Un guide pratique de identifiants personnels

Ce guide explique identifiants personnels de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Les identifiants Google Analytics ne sont pas de simples détails techniques d'implémentation. Ce sont les mécanismes qui permettent à GA4 de distinguer les utilisateurs, de relier les événements en sessions, d'alimenter les fonctionnalités publicitaires et de générer des rapports qui semblent plus précis que de simples compteurs de pages agrégés.

Pour les équipes de confidentialité, la question clé n'est pas de savoir si un identifiant ressemble à un nom. Il s'agit de savoir s'il peut isoler un navigateur, un appareil, une installation d'application, un compte ou une personne. En vertu du RGPD, les identifiants en ligne peuvent constituer des données personnelles lorsqu'ils se rapportent à une personne identifiable.

Cela ne fait pas de tout identifiant analytique une « PII » au sens étroit et quotidien de nom, e-mail, téléphone ou adresse. Un Client ID est généralement pseudonyme. Il mérite tout de même des contrôles, car les identifiants pseudonymes peuvent relier des comportements dans le temps et peuvent devenir identifiables lorsqu'ils sont combinés à d'autres données.

Client ID

Pour les sites web, Google indique qu'Analytics stocke un client ID dans un cookie propriétaire nommé _ga afin de distinguer les utilisateurs et sessions uniques (collecte de données GA4). Google indique également que les clients peuvent contrôler si les cookies sont utilisés pour stocker un identifiant client pseudonyme ou aléatoire (garanties Google Analytics).

Un client ID est pseudonyme, pas anonyme. Il ne contient peut-être pas de nom, mais il peut relier les pages vues et les événements provenant du même navigateur dans le temps. Combiné à la localisation dérivée de l'IP, aux informations sur l'appareil, aux chemins de pages, aux données de campagne et aux détails d'événements, il devient un enregistrement comportemental.

User ID

Le User ID est facultatif, mais plus sensible. Il permet à un site d'envoyer son propre identifiant pour les utilisateurs authentifiés afin qu'Analytics puisse relier l'activité entre appareils et sessions. S'il est implémenté avec négligence, il peut devenir une donnée personnelle directe ou un identifiant interne stable qui facilite la ré-identification.

N'envoyez jamais d'adresses e-mail, de noms d'utilisateur, de numéros de téléphone ou d'identifiants CRM dans Google Analytics en tant que User ID ou dimensions personnalisées sans une validation juridique explicite. Les politiques de Google Analytics interdisent l'envoi d'informations personnellement identifiables à Analytics, et le risque pour la vie privée augmente fortement lorsque l'analytique est jointe aux données de compte.

Session ID et identifiants d'événements

Le modèle d'événements de GA4 regroupe les interactions en sessions et événements. Les identifiants de session aident les rapports à calculer l'engagement, les conversions et les parcours. Même lorsqu'un seul identifiant de session est de courte durée, il peut tout de même révéler le comportement au cours d'une visite : pages consultées, fichiers téléchargés, étapes de formulaire atteintes et clics sortants.

Cela importe sur les sites sensibles. Une session qui inclut des visites sur des pages liées à la santé mentale, à l'aide juridique, à la politique ou à la médecine peut révéler plus que ce que l'utilisateur souhaitait.

App Instance ID et identifiants mobiles

Pour les applications, Google indique que le SDK Firebase génère et attribue automatiquement un identifiant d'instance d'application à chaque instance d'application, et que le SDK peut collecter des identifiants mobiles tels que l'Android Advertising ID et l'Identifier for Advertisers d'iOS lorsqu'ils sont disponibles (collecte de données GA4).

Les identifiants mobiles soulèvent des problèmes supplémentaires de consentement et de politique de plateforme. Sur iOS, le cadre App Tracking Transparency d'Apple peut exiger une autorisation de l'utilisateur pour le suivi à travers les applications et les sites web détenus par d'autres entreprises. Sur Android, le comportement de l'identifiant publicitaire dépend des paramètres et autorisations de la plateforme.

Google Signals

Google Signals constitue un sujet de confidentialité distinct. Google indique que l'activation de Google Signals peut permettre le remarketing, les fonctionnalités de rapports publicitaires, ainsi que les données démographiques et centres d'intérêt des utilisateurs connectés à un compte Google avec la personnalisation des annonces activée (documentation Google Signals).

Cela peut être utile aux annonceurs, mais cela rapproche l'analytique de l'identité publicitaire. Si vous n'avez pas besoin de remarketing ou de rapports démographiques, désactiver Google Signals réduit le risque et simplifie l'explication dans votre avis de confidentialité.

