Stape

Comment anonymiser les données des utilisateurs dans Google Analytics 4

Mis à jour
23 févr. 2024
Publié
21 sept. 2022
Egalement disponible

Le règlement général sur la protection des données (RGPD) a rendu nécessaire la protection de la vie privée des utilisateurs. Selon le GDPR, vous devez supprimer toute information personnellement identifiable avant de transférer les données de l'utilisateur vers un outil appartenant aux États-Unis. Cette étape est devenue indispensable car Privacy Shield n’est plus valide.

Dans cet article, je vais décrire comment supprimer automatiquement les données utilisateur en activant le stape Anonimyzer et comment supprimer manuellement les données utilisateur via le Web et le serveur GTM. Ceci est la suite de l'article publié sur notre blog, qui explique pourquoi vous devez utiliser un serveur proxy pour utiliser Google Analytics d'une manière conforme au RGPD.

Pourquoi devriez-vous supprimer les IP de Google Analytics 4Copier le lien vers cette section

Il y a eu quelques incidents dans les pays de l'UE (Italie, France, Autriche et Danemark) lorsque des personnes ont contacté les autorités locales de protection des données pour vérifier si l'utilisation de Google Analytics sur le site Web relève du RGPD. La réponse dans tous les cas était : l'utilisation de Google Analytics n'est pas conforme au RGPD.

La raison principale est que les entreprises américaines (y compris Google) ne fournissent pas suffisamment de mesures de sécurité pour protéger les données personnelles des utilisateurs de l'UE. C'est pourquoi le partage d'informations personnelles avec des entreprises américaines est contraire au RGPD. Vous pouvez trouver plus d'informations à ce sujet dans notre article de blog précédent. 

La bonne nouvelle est qu'il existe une solution pour utiliser Google Analytics tout en restant conforme au RGPD. La CNIL (autorité française de protection des données) a déclaré que pour utiliser GA de manière conforme au RGPD, vous devez mettre en œuvre les deux choses principales : le serveur proxy de l'UE et la pseudonymisation des données de l'utilisateur avant l'exportation.

Le serveur proxy n'assure aucun contact direct entre le site Web et l'outil d'analyse américain. Le moyen le plus simple de mettre en œuvre un tel serveur proxy consiste à utiliser le conteneur Google Tag Manager du serveur. Les serveurs proxy doivent corréspondre à une série de critères. Le domaine principal : la société qui vous fournit un serveur proxy doit être enregistrée dans l'UE ; Les serveurs utilisés pour héberger votre conteneur sGTM doivent être physiquement situés dans l'UE. Pour ces deux raisons, vous ne pouvez pas utiliser Google Cloud (GCP) pour sGTM. En fait, pour la même raison qu'avec Google Analytics - il appartient à Google, une société américaine.

Une autre bonne nouvelle est que Stape peut vous aider. Nous avons un produit spécifique - Stape Europe, qui répond à toutes les exigences d'un serveur proxy de l'UE. Stape Europe est enregistrée dans l'UE (Estonie) et utilise un serveur cloud européen fourni par Scaleway pour exécuter votre conteneur sGTM.

Dans cet article, je voudrais me concentrer davantage sur la deuxième partie de la loi, qui est la pseudonymisation des données des utilisateurs. Chez Stape, nous implémentons une liste de fonctionnalités qui vous aideront à supprimer automatiquement les données des utilisateurs. C'est pourquoi je vais diviser cet article en deux parties :

  • Comment supprimer/pseudonymiser automatiquement les données utilisateur à l'aide d’activation de stape Anonymizer
  • Comment supprimer manuellement les données utilisateur à l'aide du Web et du serveur GTM

La liste des données des utilisateurs qui doivent être pseudonymisées est assez vague. 

  • IP Adresse.
  • Identifiants des utilisateurs. (comme l'identifiant client Google)
  • Référent externe.
  • Paramètre d'URL.
  • Toutes les données pouvant être utilisées pour la prise d'empreintes digitales.
  • Identifiant intersite.
  • Toutes les données qui pourraient être utilisées pour l'identification de l'utilisateur.

