La scène, à Québec, un soir d’automne 2023 : une dame de 58 ans appelle une ligne d’aide technique. Elle dit avoir cherché « symptômes cancer » en mode privé sur son iPhone, parce qu’elle ne voulait pas inquiéter son conjoint. Le lendemain, Facebook lui suggérait un groupe de soutien aux patientes en oncologie.
Elle pensait que le mode privé empêchait ça.
Elle a raison d’être dérangée. Et en même temps, le mode privé n’a jamais été conçu pour empêcher ça. C’est la confusion la plus répandue en informatique grand public aujourd’hui : la différence entre « ça efface l’historique sur mon ordinateur » et « ça empêche quiconque sur Internet de savoir ce que je fais ».
Ce ne sont absolument pas les mêmes choses.
Ce que le mode privé fait vraiment
Quand vous ouvrez une fenêtre de navigation privée (incognito sur Chrome, InPrivate sur Edge, privée sur Safari et Firefox), voici ce qui se passe sur votre ordinateur uniquement :
Pas d’historique local. Les sites visités ne sont pas enregistrés dans l’historique du navigateur. Quand vous fermez la fenêtre privée, les URL disparaissent.
Pas de cookies persistants. Les cookies créés pendant la session (y compris ceux qui vous connectent à Gmail ou Facebook) sont effacés à la fermeture de la fenêtre. Le cookie existe pendant la session et meurt avec elle.
Pas de données de formulaires sauvegardées. Le navigateur ne propose pas de sauvegarder les mots de passe, ne remplit pas automatiquement les champs « nom », « adresse », « courriel ».
Pas de cache partagé avec la session normale. Les images, CSS et fichiers téléchargés temporairement sont isolés dans la session privée et effacés à la fermeture.
Extensions limitées (par défaut). Chrome désactive la plupart des extensions en mode Incognito (vous devez les activer une par une). Firefox et Safari font pareil. Ça limite les risques d’extension qui piste.
Voilà. C’est tout.
Ces cinq points ont une logique précise : empêcher que la prochaine personne qui ouvre votre navigateur sur votre ordinateur voie ce que vous avez fait. C’est un outil local, contre une menace locale.
Ce que le mode privé ne fait absolument pas
Ici, il faut être précis, parce que le marketing des navigateurs a longtemps été flou.
Votre fournisseur Internet voit tout. Vidéotron, Bell, Rogers, Telus, Cogeco. Peu importe le mode du navigateur, le FAI doit acheminer votre trafic pour qu’il atteigne Internet. Il voit chaque domaine que vous visitez via les requêtes DNS, il voit chaque connexion TLS que vous établissez. Le chiffrement HTTPS protège le contenu (pas de lecture des messages ou des pages), mais pas la métadonnée (à quel serveur vous parlez, à quelle heure, pendant combien de temps). Un FAI au Canada peut légalement conserver ces métadonnées et répondre à une demande judiciaire.
Votre employeur/école voit tout sur leur réseau. Les pare-feu d’entreprise (Fortinet, Palo Alto, Cisco, SonicWall) sont conçus pour inspecter tout le trafic, y compris le trafic chiffré via une technique appelée SSL inspection (le pare-feu se met en tant qu’intermédiaire, déchiffre, inspecte, re-chiffre). Le mode privé du navigateur ne contourne strictement rien de ce mécanisme. Si votre ordinateur de bureau a un certificat racine d’entreprise installé (c’est presque toujours le cas), vous n’avez aucune confidentialité sur ce réseau.
Les sites que vous visitez voient votre adresse IP. Chaque serveur à qui vous vous connectez enregistre votre adresse IP publique, votre User-Agent (navigateur + système), et peut faire du fingerprinting (voir plus bas) pour vous reconnaître même sans cookies. Le mode privé n’affecte rien de cela.
Google savait exactement ce que vous faisiez en Incognito (jusqu’en 2024). Si vous étiez connecté à votre compte Google pendant une session Incognito, Google enregistrait quand même votre activité sur Search, YouTube et Gmail. C’est exactement ce qui a mené au procès Brown v. Google, classe action lancée en 2020 aux États-Unis. Règlement conclu fin 2023, approuvé en avril 2024 : Google a dû détruire des milliards d’enregistrements de sessions Incognito collectés entre 2016 et 2023, et clarifier le langage de l’avertissement qui s’affiche à l’ouverture d’une fenêtre Incognito. Aujourd’hui le message Chrome dit explicitement « Les autres peuvent voir votre activité, incluant votre employeur, votre école ou votre fournisseur Internet ».
