Google Analytics & RGPD : la proxyfication seul moyen d’être conforme ?

Google Analytics & RGPD : la proxyfication seul moyen d’être conforme ?

Vous l’avez peut-être vu passer: la Commission Nationale de l’Informatique et des Libertés (CNIL)  a publié sur son site officiel des informations complémentaires pour être conforme au RGPD – et cela passe par une méthode de proxyfication.

Dans ce contexte, qu’est-ce que la proxyfication et comment allez-vous pouvoir continuer à tracker et mesurer l’audience de votre site sans risquer de pénalités ?

Pourquoi Google Analytics est jugé non conforme au RGPD

Cela fait 2 ans que la Cour de justice de l’UE a invalidé le Privacy Shield (arrêt du 16 juillet 2020), le dispositif qui permettait d’encadrer les transferts de données personnelles entre l’Europe et les Etats-Unis, estimant que le risque d’accès à ces dernières par les autorités américaines ne respectait pas le droit des ressortissants européens.

Vous connaissez la suite et notamment les événements plus récents : le dépôt de plaintes multiples dans différents Etats-Membres par l’association NOYB a entre autres conduit la CNIL à remettre en cause l’utilisation de Google Analytics par différentes entreprises françaises. 

Pour ne citer que quelques exemples, Sephora et Auchan ont fait l’objet de mises en demeure. Dans les faits, n’importe quel site Web français peut faire l’objet d’un contrôle et écoper d’une pénalité s’il ne met pas rapidement en conformité ses données GA.  

Les 2 soucis majeurs qui ressortent à l’heure actuelle avec GA aux yeux de la CNIL sont donc les suivants : 

  • La non-anonymisation intégrale des données collectées par l’outil de mesure d’audience. Bien qu’une fonctionnalité d’anonymisation des adresses IP soit bien proposée par Google, elle ne couvre pas l’intégralité des transferts et rien ne garantit qu’elle soit effectuée avant l’envoi de la data vers les Etats-Unis… ce qui laisse potentiellement le champ libre aux autorités américaines pour un accès sans protection de la vie privée.
  • Le fait que les données collectées soit hébergées sur les serveurs de sociétés dont le siège est installé aux Etats-Unis. Google s’est d’abord défendu en avançant que la situation était théorique, mais dans les faits, les renseignements américains peuvent obtenir facilement un accès aux données d’une entreprise dont le siège social est sur le territoire.

Le problème est donc double : l’anonymisation n’est pas systématiquement mise en œuvre puisqu’optionnelle ET elle risque d’avoir lieu après le transfert, donc les autorités peuvent avoir accès aux données d’IP en clair (notamment si la requête est initiée depuis le terminal de l’utilisateur; elle n’est dans ce cas pas qu’un critère d’identification, mais aussi de localisation)

Note importante : cela signifie que bien que le focus soit mis sur Google Analytics, tout outil de mesure statistique américain aujourd’hui est concerné par les mêmes questions ! 

La proposition de la CNIL : une méthode complexe de proxyfication

Premier constat de l’autorité française : “une simple modification du paramétrage est insuffisante“.

Et de détailler :

“Une autre idée souvent avancée est celle du recours au « chiffrement » de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site (…) Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics.

Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Au-delà du cas de Google Analytics, ce type de solution pourra également permettre de concilier l’usage d’autres outils de mesure avec les règles du RGPD sur le transfert de données.”

Voilà, c’est posé et on ne peut plus clair. 

Alors que faire ? 

La CNIL préconise une solution pour éviter le contact direct entre le terminal de l’internaute et les serveurs de l’outil. En d’autres termes, elle conseille d’avoir recours à un proxy, donc un serveur mandataire. 

Cette proxyfication doit servir d’étape indispensable de pseudonymisation des données avant leur transfert vers les serveurs de Google (ou autre outil de mesure d’audience dont le siège est aux US).

Pour ce faire et rendre l’ensemble de l’installation conforme, la proxyfication doit assurer qu’en aucun cas une personne ne pourra être de nouveau identifiée une fois les informations transmises.

