Notre éditeur humain nous a soumis ce sujet avec l’air de quelqu’un qui vient de fermer dix-sept onglets, quatre popups de consentement et une demande de notification d’un site qu’il ne revistera jamais. On comprend la frustration. Les trackers des sites d’information ont transformé la lecture des titres du matin en exercice de tolérance à la surveillance.
Le site d’information moderne ne se comporte pas comme un document que l’on consulte. Il se comporte comme un logiciel que l’on exécute. Les trackers suivent vos mouvements de souris, déposent des dizaines de cookies avant que vous ayez terminé le premier paragraphe, envoient des requêtes aux serveurs publicitaires de trois continents, et demandent parfois l’accès à votre position, votre caméra ou votre système de notifications pour des raisons que personne ne sait expliquer clairement. Si vous décriviez ce comportement dans un fichier téléchargé depuis une pièce jointe, vous appelleriez ça un malware. Quand un site d’information fait la même chose, on appelle ça « l’expérience utilisateur ».
Les trackers des sites d’information en chiffres
Le sentiment que les sites web sont devenus pires n’est pas de la nostalgie. Les données le confirment. Selon le Web Almanac 2025 de HTTP Archive, la page web médiane pèse désormais 2,9 Mo sur ordinateur, soit une hausse de 7,3 % d’une année sur l’autre. En quatorze ans, le poids médian d’une page a été multiplié par 5,7. La page moyenne effectue désormais environ 299 requêtes avant la fin de son chargement, selon le rapport de performance web 2025 d’AdGuard. Près de la moitié de ces requêtes ne concernent pas le contenu que vous êtes venu lire.
Une enquête de Press Gazette menée en 2022 a analysé 3 838 des sites d’information les plus populaires au monde et a constaté que le site moyen intégrait des codes de suivi provenant de 17 entreprises différentes. Certains étaient bien pires. L’Ipswich Star embarquait 82 trackers. PinkNews en comptait 76. Le Washington Times accordait l’accès aux données de ses lecteurs à au moins 57 sociétés publicitaires. Sur l’ensemble de l’échantillon, les chercheurs ont identifié 914 entreprises de tracking distinctes.
Les trackers de Google apparaissaient sur 97,6 % des sites d’information analysés. Le pixel de suivi de Facebook était présent sur 50,4 %. Oracle, une entreprise que la plupart des lecteurs n’ont jamais consciemment côtoyée, pistait les visiteurs sur 46,4 % des sites d’information. Ce n’est pas de la « personnalisation ». Les trackers des sites d’information sont une industrie à part entière.
Ce qu’ils font vraiment (et pourquoi ça ressemble à un malware)
Un vrai malware fait quelques choses précises : il exécute du code que vous n’avez pas autorisé, collecte des informations que vous n’avez pas consenti à partager, communique avec des serveurs tiers à votre insu et dégrade les performances de votre appareil. Les sites d’information modernes font les quatre.
L’analyse de Press Gazette a révélé que 11,3 % des sites d’information utilisaient des outils d’enregistrement de sessionTechnologie de suivi qui enregistre et rejue la session complète d'un utilisateur, y compris les clics, défilements, entrées de formulaire, mouvements de souris et (dans certaines implémentations) les données de frappe., qui rejouent vos clics, défilements et mouvements de souris pour analyse ultérieure. 2,6 % d’entre eux (environ 100 sites) employaient du keylogging, capturant chaque frappe au clavier du visiteur. Environ 10 % utilisaient le canvas fingerprinting, une technique qui identifie votre appareil précis en exploitant de subtiles différences de rendu dans le moteur graphique de votre navigateur. Des recherches publiées en 2024 ont montré que 89,4 % des empreintes de navigateur étaient uniques, ce qui signifie que la technique peut identifier des utilisateurs individuels sans cookies, sans connexion ni aucune forme de consentement explicite.
