Google Analytics & RGPD : la proxyfication seul moyen d’être conforme ?

Google Analytics & RGPD : la proxyfication seul moyen d’être conforme ?

Vous l’avez peut-être vu passer: la Commission Nationale de l’Informatique et des Libertés (CNIL)  a publié sur son site officiel des informations complémentaires pour être conforme au RGPD – et cela passe par une méthode de proxyfication.

Dans ce contexte, qu’est-ce que la proxyfication et comment allez-vous pouvoir continuer à tracker et mesurer l’audience de votre site sans risquer de pénalités ?

Pourquoi Google Analytics est jugé non conforme au RGPD

Cela fait 2 ans que la Cour de justice de l’UE a invalidé le Privacy Shield (arrêt du 16 juillet 2020), le dispositif qui permettait d’encadrer les transferts de données personnelles entre l’Europe et les Etats-Unis, estimant que le risque d’accès à ces dernières par les autorités américaines ne respectait pas le droit des ressortissants européens.

Vous connaissez la suite et notamment les événements plus récents : le dépôt de plaintes multiples dans différents Etats-Membres par l’association NOYB a entre autres conduit la CNIL à remettre en cause l’utilisation de Google Analytics par différentes entreprises françaises. 

Pour ne citer que quelques exemples, Sephora et Auchan ont fait l’objet de mises en demeure. Dans les faits, n’importe quel site Web français peut faire l’objet d’un contrôle et écoper d’une pénalité s’il ne met pas rapidement en conformité ses données GA.  

Les 2 soucis majeurs qui ressortent à l’heure actuelle avec GA aux yeux de la CNIL sont donc les suivants : 

  • La non-anonymisation intégrale des données collectées par l’outil de mesure d’audience. Bien qu’une fonctionnalité d’anonymisation des adresses IP soit bien proposée par Google, elle ne couvre pas l’intégralité des transferts et rien ne garantit qu’elle soit effectuée avant l’envoi de la data vers les Etats-Unis… ce qui laisse potentiellement le champ libre aux autorités américaines pour un accès sans protection de la vie privée.
  • Le fait que les données collectées soit hébergées sur les serveurs de sociétés dont le siège est installé aux Etats-Unis. Google s’est d’abord défendu en avançant que la situation était théorique, mais dans les faits, les renseignements américains peuvent obtenir facilement un accès aux données d’une entreprise dont le siège social est sur le territoire.

Le problème est donc double : l’anonymisation n’est pas systématiquement mise en œuvre puisqu’optionnelle ET elle risque d’avoir lieu après le transfert, donc les autorités peuvent avoir accès aux données d’IP en clair (notamment si la requête est initiée depuis le terminal de l’utilisateur; elle n’est dans ce cas pas qu’un critère d’identification, mais aussi de localisation)

Note importante : cela signifie que bien que le focus soit mis sur Google Analytics, tout outil de mesure statistique américain aujourd’hui est concerné par les mêmes questions ! 

La proposition de la CNIL : une méthode complexe de proxyfication

Premier constat de l’autorité française : “une simple modification du paramétrage est insuffisante“.

Et de détailler :

“Une autre idée souvent avancée est celle du recours au « chiffrement » de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site (…) Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics.

Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Au-delà du cas de Google Analytics, ce type de solution pourra également permettre de concilier l’usage d’autres outils de mesure avec les règles du RGPD sur le transfert de données.”

Voilà, c’est posé et on ne peut plus clair. 

Alors que faire ? 

La CNIL préconise une solution pour éviter le contact direct entre le terminal de l’internaute et les serveurs de l’outil. En d’autres termes, elle conseille d’avoir recours à un proxy, donc un serveur mandataire. 

Cette proxyfication doit servir d’étape indispensable de pseudonymisation des données avant leur transfert vers les serveurs de Google (ou autre outil de mesure d’audience dont le siège est aux US).

Pour ce faire et rendre l’ensemble de l’installation conforme, la proxyfication doit assurer qu’en aucun cas une personne ne pourra être de nouveau identifiée une fois les informations transmises.

© CNIL 

Les critères précis pour une proxyfication conforme de votre installation

La CNIL présente plusieurs mesures qu’elle estime nécessaire pour que le processus soit conforme au RGPD : 

  1. L’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure. 
  2. Le remplacement de l’identifiant utilisateur par le serveur de proxyfication
  3. La suppression de l’information de site référent (ou « referer ») externe au site ;
  4. La suppression de tout paramètre contenu dans les URL collectées (par exemple les UTM, mais aussi les paramètres d’URL permettant le routage interne du site) ;
  5. Le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint), tels que les « user-agents ».
  6. L’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, id unique)
  7. la suppression de toute autre donnée pouvant mener à une réidentification.