© CNIL 

Les critères précis pour une proxyfication conforme de votre installation

La CNIL présente plusieurs mesures qu’elle estime nécessaire pour que le processus soit conforme au RGPD : 

  1. L’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure. 
  2. Le remplacement de l’identifiant utilisateur par le serveur de proxyfication
  3. La suppression de l’information de site référent (ou « referer ») externe au site ;
  4. La suppression de tout paramètre contenu dans les URL collectées (par exemple les UTM, mais aussi les paramètres d’URL permettant le routage interne du site) ;
  5. Le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint), tels que les « user-agents ».
  6. L’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, id unique)
  7. la suppression de toute autre donnée pouvant mener à une réidentification.

Les conditions d’hébergement du proxy font également l’objet de recommandations.

Quelles alternatives si tout cela vous paraît trop complexe ?

Nous recommandons depuis plusieurs semaines de mettre en place dès maintenant un module complémentaire Matomo (basé en Europe), afin de pouvoir collecter de la donnée conforme dès maintenant et migrer complètement si le besoin s’en faisait sentir… et ce sans perte d’historique et avec un système similaire à votre installation actuelle Google Analytics (3 puis 4) !  

Contactez-nous pour en parler, nos experts tracking & Analytics sont à votre disposition pour toute question et besoin d’accompagnement sur ce sujet.

L’explosion du cookieless ? Se préparer et trouver de nouvelles pistes de ciblage (dont Google Topics)

L’explosion du cookieless ? Se préparer et trouver de nouvelles pistes de ciblage (dont Google Topics)

Cookieless : on entend beaucoup ce mot ces temps-ci. Mais qu’est-ce que cela signifie vraiment ? Et comment se préparer à un monde sans cookies lorsque l’on est annonceur ? On va le voir, les cookies ne sont pas voués à tous disparaître et d’autres tactiques sont en cours de déploiement… voire déjà disponibles. 

Pour rappel : les avantages des cookies 

Les cookies first party et les cookies tiers permettent de personnaliser l’expérience de navigation d’une personne en lui proposant du contenu pertinent et qui correspond à ses goûts.

Et pour vous marketeurs ou chargés d’acquisition, de retargeter de manière ciblée les internautes qui ont interagi avec votre site.

Ils garantissent aussi une bonne qualité de navigation : maintien des paniers et des préférences, pré-remplissage des formulaires… 

La différence entre les cookies first party et les cookies tiers

Les cookies first party sont des cookies déposés, stockés et possédés par le site Web que l’internaute visite. Ils permettent au propriétaire du domaine de collecter ses propres données analytiques, de mémoriser les préférences utilisateurs et de fournir des expériences personnalisées à ces derniers.

Ce type de cookies gagne en puissance aujourd’hui, là où les cookies tiers sont voués à disparaître. Ces derniers sont créés et stockés par d’autres acteurs que celui que l’internaute est en train de visiter. 

S’ils sont bien déposés par le site Web en question, ces cookies sont généralement détenus par des organisations tierces (d’où leur nom) et utilisés pour le suivi des publicités intersites, le profilage et le ciblage de l’audience, etc.

Ces derniers sont de plus en plus bloqués par Chrome (Google), et déjà délaissés par défaut par Safari, Firefox ou encore Brave.

Et le cookieless ? 

Parler de “cookieless” revient à décrire un monde pas si loin de nous où les spécialistes du marketing sont de moins en moins tributaires des cookies. Ces derniers étant de plus en plus dépréciés au nom de la vie privée (privacy), il faut trouver de nouvelles manières d’envisager le tracking et d’augmenter les taux de consentement.

Cela étant dit, parler de disparition des cookies est erroné, dans la mesure où ce sont surtout les cookies tiers qui tendent à disparaître. Si la plupart des navigateurs ne supporteront bientôt plus ces derniers, les cookies first-party, eux, peuvent continuer à être utilisés par les responsables de sites Web. 

Le défi désormais ? 

Se concentrer sur de la data first-party collectée avec le consentement de l’utilisateur.

