire d’ajustements techniques visant à restreindre les pratiques intrusives sans altérer l’expérience utilisateur. 

IOS 14.5, un tournant en 2021

Si Apple a toujours limité le tracking sur Safari, c’est iOS 14.5, sorti en 2021, qui a véritablement bouleversé l’écosystème publicitaire.Avec la mise à jour iOS 14.5, deux dispositifs sont venus durcir les règles :

  • ATT (App Tracking Transparency), côté applis, qui oblige les applications à demander explicitement à l’utilisateur s’il accepte d’être suivi ;
  • ITP (Intelligent Tracking Prevention), côté web, qui encadre toujours plus strictement la durée de vie et la portée des cookies.

La combinaison des deux a eu un effet majeur sur la mesure des performances publicitaires.
Avant iOS 14.5, lorsqu’un internaute cliquait sur une publicité Meta Ads ou Google Ads via un outil de la suite Apple, la plateforme déposait via le pixel ou la balise un cookie dit « first party ». Ce cookie servait à reconnaître l’utilisateur et à attribuer une conversion à une source.

Mais en 2021, Apple a mis en place de nouvelles règles qui ont profondément restreint le fonctionnement des cookies.

Depuis, tous les cookies créés via JavaScript sont concernés : leur durée de vie dépend de la provenance du trafic. Ainsi, lorsqu’un cookie est associé à une source publicitaire — comme un clic provenant d’une régie ou d’un lien comportant des paramètres UTM — sa durée est limitée à 24 heures. Pour les visites dites « naturelles » (SEO, accès direct, etc.), cette durée peut aller jusqu’à 7 jours maximum.

Seuls les cookies HTTP échappent à ces restrictions.

Résultat :

  • Les plateformes comme Meta Ads ou Google Ads ont perdu une grande partie de leur capacité à attribuer correctement les conversions ;
  • Les solutions analytiques ont vu une explosion artificielle des « nouveaux utilisateurs » ;
  • Les CMP (Consent Management Platforms) se redéclenchent fréquemment, puisque les cookies de consentement expirent eux aussi plus vite.

iOS 14.5 a donc marqué la fin d’une ère : celle du tracking web « persistant ».

Face à IOS 14.5, la solution server side

Pour « contourner » ces restrictions, la solution réside dans la mise en place d’une nouvelle approche : le server-side tracking. L’idée est simple : plutôt que de laisser le navigateur (et donc Apple) gérer la création et la durée de vie des cookies, on transfère une partie du travail côté serveur.

Les cookies peuvent alors être écrits par le serveur via le protocole HTTP, et non par du JavaScript exécuté dans le navigateur. Comme ces cookies sont considérés comme plus « techniques » (liés à la sécurité ou au fonctionnement du site), ils échappent alors aux limites imposées par ITP.

Cette approche a connu un essor rapide :

  • Google a lancé GTM Server-Side ;
  • Meta a renforcé sa Conversions API ;
  • De nombreuses solutions comme Addingwell proposent désormais des passerelles hybrides.

Bon à savoir : le tracking server-side ne sert pas seulement à contourner les blocages : il sert alors aussi d’améliorer la vitesse de chargement, la fiabilité des données et la conformité RGPD (en maîtrisant ce qui transite). 

IOS 16.4, une nouvelle mise en place d’Apple pour la protection des données

En mars 2023, Apple déploie iOS 16.4 — et avec lui, une nouvelle itération d’ITP. Jusque-là, les cookies déposés par un serveur « first-party » pouvaient conserver une durée de vie normale. Désormais, Safari vérifie l’adresse IP du serveur qui écrit le cookie :

  • Si l’IP correspond à celle du site, le cookie est conservé ;
  • Si elle diffère de plus de 50 %, le cookie est considéré comme suspect et sa durée de vie tombe à 1 jour ou 7 jours maximum.

Concrètement, cela signifie que les serveurs de tracking externes — souvent hébergés sur des infrastructures distinctes (AWS, Cloud, etc.) — ne peuvent plus définir de cookies longue durée au nom d’un site. Cette mise à jour a de nouveau rebattu les cartes : les stratégies server-side « classiques » sont encore intéressantes mais ne suffisent plus à collecter l’ensemble des données. Il faut désormais s’assurer que le serveur de tracking partage la même IP ou du moins la même zone réseau que le site web concerné.

Évolution du tracking par Apple

Pour contourner cette nouvelle contrainte, les spécialistes du tracking ont mis en place une solution : le reverse proxy. Si vous n’en avez jamais entendu parler, lisez bien attentivement ce qui suit. L’objectif est de faire transiter le serveur de tracking et celui du site par une même adresse IP. À l’aide d’un reverse proxy (comme Cloudflare, par exemple), le trafic entre le visiteur et le serveur est redirigé de façon à ce que Safari perçoive l’ensemble comme provenant d’une seule et même source. Résultat : les cookies ne sont plus raccourcis.

