Le règlement général sur la protection des données (RGPD) a rendu nécessaire la protection de la vie privée des utilisateurs. Selon le GDPR, vous devez supprimer toute information personnellement identifiable avant de transférer les données de l'utilisateur vers un outil appartenant aux États-Unis. Cette étape est devenue indispensable car Privacy Shield n’est plus valide.
Dans cet article, je vais décrire comment supprimer automatiquement les données utilisateur en activant le stape Anonimyzer et comment supprimer manuellement les données utilisateur via le Web et le serveur GTM. Ceci est la suite de l'article publié sur notre blog, qui explique pourquoi vous devez utiliser un serveur proxy pour utiliser Google Analytics d'une manière conforme au RGPD.
Il y a eu quelques incidents dans les pays de l'UE (Italie, France, Autriche et Danemark) lorsque des personnes ont contacté les autorités locales de protection des données pour vérifier si l'utilisation de Google Analytics sur le site Web relève du RGPD. La réponse dans tous les cas était : l'utilisation de Google Analytics n'est pas conforme au RGPD.
La raison principale est que les entreprises américaines (y compris Google) ne fournissent pas suffisamment de mesures de sécurité pour protéger les données personnelles des utilisateurs de l'UE. C'est pourquoi le partage d'informations personnelles avec des entreprises américaines est contraire au RGPD. Vous pouvez trouver plus d'informations à ce sujet dans notre article de blog précédent.
La bonne nouvelle est qu'il existe une solution pour utiliser Google Analytics tout en restant conforme au RGPD. La CNIL (autorité française de protection des données) a déclaré que pour utiliser GA de manière conforme au RGPD, vous devez mettre en œuvre les deux choses principales : le serveur proxy de l'UE et la pseudonymisation des données de l'utilisateur avant l'exportation.
Le serveur proxy n'assure aucun contact direct entre le site Web et l'outil d'analyse américain. Le moyen le plus simple de mettre en œuvre un tel serveur proxy consiste à utiliser le conteneur Google Tag Manager du serveur. Les serveurs proxy doivent corréspondre à une série de critères. Le domaine principal : la société qui vous fournit un serveur proxy doit être enregistrée dans l'UE ; Les serveurs utilisés pour héberger votre conteneur sGTM doivent être physiquement situés dans l'UE. Pour ces deux raisons, vous ne pouvez pas utiliser Google Cloud (GCP) pour sGTM. En fait, pour la même raison qu'avec Google Analytics - il appartient à Google, une société américaine.
Une autre bonne nouvelle est que Stape peut vous aider. Nous avons un produit spécifique - Stape Europe, qui répond à toutes les exigences d'un serveur proxy de l'UE. Stape Europe est enregistrée dans l'UE (Estonie) et utilise un serveur cloud européen fourni par Scaleway pour exécuter votre conteneur sGTM.
Dans cet article, je voudrais me concentrer davantage sur la deuxième partie de la loi, qui est la pseudonymisation des données des utilisateurs. Chez Stape, nous implémentons une liste de fonctionnalités qui vous aideront à supprimer automatiquement les données des utilisateurs. C'est pourquoi je vais diviser cet article en deux parties :
La liste des données des utilisateurs qui doivent être pseudonymisées est assez vague.
Nous développons actuellement l'amélioration Stape Anonymizer pour GA4 uniquement. Cependant, il sera adapté et mis à disposition avec la fonction d'anonymisation UA dans les futures mises à jour.
Il est important de comprendre que la liste des paramètres envoyés par GA4 peut changer. Nous mettrons à jour cet article, mais assurez-vous de tester l'anonymat des données utilisateur avant de le publier en production.
Le meilleur outil à mon avis qui aide à suivre et à identifier les paramètres GA4 est celui-ci.
Le processus de pseudonymisation des données utilisateur a lieu à l'intérieur des balises GA4 dans le conteneur GTM Web et serveur. Si vous n'avez pas encore configuré de serveur GA4, suivez ces étapes.
Nous n'avons pas de directives strictes sur les données qui doivent être supprimées. C'est à vous de décider comment vous voulez que votre entreprise soit sécurisée. Par exemple, vous pouvez supprimer l'adresse IP de l'utilisateur ou modifier les derniers chiffres. Une autre grande question concerne les paramètres tels que le pays, la langue, le navigateur, etc. Chaque paramètre individuellement ne fournit pas suffisamment d'informations pour identifier l'utilisateur, mais un ensemble de paramètres peut les fournir.