4 manières d’amorcer votre transition 

  1. Améliorez votre collecte de données en first party. L’objectif de ce point est d’améliorer le processus existant de collecte et leur analyse, ainsi que d’en augmenter le volume. Cela vous permettra d’y ajouter un procédé d’extrapolation bien plus fiable ! 
  1. Implémentez une solution solide et fiable de gestion du consentement (CMP), si vous ne l’avez pas déjà fait (notre article à ce sujet est consultable ici).  Et n’oubliez pas de communiquer clairement à vos clients la manière dont vous traitez et protégez leurs données : la confiance fait la différence ! 

3) Menez des tests avec les données secondaires des leaders technologiques du marché. Google et Facebook, pour ne citer qu’eux, permettent d’accéder à des données d’audiences agrégées (mais granulaires) collectées sur leurs plateformes et réseaux respectifs. 

4) Ne mettez pas de côté les audiences tierces de qualité 

Qui dit disparition des cookies tiers ne dit pas forcément disparition des audiences tierces, qui ne reposent pas toutes sur une technologie de cookies.

De FLoC à Topics : se tourner vers Google pour une acquisition ciblée ? 

Google a annoncé l’abandon de sa méthode alternative au cookie tiers, FLoC (Federated Learning of Cohorts). 

Pour autant, une nouvelle initiative se dessine : Topics.

Topics fonctionne en associant un site Web à un thème parent. Puis le navigateur recueille les thèmes les plus fréquemment consultés (de 3 à 5) en fonction des sites Web consultés par l’internaute, avant de les partager avec les domaines visités pour aider les annonceurs à afficher des publicités plus pertinentes… sans avoir besoin de connaître l’historique spécifique de navigation.

© Google. A gauche, un schéma avec des cookies tiers. A droite, Topics

Les tests seront lancés cette année. Restez dans les parages ! 

Marketing Studio complète votre tracking et est RGPD-friendly. Demandez votre démo maintenant 👇


Sans filtre : les solutions exemptées de consentement

Sans filtre : les solutions exemptées de consentement

Marie-Lou Cipolat, co-fondatrice de Marketing Studio, fait le point sur les confusions et malentendus qui règnent autour des solutions exemptées de consentement. Cela fait suite à son post LinkedIn :

j’en ai marre des solutions qui te vendent la lune en te disant « En fonction du paramétrage de notre solution, tu peux tracker les personnes qui ont dit non aux cookies »

On lui a demandé de nous expliquer le problème et voilà ses réponses concrètes (vous pouvez écouter l’audio ou regarder la vidéo, comme vous le préférez!) :

Vous pouvez aussi regarder l’interview ici :

Limitation de tracking : on prend les mêmes et on… ah non.

Limitation de tracking : on prend les mêmes et on… ah non.

Il y a des jours, comme ça, où on croit qu’une grosse vague de pépins était bien suffisante jusqu’à ce que BIM ! 

Une autre déferle.

Non, on ne parle pas du combo Covid-19 / guerre en Ukraine – vu que ce blog parle data, acquisition, analytics, tracking et joyeusetés e-commerce.

Donc, nouvelle vague de limitations potentielles dans le paysage numérique pour toutes les personnes qui, comme vous, ont besoin de tracker pour mesurer leurs efforts : après une louche d’iOS14 et une pincée d’illégalité européenne de GA, c’est Google cette fois qui se lance.

Ouvrez les gros guillemets :

Après Apple, Google veut, à son tour, limiter le suivi des utilisateurs Android”

Le titre est de Siècle Digital.

Sortons les mouchoirs ? 

Pas encore. 

Privacy Sandbox Android : l’annonce de Google 

Le 16 février, Google a relayé sur son blog sa volonté de mettre fin au ciblage de ses utilisateurs à des fins publicitaires : 

“Today, we’re announcing a multi-year initiative to build the Privacy Sandbox on Android, with the goal of introducing new, more private advertising solutions. Specifically, these solutions will limit sharing of user data with third parties and operate without cross-app identifiers, including advertising ID. We’re also exploring technologies that reduce the potential for covert data collection, including safer ways for apps to integrate with advertising SDKs.”

