images
01 - Sep - 2022

La fin de Google Analytics en Europe?

La règlementation RGPD en Europe a obligé les médias à récolter le consentement des internautes dès l’arrivée sur le site avec un bandeau de gestion des cookies = CMP : Consent Management Platform. Problème Google Analytics ne suit pas la règlementation.

1. Pourquoi Google Analytics est devenu illégal ?

Dans les règles de la CNIL, l’internaute doit donner son accord sur la récolte de ses datas. Qu’ils donnent son accord ou refusent le site d’arrivée doit fonctionner normalement.

Les cookies GA (Universal Analytics ou GA4) ont été considérés comme des cookies fonctionnels et donc exemptés de consentement ce qui n’est pas le cas selon la CNIL car c’est bien un outil de mesure.

Ainsi, il faut bien vous assurer que votre CMP intègre Google Analytics comme un traceur et qu’aucun cookie GA ne se dépose si l’internaute le refuse. En effet, selon la législation, sans consentement, il est interdit d’utiliser des cookies GA. Et donc s’il n’y a pas de dépôt, nous ne pouvez pas remonter les informations des internautes et les statistiques.

D’autre part, même avec consentement, depuis le 10 février 2022, la CNIL met en demeure les gestionnaires de sites pour utilisation de GA pour transferts illégaux de données à caractères personnels vers les Etats-Unis.

2. Quel est le nouveau monde de la data en 2023

Nous arrivons dans une ère où la récolte de data ne peut plus être gérée par Google Analytics et donc va devenir payante.

Dans un monde parfait, le volume de data collectée devrait être de 100%, mais il faut prendre en compte : Perte Juridique : D’abord, la RGPD est arrivée (bandeau acceptation ou refus), les sites ont perdu 20% de leurs datas. Perte Technologique : A cela s’ajoute, la privacy des navigateurs (Safari, Firefox, bientôt Chrome) qui vont finir par soit arrêter les cookies, soit arrêter les pixels de tracking pour protéger les données personnelles des audiences. En moyenne, les cookies tiers sont écrasés au bout de de 7 jours voir 24h en cas de présence d’utms.La privacy des navigateurs fait perdre entre 15 et 30% des données. D’autre part, la qualité des données est amoindrie car un utilisateur est nouveau très régulièrement. Enfin la perte comportementale avec les AdBlock. Aujourd’hui, nous sommes dans un volume de données exploitables qui s’est amoindrie.

Dans cette nouvelle ère, vous avez 3 choix :
1/ Soit ne pas respecter la RGPD et rester sur la solution Google, vous êtes donc susceptible de recevoir une mise en demeure de la CNIL afin de vous mettre en conformité. Vous aurez alors un délai de 30 jours pour mettre en place une solution RGPD compliant.
2/ Soit compléter Google Analytics d’une solution tiers pour être RGPD compliant. Pour cela vous devez mettre en place une solution de tracking côté Server (des solutions tierces existent comme SirData, Eulerian ou Adding Well).
3/ Soit changer de solution d’Analytics pour une plateforme RGPD compliant. Vous allez devoir refaire un plan de marquage, former vos équipes et revoir vos process. Il existe 4 solutions : AT Internet, Eulerian, Piwik Pro et Matomo.

3. Quels choix s’offrent à nous ?

a) Récupérer les datas des privacy des navigateurs

Proxification – server side – tracking = 3 termes pour la même idée
Concept de base : Mettre en place un serveur entre le site et l’envoi des données à un solution comme par ex GA, Facebook, Criteo ...
Avantages : - Récupération d’une partie des datas dû à la privacy des navigateurs - Gagner en performance car mutualisation des pixels
Habituellement, le fonctionnement est client side. Un tag GTM qui continent des balises FB, GA, .... Et des évènements sont appelés selon notre configuration. L’appel est donc fait aux serveur de FB, GA, ... et les données s’agrègent au sein de l’interface Google Analytics. On partle de tracking côté client, c’est-à-dire que le tracking est déclenché sur le navigateur de l’audience. Avec un server, donc un fonctionnement server side, nous allons mettre un server entre le site et les balises, qui va traiter toutes les données. Les cookies sont déposés par le serveur, ils deviennent des cookies 1st party et donc ils ne peuvent pas être supprimé par les navigateurs.

b) Sirdata Analytics Helper

Le service va automatiquement empêcher le dépôt de cookies GA tant que l’utilisateur n’a pas donné son consentement en se basant sur les informations envoyées par la CMP (Consent Management Platform) déployée sur le site.

