La Proxyfication de Google Analytics 4

Temps de lecture estimé : 4 minutes

Google Analytics 4, nouvelle propriété Analytics de la suite Google est la solution de Web Analyse la plus populaire en matière de marketing digital. Google Analytics 4 permet la mesure et l’analyse d’audience ainsi que la visualisation de comportement des utilisateurs par la récolte de données personnelles.

Google Analytics, illégal ? 

En 2022, la CNIL avait déclaré que l’utilisation de Google Analytics illégale pour non-respect du RGPD (Règlement Général sur la Protection des Données personnelles). En effet, l’outil collecte des données personnelles telles que l’adresse IP des visiteurs, qui peuvent être utilisées pour identifier une personne physique. Les données personnelles récoltées dans Google Analytics sont ensuite transférées aux Etats-Unis. À noter également que les transferts de données entre l’Europe et les Etats-Unis ne sont plus encadrés par le dispositif Privacy Shield qui a pris fin le 16 juillet 2020 par l’arrêt de la Cour de justice de l’Union européenne (CJUE). Toutefois, par une récente décision du 10 juillet 2023, la Commission européenne a constaté que les Etats-Unis assurent un niveau de protection équivalent à celui de l’Union Européenne. Ainsi les transferts de données personnelles depuis l’UE vers certains organismes basés aux Etats-Unis peuvent s’effectuer librement, sans encadrement spécifique.

L’intérêt de la Proxyfication : allier gouvernance des données et RGPD

La proxyfication via un tracking en server-side permet de garder un contrôle sur les données récoltées avant de les envoyer à Google Analytics. Cette approche consiste à envoyer les données de suivi directement depuis le serveur Web du site vers Google Analytics, plutôt que de les collecter sur le navigateur des visiteurs. Cela permet de réduire la quantité de données collectées et de stocker les données sur des serveurs qui ne sont pas contrôlés par Google directement.  En adoptant cette approche, vous gardez une maîtrise sur vos données tout en améliorant votre gouvernance des données.

Comment mettre en place la proxyfication Google Analytics 4 ?

 

Règle n°1 de proxyfication : S’assurer que les conditions d’hébergement du proxy respectent le RGPD

Le serveur de proxyfication devra être hébergé dans des conditions permettant de garantir le respect du RGPD, autrement dit, que les données amenées à être collectées puis traitées ne seront pas transférées hors de l’Union Européenne. Ainsi, il est nécessaire de privilégier un hébergement européen quel que soit le type de paramétrage du proxy.

Règle n°2 de proxyfication : Supprimer l’information de site référent ou « referrer »

La conservation du referrer, même en se limitant au nom de domaine, pourrait permettre d’identifier les personnes en jouant le rôle de clé de réidentification. L’objectif de cette suppression du site référent est de garantir que les données ne peuvent être attribuées à une personne physique identifiée ou identifiable, même si elles sont recoupées avec d’autres informations.

Techniquement :

  • Il faut d’abord créer une variable “Données d’événement” avec en chemin de la clé “page_referrer”
  • Ensuite, il faut créer un variable “URL parser” pour récupérer le Host Name du referrer.
  • Enfin, il faut créer une variable “Tableau de conversion”. Ainsi, lorsque le referrer est interne au site, cette information est collectée, lorsque le referrer est externe au site et qu’il s’agit d’un autre domaine, cette information est masquée.

Règle n°3 de proxyfication : Remplacer l’identifiant utilisateur par le serveur de proxyfication

L’identifiant utilisateur de Google est stocké par défaut dans la variable « client_id ». La CNIL demande de ne pas envoyer cette information à Google analytics pour éviter de suivre les utilisateurs dans le temps.

Techniquement :

  • Il faudra créer une variable de “Données d’événements” pour capter les valeurs du “client_id” et du “x-ga-js_client_id” pour ensuite venir les remplacer et les hacher avec une composante temporelle.
  • Il sera ainsi possible de voir des client_id identiques au sein d’une même session mais pas au sein de 2 sessions différentes. 1 session = 1 utilisateur, 2 sessions = 2 utilisateurs.

    Règle n°4 de proxyfication : Retraiter les informations qui peuvent générer une empreinte

    Certaines informations collectées peuvent être utilisées pour créer une empreinte digitale ou une identification unique de l’utilisateur. Il peut s’agir de la résolution de l’écran (stockée dans la variable « screen_resolution »), du navigateur utilisé (stocké dans la variable « user_agent »), ou d’autres informations similaires. Pour réduire le risque de réidentification des utilisateurs, vous pouvez utiliser des techniques de modification ou de suppression de ces informations avant de les envoyer à Google Analytics 4.

    Techniquement :

    • Il faut ajouter en paramètres d’événement à exclure “user_agent” et “screen resolution”. Cela permet de ne plus avoir de distinctions entre les sessions sur mobile et sur web et de distinction entre les navigateurs des utilisateurs.

    Règle n°5 de proxyfication : Ne pas collecter d’identifiants entre sites ou déterministes

    En matière de protection des données, il est important de ne pas collecter d’informations qui pourraient permettre d’identifier les utilisateurs entre différents sites web ou les identifiants déterministes. Pour cela, la CNIL recommande de désactiver les fonctionnalités de collecte de données d’identifiants entre sites ou déterministes dans Google Analytics 4 ou ne pas les mettre en place.