Nous développons actuellement l'amélioration Stape Anonymizer pour GA4 uniquement. Cependant, il sera adapté et mis à disposition avec la fonction d'anonymisation UA ​​dans les futures mises à jour. 

Il est important de comprendre que la liste des paramètres envoyés par GA4 peut changer. Nous mettrons à jour cet article, mais assurez-vous de tester l'anonymat des données utilisateur avant de le publier en production.

Le meilleur outil à mon avis qui aide à suivre et à identifier les paramètres GA4 est celui-ci.

Comment aborder l'anonymisation des données utilisateurCopier le lien vers cette section

Le processus de pseudonymisation des données utilisateur a lieu à l'intérieur des balises GA4 dans le conteneur GTM Web et serveur. Si vous n'avez pas encore configuré de serveur GA4, suivez ces étapes.

Nous n'avons pas de directives strictes sur les données qui doivent être supprimées. C'est à vous de décider comment vous voulez que votre entreprise soit sécurisée. Par exemple, vous pouvez supprimer l'adresse IP de l'utilisateur ou modifier les derniers chiffres. Une autre grande question concerne les paramètres tels que le pays, la langue, le navigateur, etc. Chaque paramètre individuellement ne fournit pas suffisamment d'informations pour identifier l'utilisateur, mais un ensemble de paramètres peut les fournir. 

Il n'y a aucune question quant à savoir si vous devez supprimer des paramètres tels que l'ID client ou les requêtes d'URL. L'utilisation de chaque paramètre individuellement peut conduire à l'identification de l'utilisateur en raison de l'identifiant unique dans Google.

Supposons qu'il peut être important pour vous d'analyser le trafic ou les conversions sur mobile et ordinateur sur différents navigateurs. Faut-il supprimer toutes les données pouvant être utilisées pour la prise d'empreintes digitales et l'identification de l'utilisateur, ou ne faut-il en supprimer que certaines ? Puis-je quitter le navigateur et l'appareil si je supprime toutes les autres options ?

Assurez-vous de discuter de ces questions avec vos avocats ou DPO afin d'avoir une bonne défense si le régulateur vient à vous. Je pense que la suppression de tous les identifiants d'utilisateur pouvant être utilisés pour la prise d'empreintes digitales et la réidentification est préférable pour la sécurité de votre entreprise.

Cet article ne prétend pas être une instruction. Il s'agit tout simplement de partager l'expérience sur la suppression ou la pseudo-anonymisation des données et de la manière dont Stape le fait automatiquement. Vous pouvez choisir de ne pas utiliser notre power-up d'anonymisation ou d'anonymiser manuellement chaque paramètre.

Supprimer les données utilisateur GA4 à l'aide d'AnonymyzerCopier le lien vers cette section

Nous avons récemment publié une version bêta du power-up Anonymizer. Il est disponible pour tous les utilisateurs de Stape. L'objectif principal de l'anonymiser est de supprimer ou d'anonymiser les données des utilisateurs dans Google Analytics 4.

Pour activer l'anonymiser, ouvrez le conteneur sGTM dans stape, cliquez sur power-up et ouvrez l'anonymiser.

Anonymizer power-up in stape

La power-up Anonymizer est toujours en version bêta, car nous ajoutons de nouvelles fonctionnalités et testons des cas d'utilisation peu courants.

Vous devrez sélectionner les paramètres que vous souhaitez laisser tels quels, supprimer ou anonymiser. Une fois les paramètres configurés, vous devez mettre à jour l'URL du serveur de balisage pour Google Analytics 4. Si vous avez déjà utilisé l'URL du serveur de balisage https://sgtm.example.com lorsque l'anonymiser est activé, l'URL du serveur de balisage mise à jour ressemblera à https://sgtm.example.com/anonymize. Nous transmettons vos demandes à sGTM via le chemin /anonymize et supprimons les données spécifiées. Lorsque les requêtes GA4 passent par l'URL du serveur de balisage qui inclut /anonymize, nous supprimons ou anonymisons automatiquement les paramètres sélectionnés.