Il n'y a aucune question quant à savoir si vous devez supprimer des paramètres tels que l'ID client ou les requêtes d'URL. L'utilisation de chaque paramètre individuellement peut conduire à l'identification de l'utilisateur en raison de l'identifiant unique dans Google.
Supposons qu'il peut être important pour vous d'analyser le trafic ou les conversions sur mobile et ordinateur sur différents navigateurs. Faut-il supprimer toutes les données pouvant être utilisées pour la prise d'empreintes digitales et l'identification de l'utilisateur, ou ne faut-il en supprimer que certaines ? Puis-je quitter le navigateur et l'appareil si je supprime toutes les autres options ?
Assurez-vous de discuter de ces questions avec vos avocats ou DPO afin d'avoir une bonne défense si le régulateur vient à vous. Je pense que la suppression de tous les identifiants d'utilisateur pouvant être utilisés pour la prise d'empreintes digitales et la réidentification est préférable pour la sécurité de votre entreprise.
Cet article ne prétend pas être une instruction. Il s'agit tout simplement de partager l'expérience sur la suppression ou la pseudo-anonymisation des données et de la manière dont Stape le fait automatiquement. Vous pouvez choisir de ne pas utiliser notre power-up d'anonymisation ou d'anonymiser manuellement chaque paramètre.
Nous avons récemment publié une version bêta du power-up Anonymizer. Il est disponible pour tous les utilisateurs de Stape. L'objectif principal de l'anonymiser est de supprimer ou d'anonymiser les données des utilisateurs dans Google Analytics 4.
Pour activer l'anonymiser, ouvrez le conteneur sGTM dans stape, cliquez sur power-up et ouvrez l'anonymiser.
Ce produit comprend des données GeoLite2 créées par MaxMind, disponibles sur https://www.maxmind.com
Vous devrez sélectionner les paramètres que vous souhaitez laisser tels quels, supprimer ou anonymiser. Une fois les paramètres configurés, vous devez mettre à jour l'URL du serveur de balisage pour Google Analytics 4. Si vous avez déjà utilisé l'URL du serveur de balisage https://sgtm.example.com lorsque l'anonymiser est activé, l'URL du serveur de balisage mise à jour ressemblera à https://sgtm.example.com/anonymize. Nous transmettons vos demandes à sGTM via le chemin /anonymize et supprimons les données spécifiées. Lorsque les requêtes GA4 passent par l'URL du serveur de balisage qui inclut /anonymize, nous supprimons ou anonymisons automatiquement les paramètres sélectionnés.
Après avoir activé et configuré Anonymizer, assurez-vous d'avoir remplacé l'URL de transport GA4 dans la balise de configuration Web GTM par celle qui se termine par /anonymize.
Vous aurez deux options pour la plupart des paramètres : laisser tel quel ou supprimer. Pour deux paramètres (IP et ID client), vous verrez des options d'anonymisation et d'anonymisation stricte.
IP
Anonymize - supprime le dernier octet.
Anonymize Strictly - supprime les deux derniers octets.
Client ID. Ne fonctionne que si vous utilisez l'identification du client géré par JavaScript.
Anonymize - utiliser un hachage de IP+UserAgent et ajouter année+mois.