Les conditions d’hébergement du proxy font également l’objet de recommandations.

Quelles alternatives si tout cela vous paraît trop complexe ?

Nous recommandons depuis plusieurs semaines de mettre en place dès maintenant un module complémentaire Matomo (basé en Europe), afin de pouvoir collecter de la donnée conforme dès maintenant et migrer complètement si le besoin s’en faisait sentir… et ce sans perte d’historique et avec un système similaire à votre installation actuelle Google Analytics (3 puis 4) !  

Contactez-nous pour en parler, nos experts tracking & Analytics sont à votre disposition pour toute question et besoin d’accompagnement sur ce sujet.

Sans filtre : les solutions exemptées de consentement

Sans filtre : les solutions exemptées de consentement

Marie-Lou Cipolat, co-fondatrice de Marketing Studio, fait le point sur les confusions et malentendus qui règnent autour des solutions exemptées de consentement. Cela fait suite à son post LinkedIn :

j’en ai marre des solutions qui te vendent la lune en te disant « En fonction du paramétrage de notre solution, tu peux tracker les personnes qui ont dit non aux cookies »

On lui a demandé de nous expliquer le problème et voilà ses réponses concrètes (vous pouvez écouter l’audio ou regarder la vidéo, comme vous le préférez!) :

Vous pouvez aussi regarder l’interview ici :

Pourquoi la deadline de passage à GA4 est… début juillet 2022 (organisez-vous maintenant)

Pourquoi la deadline de passage à GA4 est… début juillet 2022 (organisez-vous maintenant)

Comme annoncé récemment, Google Analytics 3 va arrêter de fonctionner en juillet 2023.

Concrètement, vous n’avez donc plus que quelques semaines pour organiser votre migration vers GA4, faute de quoi vous perdrez votre historique à N-1.  

Eh oui, il faut s’y prendre dès maintenant !

Voici les dates clés à retenir à ce jour :

  • 1er juillet 2023 :  les propriétés Universal Analytics existantes ne seront plus disponibles.
  • 1er octobre 2023 : Le traitement des propriétés Google Analytics 360 sera prolongé une seule fois, et ce jusqu’au 1er octobre 2023.

Passé cette date, les nouveaux appels ne seront plus traités dans Universal Analytics, mais il sera toujours possible d’accéder aux données récoltées précédemment, « pendant une période de 6 mois au minimum ».

Toutefois, Google recommande fortement d’exporter l’historique des rapports pour les entreprises concernées, afin d’éviter toute mauvaise surprise.

Et ensuite ? 

Google n’a pas encore fixé la date d’arrêt définitif de l’ancienne version d’Analytics. Ce jour marquera l’impossibilité d’accéder aux rapports de données, ni depuis l’interface, ni depuis l’API. 

Pour rappel, Google mise sur cette version GA4 pour se mettre en conformité et sortir de l’illégalité CNIL/UE, d’où une accélération de la transition : “les versions précédentes et actuelles de Google Analytics ne permettent pas d’anonymiser l’adresse IP de l’internaute sans les héberger d’abord en dehors de l’UE. GA4, lui, en est capable…Google Analytics 4 ne stockera plus les adresses IP” 

Notre recommandation : migrer vers GA4 à partir de juillet 2022

Pour avoir au minimum N-1 d’historique, il est essentiel de migrer vers Google Analytics 4 d’ici à début juillet. 

Exemple de planning de migration : 

  1. Activation du tracking standard GA4
  2. Activation du tracking Ecommerce amélioré (si le plan de taggage est déjà implémenté)
  3. Activation du tracking personnalisé GA4: events / objectifs/ rapports et dashboards / dimensions personnalisées / etc. 

Le planning de migration est bien sûr à adapter en fonction de votre profil spécifique. 

Vous souhaitez organiser votre migration sans perte de données (ni prise de tête?) Echangez dès maintenant avec un expert Analytics


Choisir son alternative à Google Analytics ? Pas si vite ! 

Choisir son alternative à Google Analytics ? Pas si vite ! 

Vitesse et précipitation, la confusion doit plus que jamais être évitée ! 

Depuis l’annonce de l’illégalité de Google Analytics par une cour autrichienne, la course aux alternatives s’accélère et vous êtes nombreux à nous demander une recommandation.