    S’agissant de la collecte d’identifiants entre sites, il ne sera pas possible d’utiliser le cross-domain tracking afin de suivre l’activité d’un utilisateur qui migrent d’un site à l’autre. Cette option est de toute façon rendue impossible par la suppression des paramètres d’URL.
    S’agissant des identifiants déterministes régulièrement utilisés afin d’ajouter un identifiant propre à votre base de données ou CRM, qui perdurera dans le temps. Cela permet de suivre l’activité multi-session de l’utilisateur et c’est pourquoi vous ne pouvez pas mettre en place un identifiant déterministe.

    Règle n°6 de proxyfication : Ne pas transférer l’adresse IP vers l’outil de mesure

      L’adresse IP est une information sensible qui peut être utilisée pour identifier les utilisateurs. Pour protéger la vie privée des utilisateurs, il est recommandé de ne pas transférer l’adresse IP vers l’outil de mesure (Google Analytics 4).

      Il existe déjà au sein de Google Analytics 4 une option pour anonymiser l’IP (« Anonymize IP » dans les paramètres de suivi de votre propriété). Cette option permet de masquer les deux derniers octets de l’adresse IP de l’utilisateur. Cette option n’est pas validée par la CNIL car les données d’IP sont transmises à Google avant anonymisation.

      Techniquement :

      • Solution 1 : un paramétrage par défaut car le seul fait de basculer votre tracking Google Analytics 4 en Server-Side modifie la dernière partie de l’adresse IP en la remplaçant par un 0. Toutefois, cela permet uniquement de connaître la zone géographique à l’échelle de la région : c’est la fin de la précision concernant la ville de vos visiteurs.
      • Solution 2 : crypter l’intégralité de l’adresse IP en paramétrant le masquage de l’adresse IP du visiteur au sein de la configuration de la balise Google Analytics 4. Ainsi, plus aucune donnée de localisation n’est collectée concernant les utilisateurs (même pas son pays !)

      Règle n°7 de proxyfication : Supprimer tout paramètre contenu dans les URL collectés

      Lorsque les utilisateurs accèdent à votre site, les URL contiennent souvent des paramètres qui peuvent inclure des informations personnelles sur vos utilisateurs, c’est le cas notamment des UTM . Pour respecter la protection de la vie privée des utilisateurs, il est recommandé de supprimer ou de masquer ces paramètres avant de les envoyer à Google Analytics 4.

      Cela signifie que les UTM doivent être filtrés avant le transfert à GA4, tout comme les paramètres gclid (Google Ads) ou encore fbclid (Meta Ads). Pour supprimer ces paramètres, nous ajoutons un nouveau modèle de variable “Clean Page Location” créée par Addingwell dans Google Tag Manager. Il faudra ainsi ajouter la variable dans la balise GA4 “Données d’événements” au paramètre “page_location”.

      En supprimant les paramètres d’URL, Google Analytics ne sera plus en capacité de déterminer vos sources d’acquisition car la CNIL considère cette donnée comme personnelle.

      Règle n°8 de proxyfication : Supprimer toute autre donnée pouvant mener à une réidentification

      Enfin, il est important de passer en revue toutes les autres données collectées par GA 4 pour supprimer ou masquer toute information qui pourrait mener à une réidentification des utilisateurs. Cela peut inclure des informations de localisation précises, des identifiants uniques, des adresses email etc.
      Il est ainsi nécessaire de questionner un expert RGPD et protection des données personnelles en cas de question sur certaines données à faire remonter dans Google Analytics 4.

      Vous souhaitez discuter Proxyfication de Google Analytics 4 avec nous ?

      Qweri est partenaire de l’éditeur Tracking Server-Side Addingwell

      Nous sommes partenaires avec Addingwell, une solution française qui fournit l’infrastructure nécessaire pour GTM server-side. En effet, des serveurs impliquent une infrastructure et des coûts serveurs. Addingwell vous permet de maîtriser les coûts de votre infrastructure en toute sérénité,

      Qweri n’a aucun partenariat rémunéré, 100% de nos partenariats sont issus de nos convictions technologiques.

      Addingwell Logo

      En tant qu’agence Web Analytics, nous vous accompagnons sur toutes ces problématiques, découvrez nos expertises Web Analytics !

      Vous recherchez :

      Une agence Google Tag Manager

      On vous parle balise, variable, déclencheur…

      Une agence experte en plan de taggage

      On tracke tout ce qui matche avec vos objectifs business…

      Une agence spécialisée en CRO

      On accélère vos taux de conversion…

      Une formation Web Analytics

      Pour découvrir ou encore se perfectionner…

      Une agence Google Analytics

      Pour déployer votre tracking sur Google Analytics 4…

      Et quelques unes de nos réalisations Google Tag Manager Server Side

      Odabaïa
      Déploiement de Facebook Conversion API (Facebook CAPI)

      CoffeeSoft
      Déploiement des pixels Ads en Server-Side

      Mouratoglou Academy
       Migration de Universal Analytics vers Google Analytics 4 en Server-Side