La fin de Google Analytics en Europe?
La règlementation RGPD en Europe a obligé les médias à récolter le consentement des internautes dès l’arrivée sur le site avec un bandeau de gestion des cookies = CMP : Consent Management Platform. Problème Google Analytics ne suit pas la règlementation.
1. Pourquoi Google Analytics est devenu illégal ?
Dans les règles de la CNIL, l’internaute doit donner son accord sur la
récolte de ses datas. Qu’ils donnent son accord ou refusent le site
d’arrivée doit fonctionner normalement.
Les cookies GA (Universal Analytics ou GA4) ont été considérés comme
des cookies fonctionnels et donc exemptés de consentement ce qui n’est
pas le cas selon la CNIL car c’est bien un outil de mesure.
Ainsi, il faut bien vous assurer que votre CMP intègre Google Analytics
comme un traceur et qu’aucun cookie GA ne se dépose si l’internaute le
refuse. En effet, selon la législation, sans consentement, il est interdit
d’utiliser des cookies GA. Et donc s’il n’y a pas de dépôt, nous ne pouvez
pas remonter les informations des internautes et les statistiques.
D’autre part, même avec consentement, depuis le 10 février 2022, la CNIL
met en demeure les gestionnaires de sites pour utilisation de GA pour
transferts illégaux de données à caractères personnels vers les Etats-Unis.
2. Quel est le nouveau monde de la data en 2023
Nous arrivons dans une ère où la récolte de data ne peut plus être gérée
par Google Analytics et donc va devenir payante.
Dans un monde parfait, le volume de data collectée devrait être de 100%,
mais il faut prendre en compte :
Perte Juridique : D’abord, la RGPD est arrivée (bandeau
acceptation ou refus), les sites ont perdu 20% de leurs datas.
Perte Technologique : A cela s’ajoute, la privacy des navigateurs
(Safari, Firefox, bientôt Chrome) qui vont finir par soit arrêter les
cookies, soit arrêter les pixels de tracking pour protéger les données
personnelles des audiences. En moyenne, les cookies tiers sont
écrasés au bout de de 7 jours voir 24h en cas de présence d’utms.La
privacy des navigateurs fait perdre entre 15 et 30% des données.
D’autre part, la qualité des données est amoindrie car un utilisateur
est nouveau très régulièrement.
Enfin la perte comportementale avec les AdBlock.
Aujourd’hui, nous sommes dans un volume de données exploitables qui
s’est amoindrie.
Dans cette nouvelle ère, vous avez 3 choix :
1/ Soit ne pas respecter la RGPD et rester sur la solution Google,
vous êtes donc susceptible de recevoir une mise en demeure de la CNIL
afin de vous mettre en conformité. Vous aurez alors un délai de 30 jours
pour mettre en place une solution RGPD compliant.
2/ Soit compléter Google Analytics d’une solution tiers pour être
RGPD compliant. Pour cela vous devez mettre en place une solution de
tracking côté Server (des solutions tierces existent comme SirData,
Eulerian ou Adding Well).
3/ Soit changer de solution d’Analytics pour une plateforme RGPD
compliant. Vous allez devoir refaire un plan de marquage, former vos
équipes et revoir vos process. Il existe 4 solutions : AT Internet, Eulerian,
Piwik Pro et Matomo.
3. Quels choix s’offrent à nous ?
a) Récupérer les datas des privacy des navigateurs
Proxification – server side – tracking = 3 termes pour la même idée
Concept de base :
Mettre en place un serveur entre le site et l’envoi des données à un
solution comme par ex GA, Facebook, Criteo ...
Avantages :
- Récupération d’une partie des datas dû à la privacy des navigateurs
- Gagner en performance car mutualisation des pixels
Habituellement, le fonctionnement est client side. Un tag GTM qui
continent des balises FB, GA, .... Et des évènements sont appelés selon
notre configuration. L’appel est donc fait aux serveur de FB, GA, ... et les
données s’agrègent au sein de l’interface Google Analytics. On partle de
tracking côté client, c’est-à-dire que le tracking est déclenché sur le
navigateur de l’audience.