L’erreur serait de se ruer sur une solution sans en considérer toutes les facettes et leurs implications à moyen terme. 

via GIPHY

De notre côté, nous avons entamé un travail de recherche et de test approfondi pour mieux vous accompagner dans cette transition. 

Mots d’ordre : exigence, audit, échanges… et prudence. Basculer trop rapidement sur un outil alternatif peut vite se transformer en usine à gaz. 

AT Internet, Matomo… les équipes d’Alphalyr ne laissent rien au hasard. Nous travaillons aussi sur une offre adaptée qui sera disponible d’ici fin février : restez dans les parages, suivez-nous sur LinkedIn ou abonnez-vous à notre newsletter pour être tenu(e) au courant !

Alphalyr continue de se baser sur Google Analytics d’ici là. 

A date, nous ne recommandons donc aucune solution en particulier et continuons d’explorer les pistes pour vous conseiller (par exemple : AT Internet est un bel outil, mais quel est l’impact de son rachat par une société US?)

Petit rappel contextuel : vous avez sûrement entendu que Google a été épinglé en Autriche pour non-respect du RGPD (les données Google Analytics pouvant être transmises aux US)… et ce n’est que le début de la vague, de nombreuses plaintes étant en cours d’examen à travers l’Europe. 

Cela pourrait conduire Google Analytics à être interdit dans les différents pays de l’Union Européenne, d’autant que plusieurs d’entre eux sont en train d’analyser les répercussions et la légalité de l’envoi des données d’Europe vers les Etats-Unis. 

La question que l’on nous pose régulièrement est donc la suivante : vers quel outil alternatif à Google Analytics se tourner ?  

De ce que l’on comprend aujourd’hui (et on continue en mode “détectives” 🕵️🕵️‍♂️) : 

  • 🇪🇺 Un outil dont le siège social est en Europe permettrait de se protéger de déconvenues supplémentaires, puisque la loi américaine impose aux sociétés US de leur donner accès aux données utilisateurs si la sécurité l’exige.
  • 💻 Un outil similaire à GA dans sa prise en main et basé sur les UTMs pourrait faciliter la transition et ne pas bousculer toutes vos habitudes

Beaucoup d’entre vous nous demandent en considérant des outils alternatifs : “sont-ils bien exemptés de consentement” ? 

Alors, oui, mais on en a déjà parlé sur notre blog : l’exemption de consentement est une posture marketing qui ne solutionne ni ne révolutionne les soucis de tracking. Les infos remontées sont généralement très peu exploitables (ex : une liste de referrers et à côté, le trafic venu généré cette liste, ou encore GCLID, fbclid etc mais sans détail par campagne). 

Le consentement, ce n’est pas 50 Shades of Grey : oui = tracking, non = pas de tracking.

C’est un autre sujet, mais il est bon de le rappeler vu que la question nous est régulièrement posée avec pas mal de malentendus sur les solutions alternatives disponibles sur le marché. L’objectif principal doit être de se concentrer sur une collecte des données en France et gardées en Europe. 

OK on résume : avant de risquer une interdiction de Google Analytics, se tourner vers une alternative qui ne se prendra pas les mêmes attaques que Google implique de choisir une solution locale RGPD compliant, fiable et très peu onéreuse

Stay tuned : on boucle l’enquête et on vous tient au courant. 

PS : le sujet vous inquiète et vous avez besoin d’en parler avec un expert de l’équipe ? Envoyez un MP à Marie-Lou ou Bertrand (ou un commentaire sous cet article, on vous répondra)

L’importance d’avoir des données de qualité

L’importance d’avoir des données de qualité

Mauvaise nouvelle : priori, vous ne disposez pas de données de qualité.

Malgré vos tableaux de bord, vos différents rapports et l’utilisation régulière d’une solution de web analytique, rien n’assure que les données récoltées sur votre site Internet, mais aussi dans votre back-office ou votre CRM soient de bonne qualité. La raison en est simple : le paramétrage d’un bon suivi d’audience et la remontée des données pertinentes (notamment entre différentes sources de collecte) est un travail d’orfèvre qui évolue en permanence.

Comment faire pour assurer la qualité de vos données et être certain de leur fiabilité ? La réponse dans cet article.

 

Qu’entend-on par « données de qualité » ?