Après avoir activé et configuré Anonymizer, assurez-vous d'avoir remplacé l'URL de transport GA4 dans la balise de configuration Web GTM par celle qui se termine par /anonymize.

Informations généralesCopier le lien vers cette section

Vous aurez deux options pour la plupart des paramètres : laisser tel quel ou supprimer. Pour deux paramètres (IP et ID client), vous verrez des options d'anonymisation et d'anonymisation stricte.

IP

Anonymize - supprime le dernier octet.

Anonymize Strictly - supprime les deux derniers octets.

Client IDNe fonctionne que si vous utilisez l'identification du client géré par JavaScript.

Anonymize - utiliser un hachage de IP+UserAgent et ajouter année+mois.

Anonymize Strictly - utiliser un hash de IP+UserAgent et ajouter un timestamp, crc32_hash(IP+UA).timestamp

Nom du paramètreDescriptionGA4 ParamètreAnonymize
IPUser IPIP AddressAnonymize - supprime le dernier octet.  Anonymize Strictly - supprime les deux derniers octets.
Client IDGoogle Analytics Client ID, _ga, _ga_*, FPLC, FPID cookiescid, _ga, _ga_*, FPLC, FPID Anonymize - utiliser un hachage de IP+UserAgent et ajouter année+mois. Anonymize Strictly - utiliser un hash de IP+UserAgent et ajouter un timestamp, crc32_hash(IP+UA).timestamp
User IDUser ID, Google Developer ID, Firebase IDuid, gdid, _fid-
Session IDSession ID, New Session IDsid, _nsi-
Query parametersRemove query paramaters from Document Locationdl-
RefererDocument Referrer Header, Document Referrer Parameterreferer header, dr-

Information systèmeCopier le lien vers cette section

Agent utilisateurDocument User-Agent header, Sec-Ch-Ua header, Sec-Sh-Ua-Platform header, Sec-Ch-Ua-Mobile header, User-Agent Parameteruser-agent header, sec-ch-ua header, sec-ch-ua-platform header, sec-ch-ua-mobile header, ua-
Pays de l'utilisateurID géographique, pays actuel de l'utilisateurgeoid, _uc-
Plugins de navigateurJava Enabled, Flash Versionje, fl-
Informations sur l'écranBrowser screen resolution, Viewport sizesr, vp-
Couleurs de l'écranSpécifie la profondeur de couleurs de l'écransd-
Langue de l'utilisateurParamètres régionaux actifs du navigateurul-

User Agent Parsed (Agent utilisateur analysé)Copier le lien vers cette section

User Agent Architectureuaa-
User Agent Bitnessuab-
User Agent Full Version Listuafvl-
User Agent Mobileuamb-
User Agent Modeluam-
User Agent Platformuap-
User Agent Platform Versionuapv-
User Agent WOW64uaw-

Ads Campaign Attribution (Attribution des campagnes publicitaires)Copier le lien vers cette section

Campaign Mediumcm-
Campaign Sourcecs-
Campaign Namecn-
Campaign Contentcc-
Campaign IDci-
Campaign Termck-
Campaign Creative Formatccf-
Campaign Marketing Tacticcmt-
Google Ads IDgclid-
Google Display Ads IDdclid-

Les paramètres collectés par Google Analytics 4 se changent de temps en temps. Vous devez donc vérifier vos demandes GA4 pour vous assurer que toutes les données utilisateur sont supprimées.

Après avoir configuré les paramètres dans Anonimiser et changé l'URL de transport GA4 pour celle qui contient /anonymize à la fin, nous allons supprimer ou anonymiser les paramètres spécifiés. 

Après avoir activé l'Anonymiser et mis à jour l'URL de transport GA4, veuillez utiliser les débogueurs Web/sGTM, la console et le débogueur GA4 pour vérifier si tous les paramètres requis ont été supprimés.