Les données d’AdGuard montrent que les trackers publicitaires représentent désormais 7,84 % de l’ensemble du trafic web mondial, un chiffre en progression constante d’année en année. Dans certaines régions, il est nettement plus élevé : 12 % en Inde, 10 % en Corée du Sud. Ce pourcentage ne représente pas du contenu. Il représente l’infrastructure de surveillance qui voyage avec le contenu que vous avez demandé.
Le théâtre du consentement
Si le tracking était transparent, il serait au moins honnête. L’industrie a au contraire construit un système élaboré de popups de consentement spécifiquement conçus pour vous faire accepter des choses que vous refuseriez si le choix vous était présenté équitablement.
Une étude de référence présentée à la conférence CHI 2020 par Nouwens et al. a révélé que seulement 11,8 % des plateformes de gestion du consentement répondaient aux exigences minimales du RGPD. Parmi celles analysées, 89 % des textes de bandeaux de consentement ne décrivaient pas fidèlement les traitements de données effectués. Plus de 56 % des sites précochaient les catégories de tracking optionnelles, enrôlant les utilisateurs dans la surveillance avant même qu’ils aient fait le moindre choix.
La manipulation est quantifiée : supprimer le bouton « refuser » de la première page d’un popup de consentement augmente les taux de consentement de 22 à 23 points de pourcentage. Les dark patternsChoix de conception d'interface délibérément trompeurs qui poussent l'utilisateur à des actions non souhaitées, comme des frais cachés, des boutons confus ou des options de désinscription difficiles à trouver. agressifs (couleurs trompeuses, options cachées, formulations confuses) augmentaient les taux d’acceptation de 371 % par rapport à une présentation neutre, selon une recherche de 2025 publiée dans le Journal of Advertising.
NOYB, l’organisation européenne de protection de la vie privée, a déposé plus de 500 plaintes contre des bandeaux de cookies trompeurs. Leur analyse a révélé que 81 % des sites ciblés n’offraient pas d’option « refuser » sur la page initiale, 73 % utilisaient des couleurs trompeuses pour orienter les utilisateurs vers « accepter », et 90 % ne proposaient aucun moyen de retirer facilement son consentement après l’avoir accordé.
Le popup de consentement ne vous protège pas des trackers des sites d’information. C’est un entonnoir de conversion conçu pour garantir leur déploiement.
La taxe sur les performances
Toute cette surveillance a un coût. Il se paie en temps, en bande passante et en autonomie de votre appareil.
Les tests de performance 2025 d’AdGuard ont révélé que le site d’information moyen se chargeait en 11,3 secondes sans bloqueur de publicités. Avec un bloqueur activé, le temps de chargement tombait à 6,2 secondes, soit une amélioration de 45 %. Le bloqueur réduisait le nombre de requêtes par page de 299 à 145, et diminuait la consommation totale de bande passante de 38,8 %. Sur 119 sites testés, il économisait 267 Mo de données, soit environ 2,2 Mo par site.
En annualisant, AdGuard estime que les trackers et publicités des sites d’information coûtent à l’utilisateur moyen environ 80 Go de bande passante et 52 heures d’attente par an. C’est plus de deux jours pleins de votre vie, chaque année, passés à attendre que des logiciels que vous ne vouliez pas finissent de s’exécuter.
L’ironie est commerciale. Une étude menée auprès d’un grand éditeur américain a montré que chaque seconde supplémentaire de temps de chargement coûtait 3 % des recettes publicitaires. L’infrastructure de tracking censée maximiser les revenus publicitaires dégrade activement les performances qui rendent ces revenus possibles. Le système se ronge lui-même.
L’arnaque des notifications
Les notifications push du navigateur représentent la catégorie la plus éhontée du comportement « site-web-comme-malware ». Vous visitez un site pour la première fois. Avant d’avoir lu un seul mot, il vous demande s’il peut vous envoyer des notifications. Si vous cliquez sur « Autoriser » par accident ou délibérément, vous avez accordé à ce site un accès permanent pour vous envoyer des messages sur votre bureau, même quand votre navigateur est fermé.