 

On peut parler de données de qualité lorsque les 4 caractéristiques suivantes sont réunies :

  • Des données complètes : vous disposez d’informations complètes sur les caractéristiques de vos clients et de vos visiteurs (données de compte, de contacts, d’habitudes), réunies sous un même profil.
  • Des données disponibles : vous accédez sans problème et rapidement aux données dont vous avez besoin, et les différents services de votre entreprise peuvent aussi trouver les réponses aux questions qu’ils se posent.
  • Des données à jour : la valeur des données clients diminue de mois en mois. Des données de qualité impliquent un nettoyage régulier, ainsi que la mise à jour des profils… faute de quoi vous prenez des décisions basées sur des facteurs devenus obsolètes.
  • Des données utilisables : erreurs de remplissage de champs, fautes d’orthographe, coquilles, abréviations erronées… des données de qualité impliquent de résoudre ces problèmes et de bien encadrer la terminologie utilisée.

Pourquoi la qualité de vos données est fondamentale

Malgré un contexte général qui met de plus en plus en avant l’importance de disposer de données analytiques fiables pour prendre les bonnes décisions stratégiques et commerciales, de nombreuses entreprises hésitent encore à véritablement investir dans ce sens et pensent avant tout à réduire leurs coûts.

En faites-vous partie ?

Dans ce cas, vous passez à côté de données précieuses pour augmenter vos ventes, attirer plus de clients et mettre de côté les dépenses inutiles.

Il ne suffit en effet pas d’installer un code de suivi et de consulter ses statistiques de fréquentation pour assurer un véritable pilotage par la data.

La qualité des données est indispensable et permet d’optimiser plusieurs axes :

  • La croissance du chiffre d’affaires
  • La réduction, voire la suppression des dépenses non-pertinentes
  • Un meilleur management du risque
  • Une amélioration constante de votre site Web, de votre positionnement et de vos offres, grâce à des métriques et insights précieux obtenus dans Google Analytics.

Des données analytiques bien paramétrées et prêtes à être analysées selon vos objectifs vous permettront par exemple d’identifier en un clin d’œil vos tendances de vente par produits, de mieux comprendre ce qui fonctionne auprès de vos visiteurs et clients, mais aussi de réduire les coûts de campagnes selon leur ROI, d’anticiper vos lancements et de limiter les risques…

La conclusion ?

Vous assurer des données de qualité ne devrait jamais être considéré comme une dépense, mais bien un investissement… rentable !

Du CRM au back-office : les différents types de données à prendre en compte

Les données issues de Google Analytics ne sont pas les seules à être indispensables.

Vous devez aussi prendre en compte la qualité des données clients, bien suivre, paramétrer et nettoyer votre CRM, mais également vérifier que vos données comptables, vos stocks et le suivi de vos coûts remontent bien et peuvent être exploités ensemble pour prendre les bonnes décisions.

Des données justes et fiables vous permettent de croiser différentes informations, même si elles sont issues de sources différentes.

Votre logiciel CRM (Gestion de la Relation Client) doit par exemple assurer :

  • Une liste de clients sans doublons
  • Des contacts à jour (suppression régulière des comptes obsolètes)
  • Des attributs bien renseignés
  • Le respect des formats et normes lors de la saisie
  • Des données « propres » pour réduire le taux de PND et de NPAI…

Le risque d’une mauvaise qualité de ce type de données clients est triple : diminution du ROI des actions, pollution de la qualité de vos décisions et gestion appauvrie de la relation entre marque et client.

Pourquoi constatez-vous des écarts de données selon la source consultée (AdWords, back-office, etc.) ?

Il est fréquent de constater des écarts entre les différentes données récoltées par une entreprise.

Dans le cas d’un site e-commerce par exemple, un pan spécifique doit être pris en compte : la qualité de vos données dans le back-office (les commandes en particulier), qui peuvent parfois différer de ce que vous voyez dans Google Analytics.

Pourquoi ?

Voici quelques causes répandues qui peuvent générer des différences entre les commandes visibles dans votre back-office, et celles annoncées dans Google Analytics :

  1. Le code Google Analytics de validation de la commande n’est pas lancé

Pour enregistrer la validation d’une commande passée sur votre site Web, Google Analytics peut attendre que le code de la page de confirmation de cette dernière se lance. Le chargement de la page permet donc de déclencher la validation de la transaction dans les données de suivi. Il arrive cependant que le renvoi vers la page e-commerce suivant immédiatement le paiement ne soit pas activé… dans ce cas, le back-office affiche bien votre vente, mais pas Google Analytics.