Les téléchargements restent sur votre disque. Si vous téléchargez un PDF en mode privé, ce PDF est sur votre disque après la fermeture de la fenêtre. Il n’apparaît pas dans l’historique des téléchargements du navigateur, mais il existe. Quelqu’un qui fouille votre dossier Téléchargements le voit.
Les favoris restent. Si vous ajoutez un site aux favoris en mode privé, ce favori existe ensuite en mode normal.
Le piège du compte Google, Microsoft, Apple
C’est le piège invisible que peu de gens voient.
Vous ouvrez une fenêtre Incognito. Vous allez sur YouTube. YouTube vous propose de vous connecter à votre compte Google pour voir vos abonnements. Vous cliquez « Se connecter », pour gagner du temps.
À partir de ce moment-là, le mode privé est cosmétique. Google sait exactement qui vous êtes. Chaque vidéo regardée, chaque recherche faite, chaque clic — tout est enregistré dans votre compte Google. Le fait que votre navigateur local n’ait pas d’historique et de cookies persistants ne change rien : les données sont côté serveur, dans votre compte, pour toujours.
Même chose avec Microsoft (Outlook, Bing, Edge synchronisé), Apple (si Safari Private sur un iPhone connecté à iCloud, Safari peut encore envoyer des données à Apple selon les réglages), Facebook (si vous vous connectez à Facebook en Incognito pour poster un message, Facebook vous reconnaît et enregistre).
La règle : mode privé + connexion à un compte = illusion de vie privée. Si vous voulez vraiment anonymiser une session, il faut à la fois le mode privé ET ne jamais se connecter à un service qui vous identifie.
Le fingerprinting : ce que les sites font même sans cookies
Imaginons que vous êtes en mode privé, que vous n’êtes connecté à aucun compte. Vous pensez être anonyme. Vous allez sur un site e-commerce. Ce site vous reconnaît quand même.
Comment ?
Le browser fingerprinting est une technique qui combine des dizaines de caractéristiques techniques de votre navigateur pour créer une empreinte unique :
- Résolution d’écran exacte (1920x1080 vs 2560x1440 vs 2880x1800)
- Système d’exploitation exact (Windows 11 23H2 vs macOS Sonoma 14.4)
- Navigateur exact et sa version
- Liste des polices installées (Windows a certaines polices par défaut, macOS d’autres, Linux d’autres encore)
- Fuseau horaire
- Langue du navigateur
- Paramètres audio/vidéo détectés via WebGL ou AudioContext
- Présence de certains plugins
Quand vous combinez tout ça, la majorité des gens ont une empreinte unique parmi des millions. Un site peut vous reconnaître sans cookie, sans compte, simplement via cette empreinte. Le mode privé ne change rien à cette empreinte.
C’est pour ça qu’un site comme Amazon peut vous proposer des produits pertinents la seconde fois que vous y allez en Incognito, même sans cookie.
Le mensonge de « navigation privée = anonymat »
Il y a eu un sondage Pew Research en 2017 (réplique par d’autres études jusqu’en 2022) : près de 50 % des utilisateurs américains pensaient que le mode privé cachait leur activité à leur fournisseur Internet. Environ 40 % pensaient qu’il cachait leur activité aux sites visités. Environ 25 % pensaient qu’il empêchait leur employeur de les pister.
Ces trois croyances sont fausses.
Le marketing des navigateurs a contribué à la confusion. Le mot « privé » évoque l’anonymat, alors qu’il décrit seulement l’isolation locale. Depuis Brown v. Google, Chrome a changé son message d’avertissement pour être plus clair. Apple, Mozilla et Microsoft ont également clarifié, mais la perception générale reste trouble.
La réalité : le mode privé ne rend pas anonyme. Il ne fait qu’éviter que quelqu’un qui a un accès physique à votre appareil voie votre navigation récente.
Quand le mode privé est vraiment utile
Malgré tout, il y a des usages précis où le mode privé est le bon outil.
Ordinateur partagé. Bibliothèque, cybercafé, ordinateur familial, chambre d’hôtel avec un PC public. Vous ne voulez pas laisser de traces locales de ce que vous faites. Le mode privé est exactement ce qui vous faut.
Achat de cadeaux. Vous cherchez une montre pour votre conjointe. Si vous faites ça en navigation normale, la pub Facebook et Instagram va lui montrer des montres pendant trois semaines, et la surprise est gâchée. En Incognito + non connecté à Facebook, c’est réduit. (Attention : Amazon connaît votre fingerprint, donc ils peuvent quand même reconnecter ça plus tard.)
Comparaison de prix. Certains sites (billets d’avion, hôtels) modifient leurs prix selon votre historique ou si vous revenez plusieurs fois. Ouvrir une fenêtre Incognito permet de voir le prix « premier visiteur » et comparer.
