La collecte server-side au service de la conformité

Depuis, comment a réagi le marché et quelles solutions ont émergé ?

Malgré la réalité du risque juridique pesant sur les acteurs utilisant Google Analytics, le marché n’a pas encore massivement abandonné l’outil. A court-terme, la priorité a consisté à :

• Auditer sa collecte de données et vérifier la mise en oeuvre de tous les mécanismes de sécurisation existants ;
• Collecter les garanties supplémentaires qui permettraient de répondre aux objections de la mise en demeure. Il s’agit de lister les protections supplémentaires permettant de se prémunir d’une exposition de données personnelles dans le cadre de FISA 702 ;
• Analyser les outils analytics alternatifs et documenter des plans de migration pour être en mesure de les activer rapidement.

A plus long-terme, la solution la plus stable est nécessairement réglementaire et dépasse largement Google Analytics, puisque tout contrôleur ou processeur de données personnelles de nationalité américaine est potentiellement concerné (songez à Microsoft, Salesforce, Apple…). Le gouvernement américain et la Commission européenne ont annoncé un accord de principe autour d’un nouveau cadre légal, mais celui-ci ne devrait être finalisé, au mieux, que pour la fin 2022, et les autorités ont rappelé qu’il n’y avait pas de moratoire d’ici là.

Un suivi attentif des solutions minimisant ou sécurisant les données personnelles est indispensable. Avec GA4, Google annonce quelques avancées comme la suppression des adresses IP et la réduction d’autres informations collectées. La CNIL ne s’est pas encore prononcée sur ces annonces, on ne saurait prédire si elles seront jugées suffisantes.

En tant qu’entreprise présente sur internet, il est indispensable de garantir sereinement le respect de la vie privée. Cela passe par le contrôle des données envoyées aux plateformes quelles qu’elles soient. Ce contrôle est décrit par la CNIL qui évoque le principe de "proxification" dans son article expliquant pourquoi la version Universal Analytics de Google Analytics ne fournit pas de garanties suffisantes. Ce dispositif vise à supprimer le lien entre les données collectées et le navigateur, ce qui impacte nécessairement les cas d’usage publicitaires. Les cas d’usage purement analytics (décompte d’utilisateurs ou sessions, analyses de parcours) demeurent en revanche en grande partie réalisables, puisque les identifiants chiffrés (non déchiffrables par l’éditeur de solution) restent pratiquement stables pour chaque utilisateur. Il convient donc d’analyser le niveau de sécurisation adapté en fonction de votre contexte.

Fort de ce constat, fifty-five a développé depuis février 2022 une proposition technique basée sur le server-side. Agissant comme serveur « tampon » entre les navigateurs des utilisateurs et les outils de mesure finaux, le tracking server-side redonne le contrôle aux gestionnaires de site sur les données collectées afin par exemple, dans le contexte actuel :

• De soi-même masquer l’adresse IP des utilisateurs ;
• De chiffrer avec des clefs non connues de l’éditeur de solution les identifiants de cookie et autres identifiants propres au site (identifiant de transaction, numéro de compte CRM…) ;
• Minimiser des données qui, croisées à ces identifiants, permettraient d’isoler une personne, comme les numéros de version de navigateur.

‍

Le choix du fournisseur de cloud hébergeant ce serveur “tampon” va dépendre de plusieurs facteurs :

• Familiarité des équipes techniques avec les technologies sous-jacentes ;
• Niveau de garantie fournis par les éditeurs par rapport à FISA ;
• Mesures techniques permettant un contrôle total et exclusif des clés de chiffrement.

Nous avons réalisé des implémentations de référence facilement activables pour les principaux fournisseurs (GCP, AWS, Azure et OVH). Ces derniers sont américains, mais les garanties de localisation des traitements et données sont contractuelles. Nous détaillerons l’approche technique et les spécificités de chaque cloud pour ce type de projet dans un de nos prochains articles Tea House.

‍Zoom : server-side et chiffrement au service de la conformité

Pour le cas spécifique de Google Analytics 4, la meilleure approche à court-terme reste l’activation des fonctionnalités privacy natives de Google Analytics 4 pertinentes (voir ici). D’après nous, l'ajout d’une infrastructure server-side est cependant indispensable pour pleinement contrôler les transferts de données personnelles dans la durée. Une telle infrastructure apporte en outre des bénéfices en termes de sécurité et d’expérience utilisateur (voir notre webinar sur le sujet avec Commanders Act). Les impacts du server-side sur l’efficacité publicitaire sont à prendre en compte de manière à planifier une transition sans heurts vers un monde sans cookie tiers.

Si les récentes décisions de la CNIL perturbent fortement la collecte de données analytics first-party via des outils américains, d’après nous des solutions existent pour la fiabiliser. Il ne faut pas s’y tromper, le pan du marketing à risque est bien celui de la donnée third-party, et le futur se tourne irrémédiablement vers l’abandon de ces traceurs universels, trop sensibles, au profit de cohortes ou “topics” couplées à la modélisation. Le report de la fin des cookies tiers sur Chrome à 2024, bien que permettant à l’industrie publicitaire de mieux s’y préparer, a l’inconvénient de faire perdurer encore ces échanges transatlantiques de données personnelles publicitaires, et le risque juridique qui en découle. La situation actuelle n’est qu’une transition vers un marketing digital plus respectueux des données des utilisateurs.