Et si la proxyfication de la collecte des données était une solution pérenne ? A l’heure actuelle, l’utilisation de GA4 reste tolérée par la législation sur la protection des données en Europe. En effet, cet été, l’adoption du Data Privacy Framework a facilité cette tolérance mais cela n’en fait pas pour autant un “feu vert” pour collecter sans restriction la donnée utilisateur. Google a mis de l’eau dans son vin par sa “proxyfication” de sa collecte. Les données collectées sur l’UE, passe par des serveurs régionaux désormais. Mais, si l’on suit les directives de la CNIL, il faut brider en Europe GA4 afin de le rendre plus conforme aux exigences du RGPD. Mais , Mais, prenons du recul, cela accouche de quoi au final ? Voit-on des condamnations tous les jours par le législateur ? Non, car tout cela est un jeu de dupes, aucun acteur n’a à y gagner de ne plus rien collecter dans cet écosystème digital : les annonceurs (mauvais ciblage), les éditeurs (expérience utilisateur), le législateur (quid sur la qualité du contrôle, pérennité du modèle web gratuit), les régies (suppression des cookies tiers). Je tiens à remercie Clémence de Sirdata, qui m’a accompagné dans ce cas d’usage.
A quoi consiste la proxyfication de Google Analytics 4 ?
Qui dit proxification, dit tracking server side, les 2 vont de paire. Un proxy est une solution logicielle installée sur une solution matérielle qui intermédie la collecte des données afin de les anonymiser.
- Ne pas transférer l’adresse IP vers les serveurs de l’outil de mesure : c’est ce à quoi en pense en 1er !
- Utiliser un serveur proxy pour anonymiser et pseudonymiser le client id : la solution de hachage doit elle aussi être dynamique afin de ne pas laisser d’empreinte.
- Supprimer l’information de site référent (ou « referer ») externe au site
- Ne pas faire de suivi multi sessions (que des clients uniques)
- Pseudoanymiser l’user agent si vraiment unique (prendre toujours le même)-
- Ne pas faire d’User-id : pas de suivi CRM possible (id déterministe utilisateur)
- Supprimer tout paramètre contenu dans les URL (UTM ou autres variables…comme les ids publicitaire gclid par exemple), mais bon, une tolérance est permise.
- Ne pas collecter les identifiants entre sites (pas de cross domain tracking)
- Supprimer toute autre donnée pouvant mener à une ré-identification
Qu’existe -il en dehors de la proxification de GA4 ?
Déjà, on peut faire pas mal de chose pour ne pas collecter trop de données utilisateurs.
=> 4 paramétrages principaux à faire dont l’essentiel se passe dans la page d’administration de GA4.
- Conditionner aussi le “consent mode” de google au consentement explicite donnée via la CMP. Et oui, google impose des règles, influence également les CMP dans ce sens. Mais c’est aussi de la collecte déguisée non , même si pas explicite et individualisée. Ce mode “ghost” tracker reste quand même discutable !
- Ne pas collecter les “signaux de google” (supprime le remarketing, la collecte de données démographique…)
- Désactiver la localisation granulaire dans GA4
- Ne pas associer GA4 à d’autres plateformes comme google ads, meta, crm etc..
Toutes ces mesures bien sûr repose sur un registre des activités de traitement. Un document conservé par l’entreprise, des fiches avec description, sous-traitant, moyen technique et opérationnel, contrat. Ces documents sont à disposition de la CNIL et constituent la base légale , à mettre en avant l’ intérêt légitime pour justifier d’une certaine collecte (qui sort du cadre des directives).
Proxyfier avec une solution clé en mains : cas avec la solution Sirdata
Le service Sirdata Analytics Helper utilise des serveurs dédiés de plusieurs hébergeurs en Europe : Hetzner en Belgique, Finlande, Pays-Bas, et Scaleway en France
A noter : Attention les services publicitaires de Google comme Google Ads, Campaign Manager 360, Display & Video 360, Search Ads 360 ne sont pas prix en charge.
Prérequis
La proxyfication n’échappe pas au RGPD et donc une CMP est obligatoire. Lors du test ici, c’est la CMP sirdata en amont qui va conditionner le système de proxification afin de respecter le consentement pour les cookies et le droit d’opposition aux traitements des données personnelles.