(traduction : “Aujourd’hui, nous annonçons une initiative pluriannuelle visant à construire le Privacy Sandbox sur Android, dans le but d’introduire de nouvelles solutions publicitaires plus privées. Plus précisément, ces solutions limiteront le partage des données des utilisateurs avec des tiers et fonctionneront sans identifiants inter-applications, y compris l’identifiant publicitaire. Nous explorons également des technologies qui réduisent le potentiel de collecte secrète de données, notamment des moyens plus sûrs pour les applications de s’intégrer aux SDK publicitaires.”)

Cela étant dit : Google entretient un flou artistique 

Comme le rappelle l’article précédemment cité, Google prend son temps en annonçant “au moins deux ans” pour implémenter sa démarche, sans donner réellement plus de précisions ni de calendrier à suivre à ce stade.

Nous devrons donc tous rester attentifs aux nouvelles technologies publicitaires qui seront proposées aux annonceurs, puisque le géant de Mountain View cherche à amorcer cette transition vers un plus grand respect de la confidentialité des utilisateurs en s’appuyant sur une approche collaborative du projet (développeurs Android, régulateurs…).

A suivre ! 

Récupérez 100% de votre tracking de manière RGPD-compliant avec Marketing Studio. Parlez-en avec Marie-Lou ici 👇


Faire du cashback pour augmenter le consentement aux cookies ?

Faire du cashback pour augmenter le consentement aux cookies ?

Il n’existe pas de baguette magique pour retrouver tout son trafic et obtenir 100% de consentement aux cookies d’un site.

MAIS…

Pour les sites e-commerçants, une solution fonctionne particulièrement bien.

Vous le savez mieux que quiconque, la perte de tracking d’une grosse partie du trafic Web est un vrai souci au quotidien.

On le comprend aisément : comment affiner ses campagnes, suivre sa conversion, optimiser et organiser le reporting de ses budgets quand une partie des visiteurs n’est tout simplement pas visible ? 

oups.

En matière d’e-commerce, plusieurs tactiques permettent d’augmenter le taux de consentement. Nous en avons abordé plusieurs dans cet article il y a quelques semaines.

Mais l’une des solutions les plus efficaces aujourd’hui est de faire du cashback.

Au-delà des raisons “classiques” d’y avoir recours, c’est un formidable levier pour obtenir un maximum d’acceptation de votre tracking! 

Voici quelques chiffres (SNMP) en 2019… sachant que l’offre n’a cessé d’évoluer depuis, ainsi que son adoption

Les différentes offres de cashback aujourd’hui

Pour rappel, il existe plusieurs types de cashbacks et si le phénomène a eu tendance à arriver tardivement en France, le concept comme le réflexe d’y avoir recours s’installent de plus en plus dans l’esprit des consommateurs.

  • cashback via leur carte ou portail bancaire 
  • cashback via une carte de fidélité / un programme partenaire (Pass Fnac Darty)
  • cashback d’un gros portail (Rakuten Club R Everywhere)
  • cashback via les sites spécialisés en la matière (iGraal, Widilo, Ebuyclub, Poulpeo…)

… et moins connu du grand public, le cashback sous une autre forme que monétaire, comme les portails de shopping des compagnies aériennes (Flying Blue Shop For Miles, etc.)

Différents modèles de cashbacks se disputent déjà le marché français

Pourquoi le cashback a-t-il aussi pour avantage d’augmenter la part de trafic trackée ? 

C’est un avantage souvent oublié du cashback : pour toucher la somme qui leur est promise après la validation de l’achat, les visiteurs doivent impérativement accepter les cookies du site partenaire (aka : vous).

Cela est généralement précisé en 2 temps : lors de la présentation de l’offre du moment ET lorsque le client est redirigé vers le site e-commerce.

Ci-dessous, exemple d’un parcours cashback sur iGraal :

En conclusion, si le cashback fait partie de votre arsenal marketing, prenez aussi en compte cette dimension au-delà de la pure acquisition de clients (ou de l’incitation à des achats répétés).