Malwarebytes a documenté comment les permissions de notifications push ont été systématiquement détournées par des opérations d’arnaque qui déguisent la demande de permission en CAPTCHA, en condition requise pour lire une vidéo ou en vérification de sécurité. Une fois accordées, ces permissions servent à pousser de fausses alertes de sécurité, des liens de phishing et des invitations à télécharger des malwares. En novembre 2025, Malwarebytes a identifié « Matrix Push C2 », un service commercial permettant aux attaquants d’utiliser les notifications navigateur comme canal de commande et contrôle, envoyant des alertes conçues pour ressembler à des avertissements du système d’exploitation.
La version légitime du même comportement (les sites d’information qui demandent à vous envoyer des notifications) ne se distingue de la version frauduleuse que par les degrés, non par la nature. Les deux exploitent une fonctionnalité de navigateur mal conçue pour s’insérer dans votre attention en dehors du contexte où vous avez choisi de les consulter.
Pourquoi en est-on arrivé là
La réponse courte : l’économie publicitaire. La réponse longue implique un problème structurel qui s’est accéléré depuis deux décennies.
La publicité numérique fonctionne sur un modèle au coût par impression qui rémunère des fractions de centime par vue. Pour générer des revenus significatifs à partir de fractions de centime, les éditeurs ont besoin de volumes considérables d’impressions. Pour obtenir ces volumes, ils remplissent les pages d’emplacements publicitaires. Pour rendre ces emplacements attractifs aux annonceurs, ils collectent un maximum de données sur chaque visiteur. Pour collecter ces données, ils intègrent des dizaines de scripts de tracking. Ces scripts ralentissent la page, ce qui pousse les utilisateurs à installer des bloqueurs, ce qui réduit le nombre d’impressions, ce qui déprime encore les revenus, ce qui incite à un tracking encore plus agressif sur les visiteurs restants non bloqués.
Ce n’est pas un échec de marché. C’est le marché qui fonctionne exactement comme prévu. Le produit n’est pas l’article. Le produit, ce sont les données comportementales et l’attention du lecteur. L’article n’est que l’appât.
La dégradation de l’intention utilisateur sur les grandes plateformes obéit à la même logique : chaque fonctionnalité qui servait à l’origine l’utilisateur est progressivement réorientée pour servir l’annonceur. Ce qui distingue les sites d’information, c’est qu’ils ont hérité de la forme structurelle du journalisme (titres, signatures, paragraphes) tout en remplaçant sa fonction économique par quelque chose qui ressemble davantage à une opération de collecte de données affichant accessoirement du texte.
L’anatomie technique d’une page d’actualité moderne
Ouvrez les outils de développement de votre navigateur sur n’importe quel grand site d’information et regardez l’onglet Réseau. Ce que vous verrez n’est pas une page web qui se charge. C’est une chaîne d’approvisionnement qui s’active.
Une page d’actualité typique en 2025 effectue environ 299 requêtes HTTP avant la fin de son rendu, selon les tests d’AdGuard. Avec un bloqueur, ce chiffre tombe à 145. La différence, ces 154 requêtes, représente l’infrastructure de tracking et de publicité : enchères en temps réel, appels de synchronisation de cookies, pixels balises, pings analytiques et bundles JavaScript tiers qui chargent leurs propres dépendances tierces dans une chaîne de délégation pouvant atteindre cinq ou six couches de profondeur.
Les données 2025 de HTTP Archive indiquent un poids médian de page sur ordinateur de 2,9 Mo, avec une médiane de 23 fichiers JavaScript chargés. Pour les sites d’information spécifiquement, la charge utile JavaScript est souvent le principal coût de performance, car les scripts ad tech sont gourmands en exécution : ils organisent des enchères (header bidding via Prebid.js ou équivalent), affichent des iframes, manipulent le DOM, déclenchent des balises de tracking et exécutent des routines de fingerprinting, tout cela avant que le lecteur n’ait fait défiler la page au-delà du titre.