Anonymize Strictly - utiliser un hash de IP+UserAgent et ajouter un timestamp, crc32_hash(IP+UA).timestamp
| Nom du paramètre | Description | GA4 Paramètre | Anonymize |
| IP | User IP | IP Address | Anonymize - supprime le dernier octet. Anonymize Strictly - supprime les deux derniers octets. |
| Client ID | Google Analytics Client ID, _ga, _ga_*, FPLC, FPID cookies | cid, _ga, _ga_*, FPLC, FPID | Anonymize - utiliser un hachage de IP+UserAgent et ajouter année+mois. Anonymize Strictly - utiliser un hash de IP+UserAgent et ajouter un timestamp, crc32_hash(IP+UA).timestamp |
| User ID | User ID, Google Developer ID, Firebase ID | uid, gdid, _fid | - |
| Session ID | Session ID, New Session ID | sid, _nsi | - |
| Query parameters | Remove query paramaters from Document Location | dl | - |
| Referer | Document Referrer Header, Document Referrer Parameter | referer header, dr | - |
| Agent utilisateur | Document User-Agent header, Sec-Ch-Ua header, Sec-Sh-Ua-Platform header, Sec-Ch-Ua-Mobile header, User-Agent Parameter | user-agent header, sec-ch-ua header, sec-ch-ua-platform header, sec-ch-ua-mobile header, ua | - |
| Pays de l'utilisateur | ID géographique, pays actuel de l'utilisateur | geoid, _uc | - |
| Plugins de navigateur | Java Enabled, Flash Version | je, fl | - |
| Informations sur l'écran | Browser screen resolution, Viewport size | sr, vp | - |
| Couleurs de l'écran | Spécifie la profondeur de couleurs de l'écran | sd | - |
| Langue de l'utilisateur | Paramètres régionaux actifs du navigateur | ul | - |
| User Agent Architecture | uaa | - | |
| User Agent Bitness | uab | - | |
| User Agent Full Version List | uafvl | - | |
| User Agent Mobile | uamb | - | |
| User Agent Model | uam | - | |
| User Agent Platform | uap | - | |
| User Agent Platform Version | uapv | - | |
| User Agent WOW64 | uaw | - |
| Campaign Medium | cm | - | |
| Campaign Source | cs | - | |
| Campaign Name | cn | - | |
| Campaign Content | cc | - | |
| Campaign ID | ci | - | |
| Campaign Term | ck | - | |
| Campaign Creative Format | ccf | - | |
| Campaign Marketing Tactic | cmt | - | |
| Google Ads ID | gclid | - | |
| Google Display Ads ID | dclid | - |
Les paramètres collectés par Google Analytics 4 se changent de temps en temps. Vous devez donc vérifier vos demandes GA4 pour vous assurer que toutes les données utilisateur sont supprimées.
Après avoir configuré les paramètres dans Anonimiser et changé l'URL de transport GA4 pour celle qui contient /anonymize à la fin, nous allons supprimer ou anonymiser les paramètres spécifiés.
Après avoir activé l'Anonymiser et mis à jour l'URL de transport GA4, veuillez utiliser les débogueurs Web/sGTM, la console et le débogueur GA4 pour vérifier si tous les paramètres requis ont été supprimés.
Cela est relativement facile à mettre en œuvre mais suscite quelques controverses. Google a une fonctionnalité intégrée pour supprimer le dernier octet de l'adresse IP. En coupant l'octet précédent, la probabilité que Google puisse identifier les utilisateurs est de 1 à 256. En combinaison avec d'autres paramètres, IP peut identifier rapidement une personne spécifique.
Certaines personnes pensent qu'il suffit de couper le dernier octet. D'autres pensent que vous devez supprimer complètement l'adresse IP de l'utilisateur. Mon opinion est qu'il est préférable de remplacer complètement l'adresse IP de l'utilisateur. Vous ne savez jamais si/comment Google réutilise l'IP.
“Il convient de noter que les identifiants en ligne, tels que les adresses IP ou les informations stockées dans les cookies, peuvent couramment être utilisés pour identifier un utilisateur, en particulier lorsqu'ils sont combinés avec d'autres types d'informations similaires. Cela est illustré par le point 30 du RGPD, selon lequel l'attribution d'identifiants en ligne tels que des adresses IP et des identifiants de cookies à des personnes physiques ou à leurs appareils peut "laisser des traces qui, notamment lorsqu'elles sont combinées avec des identifiants uniques et d'autres informations reçues par les serveurs, peuvent être utilisés pour créer des profils de personnes physiques et les identifier.”
Pour supprimer l'adresse IP de l'utilisateur, j'ai utilisé la balise GA4 du serveur et défini un ip_overrride sur une adresse IP aléatoire.
Google attribue un identifiant client unique à la paire d'appareils de navigation et l'utilise pour identifier le moment où le même utilisateur revisite votre site. Ce paramètre doit être supprimé ou pseydoanonimise avant l'envoi à GA4.
“Pour garantir une pseudonymisation efficace, l'algorithme effectuant le remplacement doit garantir un niveau de collision suffisant (c'est-à-dire une probabilité suffisante que deux identifiants différents donnent un résultat identique après un hachage) et inclure une composante variant dans le temps (ajout d'une valeur à la valeur hachée données qui évoluent dans le temps de sorte que le résultat du hachage n'est pas toujours le même pour le même identifiant).”
Il existe de nombreuses approches pour anonymiser les identifiants client, tout dépend de votre imagination et d'une suite d'outils que vous utilisez. Mais assurez-vous que l'ID client est unique et que vous avez ajouté un composant variable dans le temps.
Vous pouvez utiliser un hachage d'agent utilisateur, d'adresse IP, de variable de nombre aléatoire GTM, etc. Contrairement à l'adresse IP de l'utilisateur, nous n'avons pas trouvé de moyen de supprimer l'identifiant client côté serveur, nous l'avons donc fait côté client.