Supprimer manuellement les IP de GA4 à l'aide de GTMCopier le lien vers cette section

1. IP AdresseCopier le lien vers cette section

Cela est relativement facile à mettre en œuvre mais suscite quelques controverses. Google a une fonctionnalité intégrée pour supprimer le dernier octet de l'adresse IP. En coupant l'octet précédent, la probabilité que Google puisse identifier les utilisateurs est de 1 à 256. En combinaison avec d'autres paramètres, IP peut identifier rapidement une personne spécifique.

Certaines personnes pensent qu'il suffit de couper le dernier octet. D'autres pensent que vous devez supprimer complètement l'adresse IP de l'utilisateur. Mon opinion est qu'il est préférable de remplacer complètement l'adresse IP de l'utilisateur. Vous ne savez jamais si/comment Google réutilise l'IP.

“Il convient de noter que les identifiants en ligne, tels que les adresses IP ou les informations stockées dans les cookies, peuvent couramment être utilisés pour identifier un utilisateur, en particulier lorsqu'ils sont combinés avec d'autres types d'informations similaires. Cela est illustré par le point 30 du RGPD, selon lequel l'attribution d'identifiants en ligne tels que des adresses IP et des identifiants de cookies à des personnes physiques ou à leurs appareils peut "laisser des traces qui, notamment lorsqu'elles sont combinées avec des identifiants uniques et d'autres informations reçues par les serveurs, peuvent être utilisés pour créer des profils de personnes physiques et les identifier.”

Voici ce que dit la CNIL (régulateur français) à propos de l’information privée.

Pour supprimer l'adresse IP de l'utilisateur, j'ai utilisé la balise GA4 du serveur et défini un ip_overrride sur une adresse IP aléatoire.

remove user IP

2. Identifiants des utilisateursCopier le lien vers cette section

Google attribue un identifiant client unique à la paire d'appareils de navigation et l'utilise pour identifier le moment où le même utilisateur revisite votre site. Ce paramètre doit être supprimé ou pseydoanonimise avant l'envoi à GA4.

“Pour garantir une pseudonymisation efficace, l'algorithme effectuant le remplacement doit garantir un niveau de collision suffisant (c'est-à-dire une probabilité suffisante que deux identifiants différents donnent un résultat identique après un hachage) et inclure une composante variant dans le temps (ajout d'une valeur à la valeur hachée données qui évoluent dans le temps de sorte que le résultat du hachage n'est pas toujours le même pour le même identifiant).”

C'est ce que la CNIL dit à propos de l'identifiant client.


Il existe de nombreuses approches pour anonymiser les identifiants client, tout dépend de votre imagination et d'une suite d'outils que vous utilisez. Mais assurez-vous que l'ID client est unique et que vous avez ajouté un composant variable dans le temps.

Vous pouvez utiliser un hachage d'agent utilisateur, d'adresse IP, de variable de nombre aléatoire GTM, etc. Contrairement à l'adresse IP de l'utilisateur, nous n'avons pas trouvé de moyen de supprimer l'identifiant client côté serveur, nous l'avons donc fait côté client.

hash client ID
rewrite client ID

Une fois que vous avez anonymisé l'ID client Google Analytics, vous souhaiterez peut-être remplacer les cookies GA4 par les nouvelles valeurs pour vous assurer que GA4 ne définit aucun identifiant utilisateur. Pour le faire, j'ai utilisé le modèle de balise Cookie Monster pour le conteneur GTM du serveur. Tout ce que vous avez à faire est d'ajouter des noms et des valeurs de cookies. une fois cela fait, n'oubliez pas d'utiliser la console et de vérifier les ensembles de cookies GA.

override google analytics cookies

Une fois que vous avez supprimé l'ID client, cela aura un impact significatif sur les rapports GA4. Étant donné que l'identifiant client sera unique, GA ne sera pas en mesure de déterminer les nouveaux visiteurs par rapport aux visiteurs récurrents. Ainsi que l'attribution multicanal et les événements tels que le démarrage des sessions, la première visite, etc.

3. Référent externeCopier le lien vers cette section

Un référent externe est conçu pour déterminer comment un utilisateur est arrivé sur votre site. Était-ce du trafic organique, payant ou peut-être social.