Trackers des sites d’information : la pile technique décortiquée
Une analyse de Press Gazette portant sur 3 838 sites d’information a identifié 914 entreprises de tracking distinctes. Le site d’information moyen intégrait du code provenant de 17 d’entre elles. Les pires dépassaient 80. Voici ce qu’ils font réellement :
Synchronisation des cookies. Lorsque vous visitez un site d’information, le tracker A dépose un cookie avec votre identifiant dans son système. Le tracker B fait de même. Puis A et B échangent un « sync pixel », une minuscule requête invisible qui associe votre identifiant dans le système A à celui dans le système B. C’est ainsi que votre profil de navigation est unifié entre des entreprises qui n’ont individuellement jamais collecté suffisamment de données pour vous identifier. La présence des trackers de Google sur 97,6 % des sites d’information fait de l’entreprise l’identifiant universel de facto.
Enchères en temps réel (RTB). Lorsque vous chargez une page avec des publicités programmatiques, votre appareil envoie une demande d’enchère à une plateforme d’échange publicitaire. Cette demande comprend votre localisation (approximative ou précise), le type d’appareil, le navigateur, le système d’exploitation, la résolution d’écran et souvent un profil comportemental basé sur des cookies. Elle est diffusée simultanément à des dizaines de plateformes côté acheteur. Chacune reçoit vos données. Toutes ne remportent pas l’enchère. Toutes conservent les données. Un seul chargement de page peut diffuser votre profil à plus de 100 entreprises dans le temps qu’il faut à la page pour s’afficher.
Fingerprinting du navigateur. Avec les cookies de plus en plus bloqués par les navigateurs et la législation, l’industrie s’est tournée vers le fingerprinting. Le canvas fingerprinting affiche des graphiques invisibles et exploite des différences de rendu spécifiques au matériel pour générer un identifiant d’appareil. Le WebGL fingerprinting fait de même via le rendu 3D, capturant des signatures GPU spécifiques. L’audio fingerprinting utilise l’API AudioContext. Combinées, ces techniques produisent des identifiants uniques dans 89,4 % des cas, sans rien stocker sur votre appareil. On ne peut pas effacer une empreinte comme on efface des cookies.
Enregistrement de sessionTechnologie de suivi qui enregistre et rejue la session complète d'un utilisateur, y compris les clics, défilements, entrées de formulaire, mouvements de souris et (dans certaines implémentations) les données de frappe.. Des services comme Hotjar, FullStory et Mouseflow enregistrent l’intégralité de votre session : chaque clic, défilement, mouvement de souris et interaction avec un formulaire. Press Gazette en a trouvé sur 11,3 % des sites d’information. Certains de ces outils capturent également les frappes au clavier, présents sur 2,6 % des sites. Si vous commencez à taper un commentaire, une requête de recherche ou, dans les pires implémentations, un mot de passe, ces données peuvent être capturées et transmises à un serveur tiers avant même que vous n’ayez cliqué sur « envoyer ».
Les bandeaux de consentement comme infrastructure de dark patternsChoix de conception d'interface délibérément trompeurs qui poussent l'utilisateur à des actions non souhaitées, comme des frais cachés, des boutons confus ou des options de désinscription difficiles à trouver.
Le Règlement général sur la protection des données (RGPD) exige un consentement éclairéUne exigence éthique et légale en recherche selon laquelle les participants doivent être pleinement informés sur la nature, les risques, les avantages et les procédures d'une étude, et doivent accepter volontairement de participer sans coercition ni déformation. Un principe clé de l'éthique de la recherche. et librement donné pour tout traitement de données non essentiel. Ce que l’industrie a construit en réponse est un cours magistral en conception d’interface adversariale.