Adresses IP et localisation

Google indique que GA4 ne consigne ni ne stocke les adresses IP, et utilise les adresses IP à des fins telles que la déduction de la localisation et la protection du service (garanties Google Analytics). C'est un contrôle significatif, mais cela ne rend pas pour autant anonyme le reste du jeu de données analytique. Les Client ID, séquences d'événements, données d'appareil et fonctionnalités liées au compte peuvent toujours constituer des données personnelles.

Évitez l'erreur courante consistant à dire « GA4 est anonyme parce que les adresses IP ne sont pas stockées ». La législation sur la confidentialité examine l'ensemble du jeu de données et l'identifiabilité raisonnable, pas seulement un champ.

Pourquoi les identifiants déclenchent des questions de consentement

En Europe, le stockage ou l'accès à des identifiants sur un appareil peut déclencher les règles de consentement aux cookies de la directive ePrivacy. Le RGPD régit ensuite le traitement des données personnelles qui s'ensuit. Ce sont des questions liées mais distinctes : ePrivacy peut exiger un consentement pour le mécanisme de stockage ou d'accès, tandis que le RGPD exige une base légale pour le traitement subséquent. Cette base légale est souvent le consentement pour la publicité ou le profilage, mais il n'est pas exact de dire que chaque identifiant nécessite toujours le consentement RGPD dans toutes les configurations.

Un consentement valide, lorsqu'il est utilisé, doit être donné librement, spécifique, éclairé et univoque, comme l'explique le CEPD (orientations du CEPD sur le consentement).

Si GA4 est configuré avec des fonctionnalités publicitaires, une longue rétention, un User ID ou Google Signals, la charge de consentement et de transparence augmente. S'il est configuré uniquement pour une mesure limitée derrière une CMP, le risque peut être plus faible mais pas nul.

Liste de vérification d'une configuration plus sûre

Pour les équipes qui conservent GA4, envisagez ces contrôles :

• Désactivez Google Signals sauf besoin spécifique
• N'activez pas la personnalisation publicitaire par défaut
• N'envoyez pas de User ID sauf si nécessaire et validé
• N'envoyez jamais d'e-mails ou d'autres identifiants directs
• Supprimez les données personnelles des URL avant le suivi
• Gardez les propriétés d'événement catégorielles et minimales
• Utilisez le Consent Mode avec précaution et comprenez les modes basique et avancé
• Raccourcissez la durée de conservation des données dans la mesure du possible
• Excluez le trafic interne
• Examinez les exports liés à Google Ads et BigQuery

Pour les équipes qui n'ont besoin que des performances du site, des campagnes et des conversions, envisagez une analytique axée sur la confidentialité qui évite entièrement les identifiants persistants.

Liste de vérification d'audit des identifiants

Séparez les identifiants directs, les identifiants en ligne pseudonymes et les métriques agrégées. Notez si la mesure améliorée, Google Signals, la personnalisation publicitaire, le User-ID, l'export BigQuery, le Consent Mode, la mesure inter-domaines et les paramètres spécifiques à une région sont activés. Pour chaque identifiant, documentez son objectif, sa durée de vie, son emplacement de stockage, sa base légale, sa dépendance au consentement et s'il quitte votre organisation.

Conservez GA4 uniquement là où l'écosystème publicitaire ou de reporting de Google justifie le coût en matière de confidentialité, de consentement et de maintenance. Pour les pages de référence, les référents, les campagnes, les objectifs et les entonnoirs agrégés, une analytique axée sur la confidentialité peut répondre à la question avec moins d'identifiants.

En résumé

Les identifiants sont ce qui transforme l'analytique d'un comptage agrégé en mesure comportementale. C'est parfois justifié. Souvent, c'est plus que ce dont a besoin un site marketing.

Avant d'activer un nouvel identifiant, demandez-vous quelle décision il soutient. Si la réponse est vague, laissez-le désactivé. La pile analytique la plus propre est celle qui mesure les résultats sans accumuler d'identité.

Auditer les dimensions personnalisées

Les dimensions personnalisées sont l'endroit où entrent de nombreux problèmes de confidentialité de GA4. Examinez chaque dimension et paramètre à la recherche d'identifiants directs, d'ID internes, de texte libre et de contexte sensible. Si une propriété n'est utile que pour identifier une personne ou un compte, elle a probablement sa place dans un CRM ou une base de données produit avec des contrôles d'accès plus stricts, et non dans un rapport d'analytique marketing.