Différentes étapes pour proxifier
Dans le cadre d’une intégration de google Analytics depuis GTM avec fonctionnalité cookieless du helper. Avec ce Helper, quand il y a consentement le cookie GA se dépose normalement. Quand il n’y a pas de consentement, le Helper prend le relais et suis le parcours de l’utilisateur grâce à son adresse IP. Cela permet de remonter des statistiques avérées là où le Consent Mode remonte des données modélisées. Pour résumer donc ici, CMP + Proxyfication, tout passe par gtm sans rien dans le code source du site.
1/ Choix de la CMP : ici sirdata
2/ le consentement et le droit d’opposition sont automatiquement gérés, de manière native par la proxification dénommée “Analytics helper”.
3/ Création du compte dans la partie “helper” de sirdata helper
4/ Identification des versions et identifiants de propriété Google Analytics : ici “G-” (ex : G-XXXXXXX), il s’agit de GA4
5/ Veillez à désactiver en mode cookieless le consentement comme base légale de traitement
6/ Balisage de GA dans GTM avec fonctionnalité cookieless : activation de la proxyfication et de la fonctionnalité de tracking cookieless du Helper (utilisation de Google Analytics sans consentement).
7/ GTM : création de 5 variables : Helper UUID, Helper partner Id, Helper Conf Id et Helper Consent Signal et paramètres Google Analytics
Pour les geeks, cette fonctionnalité cookieless change le mode de chargement de google Analytics pour permettre la manipulation de l’identifiant utilisateur : le client_Id (GA4) ou le clientId (UA). Voici ce que la fonction de callback recevra par ce mode :
"{ event: 'sdh_UUID_ready', //nom de l'événement sdh_UUID: '1701630691.1681319441', //client_id ou clientId sah_pa: '27421', //Partner Id sah_c: '71', //Config Id sah_consent: '0' //0 ou 1 : statut du consentement pour l'analyse d'audience }"
Et mise en place de cette fonction…
"<script> var callback_function = function(data){ //Votre code ici, en remplacement du code d'exemple console.log(data); if (data.sdh_UUID) { console.log("le client_id est : " + data.sdh_UUID); } //Fin du code d'exemple à remplacer } window.sd_gahq = window.sd_gahq || []; window.sd_gahq.push(callback_function); </script> "
Pour la configuration de la variable “paramètres de configuration GA4” , allez sur l’aide de sirdata au chapitre “f” ; https://helper.docs.sirdata.net/sirdata-analytics-helper-1/cas-de-balises-ga-dans-gtm-avec-fonctionnalite-cookieless
8/ GTM : création de 3 déclencheurs routés sur les balises GA4 : Helper UUID ready (balise), page de remerciement et UUID ready (pour les évent personnalisé du sirdata helper), helper optout (pour le suivi après le chargement de la page et correspondent à une action potentiellement multiple : scroll, clic) .
9/ GTM : Router, relier la cmp native Sirdata, la balise GA4, et tous les évènements GA4 aux déclencheurs du helper.
FAQ proxification GA4
- Avec ce mode de proxyfication, les utm sont-ils toujours disponibles ?
oui , depuis l’interface Analytics helper, il est aussi possible de les supprimer
- Que faire pour les autres balises hors GA4 ?
Les balises qui déposent des cookies doivent être conditionnées en créant des déclencheurs SirdataConsent et SirdataNoConsent. Script distant : https://cmp.docs.sirdata.net/gestion-des-scripts/conditionnement-dun-script-distant-via-un-tag-manager Script non distant : https://cmp.docs.sirdata.net/gestion-des-scripts/conditionnement-dun-script-via-google-tag-manager
- Qu’est-ce que l’on perd alors principalement dans les rapports GA4 ?
Pour l’adresse IP le Helper tronque les adresses IP. Toutes les données sont conservées sauf si vous décidez de le supprimer dans le paramétrage de la configuration. Le Helper va uniquement tronquer le dernier octet de l’adresse IP et attribuer un nouvel ID à vos visiteurs.
- Quid des rapports d’acquisition ?
Ils vont rester les mêmes. Quelques jours de battement avec des « nouveaux visiteurs » vu que l’ID attribué à chaque visiteur est changé.
- Proxification et tracking server side même combat ?
Oui, c’est la même chose, le tracking server side est plus large par définition et peut englober une proxification de GA4 + tracking balises publicitaires et autres suivis.
Comparaison des scenarii avec un système de proxyfication selon Sirdata
Pour terminer ce cas de proxification simplifiée à l’aide de la solution sirdata, ce tableau récapitulatif qui compare gestion des cookies , le maitien des statistiques et la conformité des transferts :