Une fois que vous avez anonymisé l'ID client Google Analytics, vous souhaiterez peut-être remplacer les cookies GA4 par les nouvelles valeurs pour vous assurer que GA4 ne définit aucun identifiant utilisateur. Pour le faire, j'ai utilisé le modèle de balise Cookie Monster pour le conteneur GTM du serveur. Tout ce que vous avez à faire est d'ajouter des noms et des valeurs de cookies. une fois cela fait, n'oubliez pas d'utiliser la console et de vérifier les ensembles de cookies GA.
Une fois que vous avez supprimé l'ID client, cela aura un impact significatif sur les rapports GA4. Étant donné que l'identifiant client sera unique, GA ne sera pas en mesure de déterminer les nouveaux visiteurs par rapport aux visiteurs récurrents. Ainsi que l'attribution multicanal et les événements tels que le démarrage des sessions, la première visite, etc.
Un référent externe est conçu pour déterminer comment un utilisateur est arrivé sur votre site. Était-ce du trafic organique, payant ou peut-être social.
Pour le supprimer, vous devez réécrire page_referrer.
L'objectif principal des paramètres dans l'URL est de déterminer l'origine des campagnes publicitaires. Les paramètres d'URL peuvent être utm_souce, utm_medium, différents types d'ID de clic, etc. En outre, certaines plates-formes insèrent automatiquement des données utilisateur dans l'URL.
Pour supprimer les paramètres d'URL, vous devez réécrire l'URL de la page. Plusieurs variables de la galerie de modèles Web GTM peuvent vous aider. J'ai utilisé Trim Query. Il vous suffit de spécifier une liste de blocage ou une liste d'autorisation de paramètres de requête, qui fera toute la magie pour vous.
Ces informations peuvent être l'agent utilisateur, l'appareil, le navigateur, la résolution d'écran, la langue, le système d'exploitation, etc. Assurez-vous de modifier toutes les informations pouvant être utilisées pour la prise d'empreintes digitales.
Assurez-vous de ne pas utiliser d'identifiants intersites comme un utilisateur ou un ID CRM.
Cette partie est un peu difficile à comprendre, mais je vous propose de vérifier la demande que votre conteneur sGTM envoie à GA et de vous assurer qu'aucun paramètre ne peut être utilisé pour la réidentification de l'utilisateur.
Il existe plusieurs façons de vérifier si toutes les données nécessaires ont été supprimées ou pseudonymisées. Vous voulez d'abord accéder au débogueur du serveur GTM et voir les requêtes sortantes GA4. Assurez-vous de tester différents scénarios où il y a des paramètres personnalisés et il n’y a aucun paramètre personnalisé, paramètres d'URL, divers événements, référents, etc.
La deuxième méthode consiste à utiliser le débogueur Google Analytics 4 et à voir quelles données GA4 traite.
Ce n'est pas seulement Google qui collecte les données des utilisateurs de l'UE et les transfère aux États-Unis, ce qui enfreint le RGPD. Plusieurs entreprises ont collecté des données personnelles auprès d'Européens pendant des années, et il semble maintenant que leurs pratiques seront restreintes à tous les niveaux en réponse à la désactivation du Privacy Shield et à la décision selon laquelle le transfert de données d'utilisateurs de l'UE vers les États-Unis est illégal en vertu du RGPD.
Si vous êtes propriétaire d'un site Web dans l'Union européenne, il est temps de commencer à modifier les données que vous partagez avec des entreprises américaines, sinon vous risquez d'être condamné à une amende par les autorités réglementaires.
1. Comment puis-je utiliser un serveur proxy pour GA lorsqu'il est mis en œuvre par gtag.js?
Si vous utilisez gtag.js sur votre site Web pour envoyer des événements à votre conteneur serveur, vous pouvez ajouter le paramètre transport_url à votre balise existante :
gtag('config', 'TARGET-ID', {
'transport_url': 'https://analytics.example.com',
'first_party_collection': true,
});
Vous pouvez utiliser une URL d'anonymiseur pour rendre anonymes les données des utilisateurs dans GA lorsqu'elle est mise en œuvre via gtag.js. Disons que vous utilisez stape anonymizer et que votre URL d'anonymisation est https://sgtm.site.com/anonymize. Il vous suffit d'ajouter https://sgtm.site.com/anonymize comme URL de transport dans la configuration de gtag.