Avec un server, donc un fonctionnement server side, nous allons mettre
un server entre le site et les balises, qui va traiter toutes les données. Les
cookies sont déposés par le serveur, ils deviennent des cookies 1st party
et donc ils ne peuvent pas être supprimé par les navigateurs.
b) Sirdata Analytics Helper
Le service va automatiquement empêcher le dépôt de cookies GA tant que
l’utilisateur n’a pas donné son consentement en se basant sur les
informations envoyées par la CMP (Consent Management
Platform) déployée sur le site.
Le Sirdata Analytics Helper est la solution qui permet de maintenir des
statistiques réelles y compris lorsque l’utilisateur n’accepte pas et/ou
continue sans accepter.
Ces statistiques sont basées sur le traitement des données personnelles
de l’utilisateur dans un format extrêmement sécurisé puis anonymisé qui
permet à Sirdata de baser ce traitement sur la base légale de l’intérêt
légitime et plus sur le consentement de l’utilisateur.
Il s’agit d’une technologie Sirdata intelligente 100% cookieless permettant
le modèle suivant :
. En cas de consentement : utilisation d’un cookie GA
. Sans consentement : utilisation des services du Sirdata Analytics
Helper
Cela signifie que l’ensemble des statistiques peuvent être maintenues
automatiquement dans la console Google, excepté si l'utilisateur s’oppose
aux traitements basés sur l'intérêt légitime via la CMP déployée sur le site.
S’il accepte, s’il ne fait rien, s’il clique sur une croix de fermeture, s’il
clique sur “continuer sans accepter”, s’il clique sur “paramétrer mes
choix” puis “enregistrer”, les statistiques seront bien maintenues grâce au
Helper !
S’il clique sur “tout refuser” (environ 2% des utilisateurs) : aucune
statistique ne remontera car il n’existe ni consentement pour utiliser les
cookies, ni intérêt légitime pour traiter l’adresse IP (qui n’en reste pas
moins une donnée personnelle).
c) Marfeel une alternative à Google :
Marfeel est une société espagnole ayant pour vocation la promotion et la
commercialisation d’une solution analytique permettant aux éditeurs
(Responsables du traitement) d’obtenir les instruments de mesure
indispensables au bon déroulement de leurs activités.
Dans ce contexte, en qualité de sous-traitant de traitement, ils fournissent
ce service uniquement pour le compte de l’éditeur. Les informations ne
seront en aucun cas recueillies à des fins personnelles dans l’exercice de
leurs fonctions.
La solution de Marfeel Compass s'intègre facilement avec les CMP gérées
par les éditeurs. C’est pourquoi l’utilisateur a la possibilité de retirer ou
même de refuser de donner son consentement pour la personnalisation du
contenu. Aucune information relative au comportement de cet utilisateur
(nombre de visites sur le site, fréquence de visite, volume de contenu
consulté) ne sera alors enregistrée.
Ce n'est que dans le cas où l'utilisateur consent à la personnalisation par
le biais de la CMP que les API permettant de segmenter le contenu seront
disponibles. En l’absence de consentement (donc en mode exempté), les
API de personnalisation ne seront pas disponibles pour cet utilisateur et
aucun contenu personnalisé ne sera montré). Dans ce cas, la décision du
contenu à montrer à ces utilisateurs revient à l'éditeur, mais en aucun cas
il ne sera personnalisé.
L’emplacement de l’utilisateur n’est connu qu'au niveau du pays, sans
possibilité d’obtenir davantage de détails. Aussi, l’adresse IP est rendue
par défaut anonyme jusqu'au dernier octet préalablement au traitement
des données.
Sur Marfeel Compass, toutes les données utilisateurs sont anonymisées.
Le Responsable peut cependant retrouver les données utilisateurs
suivants :
Relatif à l’utilisateur :
- Pays
- Type d'appareil (portable, ordinateur de bureau ou tablette)
- Classification du medium (organic, social, autre, interne ou direct)
- Source de trafic (indiquée avec le label “bloqué”)
Relatif au contenu :
- Âge du contenu
- Date de publication de l'article
- Auteur
- Domaine
- Technologie de la page
- Titre de la page
- Section
- Sujets
- Catégories
Par défaut, l’outil ne recueille aucune donnée personnelle qui peut être
identifiable directement (telle que le nom et/ou l’adresse). Pour autant,
l’éditeur peut fournir un identifiant d’utilisateur connecté, qui pourrait être
utilisé pour suivre les différents dispositifs de l’utilisateur comme un seul
et même utilisateur.