  1. Le code de tracking est erroné

C’est l’une des erreurs les plus courantes, y compris pour les sites qui ne relèvent pas de l’e-commerce. Que vous ayez inséré vous-même le code de suivi ou ayez utilisé un plugin, il arrive fréquemment que le code soit « endommagé » ou erroné au moment de sa copie. Veillez aussi à copier le bon code pour votre site (Universal, Classique, etc.)

  1. La fonctionnalité e-commerce n’est pas active

Google Analytics est très puissant, mais la solution ne suit pas par défaut les performances d’un site e-commerce. Pensez à activer le suivi du commerce électronique pour voir apparaître les ventes dans vos tableaux de bord !

Pour cela, rendez-vous dans Administration > Compte/Vue ou Propriété souhaité > Colonne Vue et activez « Paramètres de commerce électronique » :

qualite donnees

Autre cas fréquent de différences statistiques entre Google Analytics et une autre source de données : AdWords.

Avant de paniquer, rappelons un point important : de par leur fonctionnement différent, il est normal de constater des différences entre ce que vous voyez de vos campagnes PPC au niveau d’AdWords et ce qui apparaît dans Google Analytics.

Néanmoins, si la marge d’erreur est conséquente (c’est-à-dire au-delà de 5 à 10% d’écart), c’est qu’il y a bien un souci.

Cela peut venir d’erreurs de paramétrage, de problèmes liés au code de tracking, d’un code de suivi qui ne se charge pas, de problèmes de marquage, ou de problèmes de suivi des URL (ajouts de paramètres approximatifs ou absents, conflit entre taggage automatique et manuel).

Bonnes pratiques et conseils pour garantir la fiabilité et la qualité de vos données

La fiabilité de vos données repose sur l’identification d’éventuels problèmes, la mise en place de solutions pour y remédier… mais aussi sur la création d’un processus qualité visant à soutenir vos efforts analytiques à moyen et long termes.

Procédez à un audit de vos données

Résoudre les problèmes et améliorer la qualité de vos données nécessitent des audits réguliers organisés au cours du déploiement des balises et des éléments de collecte, mais aussi au fur et à mesure que vous les faites évoluer.

Pour réussir votre premier audit :

  • Intégrez tous les services et collaborateurs concernés pendant le développement;
  • Réalisez des tests avant la phase production;
  • Testez immédiatement la collecte des données après le déploiement.

Si dès l’environnement de production, toutes les données potentielles n’apparaissent pas dans l’outil d’analyse, c’est que vous avez une perte au moment de la collecte ou du transfert et que vous devez immédiatement l’identifier pour la résoudre.

Identifiez les principales sources d’erreurs dans Google Analytics

Plusieurs problèmes de configuration peuvent menacer la qualité de vos données et du tracking en général :

  • Une URL par défaut incorrecte. Lorsque vous créez votre compte Google Analytics, vous devez fournir l’URL de votre site Internet. Il peut arriver que suite à une mise à jour ou un souci d’intégration, le code de suivi soit manquant ou erroné. Vérifiez que l’URL est la bonne dans Propriétés > Paramètres.
  • Une perte de paramètres ou de données entre votre compte et des ventes réalisées chez un tiers, ou bien lors de la comparaison avec votre compte AdWords.
  • Un suivi des objectifs mal configuré : si aucune conversion n’apparaît alors que vous avez bien constaté des ventes, vérifiez que vos objectifs sont bien enregistrés et que vous n’avez pas modifié les éventuelles URL qui y correspondent.
  • Un conflit entre plusieurs codes de suivi (Google Analytics ou autre solution).

 

Pour en savoir plus sur les principaux problèmes de configuration et la manière de les résoudre, consultez notre article à ce sujet.

Mettez en place un processus de gouvernance de la qualité de vos données

L’un des moyens les plus efficaces d’assurer la qualité de vos données est d’intégrer leur collecte, leur analyse et les prises de décision qui en découlent dans le cadre d’un processus global qui leur est dédié.

Vous pouvez par exemple créer un process à suivre pour chaque ajout de balises, ponctué d’étapes clés et de validations en amont, pendant et après le déploiement. L’idée n’est pas d’alourdir votre charge de travail, mais de bénéficier d’un système agile et collaboratif qui évite la tentation de sauter les étapes.

Enfin, bloquez des dates régulières de contrôles et de rapports sur vos données et les analyses que vous en tirez, ce qui est un pilier fondateur du pilotage par la data.

Vous l’avez compris, des données de qualité sont indispensable à votre succès. Avez-vous déjà mis en place une stratégie pour les garantir ?

Réservez votre audit gratuit avec nos experts Analytics