 Pour le supprimer, vous devez réécrire page_referrer.

remove external referrer

4. Paramètres contenus dans les URL collectéesCopier le lien vers cette section

L'objectif principal des paramètres dans l'URL est de déterminer l'origine des campagnes publicitaires. Les paramètres d'URL peuvent être utm_souce, utm_medium, différents types d'ID de clic, etc. En outre, certaines plates-formes insèrent automatiquement des données utilisateur dans l'URL.

Pour supprimer les paramètres d'URL, vous devez réécrire l'URL de la page. Plusieurs variables de la galerie de modèles Web GTM peuvent vous aider. J'ai utilisé Trim Query. Il vous suffit de spécifier une liste de blocage ou une liste d'autorisation de paramètres de requête, qui fera toute la magie pour vous.

remove URL parameters GA4

5. Informations pouvant être utilisées pour générer une empreinte digitale Copier le lien vers cette section

Ces informations peuvent être l'agent utilisateur, l'appareil, le navigateur, la résolution d'écran, la langue, le système d'exploitation, etc. Assurez-vous de modifier toutes les informations pouvant être utilisées pour la prise d'empreintes digitales.

remove data that can be used to generate fingerprint

6. Tous les identifiants durables ou intersitesCopier le lien vers cette section

Assurez-vous de ne pas utiliser d'identifiants intersites comme un utilisateur ou un ID CRM.

7. Toute autre donnée pouvant amener à une ré-identificationCopier le lien vers cette section

Cette partie est un peu difficile à comprendre, mais je vous propose de vérifier la demande que votre conteneur sGTM envoie à GA et de vous assurer qu'aucun paramètre ne peut être utilisé pour la réidentification de l'utilisateur.

Comment tester l'anonymisationCopier le lien vers cette section

Il existe plusieurs façons de vérifier si toutes les données nécessaires ont été supprimées ou pseudonymisées. Vous voulez d'abord accéder au débogueur du serveur GTM et voir les requêtes sortantes GA4. Assurez-vous de tester différents scénarios où il y a des paramètres personnalisés et il n’y a aucun paramètre personnalisé, paramètres d'URL, divers événements, référents, etc.

test GA4 user data anonimisation

La deuxième méthode consiste à utiliser le débogueur Google Analytics 4 et à voir quelles données GA4 traite.

test GA4 user data anonymisation GA4 debugger

Conclusion:Copier le lien vers cette section

Ce n'est pas seulement Google qui collecte les données des utilisateurs de l'UE et les transfère aux États-Unis, ce qui enfreint le RGPD. Plusieurs entreprises ont collecté des données personnelles auprès d'Européens pendant des années, et il semble maintenant que leurs pratiques seront restreintes à tous les niveaux en réponse à la désactivation du Privacy Shield et à la décision selon laquelle le transfert de données d'utilisateurs de l'UE vers les États-Unis est illégal en vertu du RGPD.

Si vous êtes propriétaire d'un site Web dans l'Union européenne, il est temps de commencer à modifier les données que vous partagez avec des entreprises américaines, sinon vous risquez d'être condamné à une amende par les autorités réglementaires.

Questions fréquemment poséesCopier le lien vers cette section

1. Comment puis-je utiliser un serveur proxy pour GA lorsqu'il est mis en œuvre par gtag.js?

Si vous utilisez gtag.js sur votre site Web pour envoyer des événements à votre conteneur serveur, vous pouvez ajouter le paramètre transport_url à votre balise existante :

gtag('config', 'TARGET-ID', {

'transport_url': 'https://analytics.example.com',

'first_party_collection': true,

});

Vous pouvez utiliser une URL d'anonymiseur pour rendre anonymes les données des utilisateurs dans GA lorsqu'elle est mise en œuvre via gtag.js. Disons que vous utilisez stape anonymizer et que votre URL d'anonymisation est https://sgtm.site.com/anonymize. Il vous suffit d'ajouter https://sgtm.site.com/anonymize comme URL de transport dans la configuration de gtag.

Tagged with:sGTM tag

Hébergez votre serveur GTM chez Stape