Besoin d’échanger sur ces problématiques de tracking et de leviers ? Prenez rdv avec un expert.


L’Autriche juge Google Analytics illégal : début d’une guerre de la data en Europe ?

L’Autriche juge Google Analytics illégal : début d’une guerre de la data en Europe ?

Coup de tonnerre dans l’univers des GAFA en Europe : Google Analytics est reconnu illégal par les autorités autrichiennes. 

L’Autorité autrichienne de la protection des données (DPA, l’équivalent de la CNIL en France) estime que le transfert des données recueillies par GA vers les Etats-Unis constitue une violation du droit européen tel que le RGPD l’encadre. 

On pourrait s’en tenir à une décision retentissante mais isolée – ce serait néanmoins une erreur : le jugement autrichien est l’arbre qui cache à peine la forêt.

L’Autriche n’est en effet que le 1er pays à sanctionner Google Analytics dans le cadre de 101 plaintes déposées auprès de 30 autorités de protection des données en Europe par NOYB ( Facebook Connect est également dans le viseur).

Qu’est-ce que cela signifie concrètement

Tout simplement que le cas autrichien pourrait être le déclencheur d’une vague d’interdictions ou de limitations de Google Analytics en Europe – à des degrés plus ou moins radicaux bien sûr. Actuellement par exemple, les Pays-Bas et de nombreux autres pays évaluent si GA enfreint le RGPD. 

Ce qui pose problème : la transmission pourtant interdite des données récoltées auprès des utilisateurs européens

Siècle Digital le décrit parfaitement : “Selon le régulateur, le géant américain aurait partiellement ignoré l’annulation de l’accord « Privacy Shield » par la Cour de justice de l’Union en 2020. Comme toutes les données d’Analytics sont hébergées aux États-Unis, les utilisateurs européens sont également touchés par cette collecte de données. Des centaines d’entreprises européennes utilisent Google Analytics, et transmettent donc toujours leurs données récoltées à Google.”

Réaction de Google ? Certes, les données sont transférées mais aucune requête n’a jamais été effectuée en ce sens

Austria’s data protection authority ruled that a local web publisher’s implementation of Google Analytics did not provide an adequate level of protection, on the grounds that U.S. national security agencies have a theoretical ability to access user data. But Google has offered Analytics-related services to global businesses for more than 15 years and in all that time has never once received the type of demand the DPA speculated about. And we don’t expect to receive one because such a demand would be unlikely to fall within the narrow scope of the relevant law.”

Traduction : “L’autorité autrichienne de protection des données a jugé que la mise en œuvre de Google Analytics par un éditeur de sites web local n’offrait pas un niveau de protection adéquat, au motif que les agences de sécurité nationale américaines ont théoriquement la possibilité d’accéder aux données des utilisateurs. Mais Google offre des services liés à Analytics à des entreprises internationales depuis plus de 15 ans et, pendant tout ce temps, n’a jamais reçu le type de demande sur lequel l’autorité de protection des données a spéculé. Et nous ne nous attendons pas à en recevoir une, car il est peu probable qu’une telle demande relève du champ d’application étroit de la loi applicable.”

Pas d’encadrement des transferts de données UE / USA = pas d’issue visible

Or faute d’accord entre l’UE et les USA en vue d’encadrer les transferts de données vers les Etats-Unis, la situation reste insoluble pour Google, qui appelle d’ailleurs à un nouveau “data transfer framework” entre les continents (lire à ce sujet le blog Google). 

A suivre donc. Abonnez-vous pour recevoir les mises à jour de cette page.

Ressources et lectures pour aller plus loin 

En français : 

https://siecledigital.fr/2022/01/14/lautriche-estime-que-lutilisation-de-google-analytics-viole-le-rgpd/

En anglais : 

https://www.slashgear.com/google-just-got-terrible-news-in-europe-and-it-could-get-much-worse-20708166/

https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/

https://www.wired.com/story/google-analytics-europe-austria-privacy-shield/