Le Sirdata Analytics Helper est la solution qui permet de maintenir des statistiques réelles y compris lorsque l’utilisateur n’accepte pas et/ou continue sans accepter.

Ces statistiques sont basées sur le traitement des données personnelles de l’utilisateur dans un format extrêmement sécurisé puis anonymisé qui permet à Sirdata de baser ce traitement sur la base légale de l’intérêt légitime et plus sur le consentement de l’utilisateur.

Il s’agit d’une technologie Sirdata intelligente 100% cookieless permettant le modèle suivant :
. En cas de consentement : utilisation d’un cookie GA . Sans consentement : utilisation des services du Sirdata Analytics Helper

Cela signifie que l’ensemble des statistiques peuvent être maintenues automatiquement dans la console Google, excepté si l'utilisateur s’oppose aux traitements basés sur l'intérêt légitime via la CMP déployée sur le site.

S’il accepte, s’il ne fait rien, s’il clique sur une croix de fermeture, s’il clique sur “continuer sans accepter”, s’il clique sur “paramétrer mes choix” puis “enregistrer”, les statistiques seront bien maintenues grâce au Helper !

S’il clique sur “tout refuser” (environ 2% des utilisateurs) : aucune statistique ne remontera car il n’existe ni consentement pour utiliser les cookies, ni intérêt légitime pour traiter l’adresse IP (qui n’en reste pas moins une donnée personnelle).

c) Marfeel une alternative à Google :

Marfeel est une société espagnole ayant pour vocation la promotion et la commercialisation d’une solution analytique permettant aux éditeurs (Responsables du traitement) d’obtenir les instruments de mesure indispensables au bon déroulement de leurs activités.

Dans ce contexte, en qualité de sous-traitant de traitement, ils fournissent ce service uniquement pour le compte de l’éditeur. Les informations ne seront en aucun cas recueillies à des fins personnelles dans l’exercice de leurs fonctions.

La solution de Marfeel Compass s'intègre facilement avec les CMP gérées par les éditeurs. C’est pourquoi l’utilisateur a la possibilité de retirer ou même de refuser de donner son consentement pour la personnalisation du contenu. Aucune information relative au comportement de cet utilisateur (nombre de visites sur le site, fréquence de visite, volume de contenu consulté) ne sera alors enregistrée.

Ce n'est que dans le cas où l'utilisateur consent à la personnalisation par le biais de la CMP que les API permettant de segmenter le contenu seront disponibles. En l’absence de consentement (donc en mode exempté), les API de personnalisation ne seront pas disponibles pour cet utilisateur et aucun contenu personnalisé ne sera montré). Dans ce cas, la décision du contenu à montrer à ces utilisateurs revient à l'éditeur, mais en aucun cas il ne sera personnalisé.

L’emplacement de l’utilisateur n’est connu qu'au niveau du pays, sans possibilité d’obtenir davantage de détails. Aussi, l’adresse IP est rendue par défaut anonyme jusqu'au dernier octet préalablement au traitement des données.

Sur Marfeel Compass, toutes les données utilisateurs sont anonymisées. Le Responsable peut cependant retrouver les données utilisateurs suivants :

Relatif à l’utilisateur : - Pays - Type d'appareil (portable, ordinateur de bureau ou tablette) - Classification du medium (organic, social, autre, interne ou direct) - Source de trafic (indiquée avec le label “bloqué”)
Relatif au contenu : - Âge du contenu - Date de publication de l'article - Auteur - Domaine - Technologie de la page - Titre de la page - Section - Sujets - Catégories
Par défaut, l’outil ne recueille aucune donnée personnelle qui peut être identifiable directement (telle que le nom et/ou l’adresse). Pour autant, l’éditeur peut fournir un identifiant d’utilisateur connecté, qui pourrait être utilisé pour suivre les différents dispositifs de l’utilisateur comme un seul et même utilisateur.