Cette approche demande une grande rigueur : gestion de la conformité, sécurité, scalabilité et documentation doivent impérativement être mis en place.

Fonctionnement du reverse proxy

Le lien avec le server-side

La frontière entre le server-side et le reverse proxy n’est pas évidente pour les non-initiés. En pratique, beaucoup d’entreprises combinent les deux :

  1. Le tracking s’effectue côté serveur (pour fiabiliser la collecte) ;
  2. Le reverse proxy assure la cohérence IP pour éviter la purge des cookies.

Cependant, Safari va encore plus loin : en navigation privée, certains scripts comme Google Tag Manager sont désormais bloqués en amont, empêchant même le chargement du conteneur. Cela complique encore davantage la collecte : les paramètres de clics (gclid, fbclid, UTM) disparaissent, rendant l’attribution quasiment impossible sur ces sessions.

La seule parade consiste alors à utiliser des API de conversion avancées : lorsqu’un utilisateur remplit un formulaire ou passe commande, certaines plateformes peuvent rapprocher les informations (comme l’email, anonymisé et haché) avec leurs bases pour reconstituer une attribution probabiliste. Mais dans l’ensemble, la navigation privée reste un angle mort difficilement contournable.

Et demain ? iOS 26 et au-delà

Les rumeurs récentes évoquent déjà la prochaine étape : l’extension de ces blocages au mode de navigation classique. Autrement dit, les règles de suppression des cookies appliquées aujourd’hui en navigation privée pourraient bientôt s’appliquer à toutes les sessions. Ce serait un tournant majeur : la fin définitive des cookies, qu’ils soient tiers ou first-party prolongés artificiellement.

Si cette hypothèse se confirme, l’industrie devra une fois encore s’adapter :

  • Vers la fin du suivi par UTM ? Les paramètres UTM (utm_source, utm_medium, etc.) apparaissent directement dans les URL, ce qui les rend faciles à détecter et à bloquer. Certains experts évoquent déjà l’émergence d’un nouveau format, les UTN, des identifiants temporaires reconstruits côté serveur à partir d’un ID unique, plus discrets et plus résistants aux filtres.
  • Une refonte du suivi publicitaire. Les plateformes devront s’appuyer davantage sur des identifiants sécurisés et déclaratifs — comme les connexions utilisateurs —, sur des API de conversion et sur la modélisation statistique pour combler les zones d’ombre laissées par la disparition des cookies.
  • Une attribution repensée. L’attribution ne reposera plus sur un simple lien entre clic et conversion, mais sur des corrélations alimentées par des signaux anonymisés et des modèles d’apprentissage.

Ce scénario reste à confirmer, mais la tendance est claire : Apple continue de durcir les règles du jeu, poussant tout l’écosystème à concevoir des méthodes de mesure plus transparentes, plus éthiques et réellement respectueuses de la vie privée.

Comment s’adapter dès aujourd’hui ?

Face à ces évolutions successives, la meilleure stratégie reste l’anticipation. Voici quelques bonnes pratiques concrètes :

  1. Mettre le consentement au centre. S’assurer que la CMP déclenche correctement les balises, en fonction du choix réel de l’utilisateur. Un tracking sans consentement explicite est désormais aussi risqué qu’inefficace.
  2. Adopter un server-side conforme. Utiliser le server-side pour fiabiliser la donnée, pas pour la cacher.
  3. Diversifier les signaux d’attribution. Intégrer les API de conversion (Facebook, Google, TikTok), les IDs déclaratifs (emails hachés, logins), et la modélisation statistique pour compléter les données manquantes.
  4. Surveiller les évolutions. Chaque version d’iOS et de Safari apporte son lot de changements. Tenez-vous au courant des évolutions !
  5. Faire appel à une agence de tracking server-side dédiée. Le tracking et la webanalytics représentent des enjeux conséquents : faites-vous accompagner pour avoir une longueur d’avance sur vos concurrents.

En conclusion

Ce qu’Apple a enclenché il y a vingt ans avec Safari est devenu une lame de fond. Ce n’est plus un simple durcissement technique : c’est une redéfinition complète de la webanalyse.

Aujourd’hui, les solutions existent — server-side, reverse proxy, conversions API, modélisation — mais elles ne doivent pas être vues comme des échappatoires. Elles représentent une nouvelle façon d’envisager la donnée : plus sobre, plus maîtrisée, plus éthique.

Découvrez aussi

Vous souhaitez en savoir plus sur le tracking et la webanalyse ? Ces articles pourraient vous intéresser.

Voir tout
google consent mode

Maîtrisez (enfin) le Google Consent Mode de A à Z

Cadre légal, implémentation et traitement des données : retrouvez tout ce que vous devez savoir sur le Google Consent Mode.
Lire plus
View all