Les plateformes de gestion du consentement (CMPs) comme OneTrust, Cookiebot et TrustArc sont vendues aux éditeurs comme des outils de conformité. En pratique, une recherche publiée à CHI 2020 a révélé que seulement 11,8 % des implémentations de CMP répondaient aux exigences minimales du RGPD. Le schéma dominant : un grand bouton « Tout accepter » aux couleurs vives, associé à un petit lien « Gérer les préférences » gris et difficile à trouver, menant à une page de paramètres en plusieurs étapes où chaque catégorie de tracking est précochée, et où le bouton « Tout refuser » (s’il existe) est enfoui en bas de page.
La campagne de NOYB, forte de plus de 500 plaintes contre des bandeaux trompeurs, a constaté que 81 % des sites ciblés n’avaient pas d’option « refuser » sur la première page et que 73 % utilisaient des contrastes de couleurs trompeurs. Résultat : des taux de consentement qui seraient à un chiffre avec une conception honnête sont gonflés à 40 % ou plus grâce à des techniques quantifiées comme une augmentation de 371 % par rapport à la ligne de base.
Techniquement, de nombreuses implémentations violent également le RGPD en déclenchant des scripts de tracking avant l’obtention du consentement. Une analyse de conformité de 2026 a révélé que 67 % des implémentations du Consent Mode v2 présentaient des erreurs techniques, avec un écart significatif entre ce que le bandeau de consentement prétendait faire et ce que le site faisait réellement avant que l’utilisateur ne clique sur quoi que ce soit.
Ce que bloquent réellement les bloqueurs de publicités
Le rapport AdGuard 2025 fournit la quantification la plus claire de la surcharge ressemblant à un malware. Tests portant sur 119 sites web :
- Temps de chargement moyen sans bloqueur : 11,3 secondes. Avec bloqueur : 6,2 secondes (45 % plus rapide).
- Requêtes moyennes par page sans bloqueur : 299. Avec bloqueur : 145 (réduction de 51 %).
- Bande passante totale économisée : 267 Mo sur l’ensemble du test, soit 2,2 Mo par site (réduction de 38,8 %).
- 276 trackers uniques détectés, se connectant à 829 domaines de tracking distincts.
- 97 % des sites testés se connectaient à des trackers appartenant à Google.
En annualisant, AdGuard estime le coût des trackers et publicités des sites d’information à 80 Go de bande passante et 52 heures d’attente par utilisateur et par an. Un bloqueur de publicités n’est pas un bloqueur de publicités. C’est un outil de suppression de malwares qui bloque aussi les publicités.
L’économie perverse
Le cycle tracking-pub-tracking se renforce et se détruit lui-même. Des recherches de performance sur un grand éditeur américain ont montré que chaque seconde supplémentaire de temps de chargement réduisait les revenus publicitaires de 3 %. Les scripts de tracking censés maximiser les revenus publicitaires ajoutent des secondes de chargement qui réduisent directement ces revenus. La réponse de l’industrie n’a pas été de réduire le tracking, mais d’en ajouter davantage pour mesurer pourquoi le premier cycle ne performait pas suffisamment.
Les données mondiales d’AdGuard montrent que la part de trafic des trackers progresse d’année en année, atteignant 7,84 % de l’ensemble du trafic web en 2024. La tendance est à plus de tracking, pas moins, malgré la pression réglementaire, malgré les restrictions des navigateurs sur les cookies tiers et malgré le coût de performance mesurable. L’explication est structurelle : les entreprises qui profitent du tracking sont les mêmes qui contrôlent les plateformes publicitaires, les outils d’analyse, les systèmes de gestion du consentement et, dans le cas de Google, le navigateur lui-même. La tendance des entreprises à construire l’infrastructure réglementaire qui régit leur propre secteur n’est pas propre à l’ad tech, mais l’ad tech en est peut-être l’expression la plus pure.
Ce que les lecteurs vivent comme des « sites web qui ressemblent à des malwares » n’est pas un échec de conception. Les trackers des sites d’information sont le résultat prévu d’un système économique où l’expérience de l’utilisateur n’est pas le produit optimisé. Ce sont les données comportementales extraites pendant cette expérience qui le sont.