Tester un site « comme un visiteur inconnu ». Si vous êtes développeur ou marketer, voir comment votre site se présente sans cookies ni session active.
Se connecter à deux comptes simultanément. Une session normale avec le compte Gmail #1, une session privée avec le compte Gmail #2. Les deux sessions sont isolées.
Ce qu’il faut pour vraiment protéger sa vie privée
Si votre objectif est réellement la confidentialité — pas juste ne pas laisser de traces sur un ordinateur partagé — il faut empiler les outils.
VPN. Masque votre adresse IP aux sites visités, chiffre votre trafic entre votre appareil et le serveur VPN. Votre FAI voit que vous êtes connecté à un serveur VPN, mais pas ce que vous faites derrière. Mullvad, ProtonVPN et IVPN sont les plus recommandés. ExpressVPN et NordVPN sont corrects mais collectent plus de métadonnées. Évitez les VPN « gratuits » — ils revendent vos données.
Tor Browser. Le niveau supérieur. Le trafic passe par 3 relais différents avant d’atteindre la destination. Très lent pour du streaming, mais excellent pour lire, faire des recherches, échanger des messages quand l’anonymat compte. Gratuit, open source, maintenu par une ONG.
DNS chiffré (DoH ou DoT). Empêche votre FAI de lire vos requêtes DNS. Cloudflare 1.1.1.1, Quad9, NextDNS. Configuration directement dans le navigateur ou l’OS.
Navigateur qui ne vous identifie pas. Firefox avec les bonnes extensions (uBlock Origin, Privacy Badger), Brave (par défaut), ou LibreWolf pour ceux qui veulent pousser.
Déconnexion des comptes Google, Microsoft, Apple quand vous ne les utilisez pas activement. Simple, gratuit, et énormément de protection gagnée.
Bloqueur de trackers. uBlock Origin est le meilleur. Gratuit. Open source. Bloque des dizaines de milliers de trackers et publicités.
Comparatif : Safari Private, Chrome Incognito, Firefox Private, Edge InPrivate
Safari Navigation privée (iOS 17+, macOS 14+) Apple a ajouté la protection contre le fingerprinting avancée, le blocage des trackers croisés par défaut. Sur iOS 17+, une session privée peut même être verrouillée par Face ID quand vous revenez. Bonne option si vous êtes dans l’écosystème Apple.
Chrome Incognito Le plus utilisé au monde. Historique et message d’avertissement clarifiés depuis 2024 (post Brown v. Google). Bloque les cookies tiers en Incognito par défaut. Mais Chrome appartient à Google, et le fingerprinting reste possible. Acceptable, sans être le meilleur.
Firefox Private Mozilla est une fondation à but non-lucratif, avec une position forte sur la vie privée. Le mode privé active automatiquement la Protection renforcée contre le pistage. Bloque les scripts de fingerprinting connus. Le meilleur par défaut parmi les 4, pour la majorité des gens.
Edge InPrivate Microsoft a fait de vrais efforts sur Edge depuis 2022. La fonctionnalité « Prévention du pistage » est activée par défaut même hors InPrivate. En InPrivate, elle passe en mode strict. Correct. Le problème : Edge reste lié à l’écosystème Microsoft, et Copilot peut s’immiscer dans la session.
Classement rapide pour qui veut le meilleur mode privé par défaut, sans configuration :
- Firefox Private (avec uBlock Origin)
- Safari Private (sur Apple uniquement)
- Edge InPrivate
- Chrome Incognito
Ce qu’il faut retenir
Le mode privé est un outil utile pour un usage précis : éviter de laisser des traces locales sur l’ordinateur que vous utilisez. Point.
Il ne vous cache pas de votre FAI. Il ne vous cache pas de votre employeur. Il ne vous cache pas des sites que vous visitez, qui peuvent vous reconnaître par fingerprinting. Il ne vous cache pas de Google, Microsoft, Apple ou Facebook si vous vous connectez à un de leurs services pendant la session.
Le procès Brown v. Google a obligé Google à être plus clair là-dessus depuis 2024. Il faut lire le message qui s’affiche à l’ouverture d’une fenêtre Incognito. Il dit la vérité.
Pour de la vraie vie privée : VPN + déconnexion des comptes + bloqueur de trackers + bon navigateur. Et pour les cas sensibles : Tor.
Chez Sequr, on aide les particuliers et PME du Québec à configurer leur navigateur, installer un VPN qui fonctionne vraiment, et comprendre ce qui est pisté et par qui. Pas de FUD, pas de vente de produits miracles — juste ce qui marche.
Pour en parler, ou écrivez via sequr.ca.
À lire aussi :
