64px_Speech Bubble

GTM server side : la solution pour collecter vos données analytics et respecter la CNIL

dans Actualités, RGPD, WebAnalytics,
Le 8 juillet 2022 par Blanca Rivera

En février 2022 la CNIL a mis en demeure un prestataire de services à cause de l’utilisation de Google Analytics. Quelques mois plus tard, la Commission nationale de l’informatique et des libertés (CNIL)  a fait le point sur la situation et indique qu’il existe encore un problème avec le transfert actuel de données vers les Etats-Unis, ce qui entraîne une violation du RGDP.

Dans cet article, nous vous expliquons les dernières annonces de la CNIL et comment vous pouvez continuer à utiliser Google Analytics tout en respectant le RGPD et leurs consignes.

Est-ce que la simple modification du paramétrage IP est suffisante pour la CNIL ?

Suite aux déclarations de la CNIL en février 2022, plusieurs acteurs français ont commencé à modifier le paramétrage de l’outil Google Analytics, notamment le traitement de l’adresse IP. Cependant la CNIL indique que ni la pseudonymisation ni le chiffrement sont suffisants pour considérer GA comme respectueuse du RGPD, car ces modifications n’assurent pas que les données personnelles ne seront pas transférées aux Etats-Unis.

Le problème vient du fait que les mesures prévues par Google avec la pseudonymisation permettent de rendre les données identifiables. Il existe toujours un contact direct (à travers la connexion HTTPS) entre le navigateur des utilisateurs et les serveurs de Google, ce qui fait que ces serveurs peuvent accéder aux données telles que l’adresse IP et d’autres informations sur le terminal de l’utilisateur.

Alors, quelles sont les exigences de la CNIL pour avoir une configuration analytics en conformité ?

Les mesures et solutions proposées par la CNIL : la proxyfication

L’objectif principal de la CNIL est d’éviter que les autorités américaines puissent suivre les utilisateurs qui ont visité un certain site, ce qu’on peut comprendre et qui est en effet important. Pour cela, elle propose de mettre en place un système de proxyfication, c’est-à-dire de passer par un serveur intermédiaire entre le navigateur de l’utilisateur et les serveurs de Google.

Ce serveur intermédiaire devra, donc :

  • ne pas permettre l’identification d’une personne visitant un site,
  • ne pas transmettre l’adresse IP aux serveurs de Google Analytics,
  • hasher l’identifiant utilisateur (client ID)
  • supprimer l’information du referer (afin de ne pas envoyer aux serveurs l’information d’où provient l’utilisateur),
  • supprimer tout paramètre contenu dans les URL collectées,
  • ne pas collecter un identifiant entre sites (cross-site), c’est-à-dire, pas d’User ID

Par ailleurs, la CNIL a identifié quelques solutions alternatives à Google Analytics qui pourraient être exemptées du consentement si elles sont configurées correctement, mais précise bien que cette liste ne permet pas de savoir si l’utilisation de l’outil est légal ! Oui, la CNIL peut recommander un outil pour l’exemption du consentement tout en le considérant aussi comme illégal du point de vue du Privacy Shield… La simplicité n’étant pas le point fort de la commission, nous ne sommes pas étonnés… La CNIL inclut ainsi dans ces solutions AT Internet, qui depuis 2021 fait partie du groupe Piano Analytics, un groupe américain. Donc, il pourrait exister également des transferts de données illégaux vers les Etats-Unis. Il faut se demander alors pourquoi la CNIL signale uniquement Google Analytics comme problématique…

GTM server side : la solution pour collecter les données analytics et respecter la CNIL

Comme nous l’avons déjà évoqué dans nos précédents articles, la solution est de passer par GTM server-side : un serveur intermédiaire qui vous appartient (pas forcément hébergé par Google) et qui va vous permettre de collecter vos données et les retraiter avant de les envoyer à Google Analytics.

Cette fameuse proxyfication proposée par la CNIL n’est autre que l’utilisation de GTM server-side (ou sGTM). En effet, grâce à sGTM on peut ajouter une “couche” (serveur) entre le navigateur de l’utilisateur et les serveurs de Google. Il est donc possible d’anonymiser les IP (pas de pseudonymisation) et de re-traiter toute donnée nécessaire avant de l’envoyer à Google.

GTM server side

La CNIL indique que la mise en œuvre de ce proxy peut se révéler « coûteuse et complexe », ce qui n’est pas forcément le cas. Depuis la sortie de GTM server side en 2020, nous l’avons configuré pour beaucoup de nos clients et le coût mensuel que cela implique est très bas (entre 20€ et 200€). Nous sommes devenus experts dans la configuration de sGTM et nous avons également un système d’audit qui nous permet de vérifier que vos configurations soient en conformité avec le RGPD.

Conclusion

Suite aux annonces de la CNIL, ce qu’il faut retenir c’est que pour être en conformité avec le RGPD il faut, par tout moyen, empêcher l’identification des utilisateurs. Et pour cela, la configuration de GTM server side (proxyfication) devient essentielle pour continuer à collecter vos données dans Google Analytics.

Cela va impliquer, en effet, un peu plus de temps à mettre en place, mais c’est un bon pas vers la construction d’un vrai capital de données. Vous aurez le contrôle sur vos données, sur comment elles sont collectées, traitées et envoyées.

N’hésitez pas à prendre contact avec nous pour la configuration de GTM server side et pour tout autre conseil sur comment avoir des configurations respectueuses du RGPD.