Un guide pratique de collecte de donnees

Ce guide explique collecte de donnees de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Google Analytics collecte des données utilisateur via des balises, des cookies, des identifiants, des paramètres d'événement, des informations sur l'appareil et des intégrations avec d'autres produits Google. GA4 diffère d'Universal Analytics sur plusieurs points importants, mais il reste un système d'analyse construit autour d'événements de mesure et d'identifiants.

Pour les équipes chargées de la vie privée, la question pratique n'est pas de savoir si GA4 est « bon » ou « mauvais ». Il s'agit de savoir ce que votre implémentation collecte, quelles fonctionnalités sont activées, où circulent les données et si la configuration correspond à votre base légale et aux attentes des visiteurs.

La balise déclenche la collecte

Sur les sites web, Google Analytics commence généralement par une balise Google ou un conteneur Google Tag Manager. Lorsque la page se charge, la balise peut envoyer des événements tels que des pages vues, des défilements, des clics sortants, des téléchargements de fichiers, des interactions avec des formulaires et des engagements vidéo selon la configuration.

Google indique que la collecte par défaut de GA4 inclut le nombre d'utilisateurs, les statistiques de session, la géolocalisation approximative, les informations sur le navigateur et l'appareil, ainsi que les événements de mesure améliorée lorsqu'ils sont activés (Collecte de données GA4). Cette liste par défaut est déjà bien plus large qu'un simple compteur de pages.

Cookies et identifiants client

GA4 stocke un identifiant client dans un cookie propriétaire _ga afin de distinguer les utilisateurs et les sessions uniques, à moins que le stockage des données analytiques ne soit désactivé via le mode Consentement. Google indique qu'Analytics utilise des cookies propriétaires et des identifiants d'instance d'application pour mesurer les interactions des utilisateurs (Garanties de Google Analytics).

L'identifiant client est pseudonyme, mais il peut tout de même constituer une donnée personnelle lorsqu'il permet d'isoler un navigateur dans le temps ou peut être recoupé avec d'autres données. Il relie pages vues, événements, conversions et visites de campagnes en un historique comportemental.

Adresse IP et localisation

Google indique que GA4 ne consigne ni ne stocke les adresses IP. Il utilise les adresses IP pour en déduire la localisation et pour la sécurité du service, puis ne stocke pas l'IP brute dans les rapports GA4 (Garanties de Google Analytics).

C'est une véritable amélioration en matière de vie privée par rapport aux anciens schémas analytiques, mais cela ne rend pas l'ensemble du jeu de données anonyme. Les données d'appareil, les identifiants client, les séquences d'événements, l'identifiant utilisateur, Google Signals et les intégrations publicitaires peuvent toujours créer des données personnelles.

Informations sur l'appareil et le navigateur

GA4 peut collecter le navigateur, la catégorie d'appareil, le système d'exploitation, la résolution d'écran, la langue et des informations similaires. Ces dimensions aident les équipes à comprendre le comportement mobile vs ordinateur, les problèmes de navigateur et les besoins de localisation. Elles peuvent aussi contribuer à l'identifiabilité lorsqu'elles sont combinées à d'autres champs.

C'est pourquoi les revues de confidentialité doivent examiner l'intégralité de la charge utile d'événement et pas uniquement les cookies.

Événements et paramètres

GA4 est basé sur les événements. Tout est un événement : pages vues, achats, clics, étapes de formulaire, recherches, connexions et actions personnalisées. Chaque événement peut inclure des paramètres.

Cette flexibilité est puissante et dangereuse. Les équipes envoient souvent par inadvertance des données personnelles via :

• Des URL de page contenant des e-mails, des jetons ou des termes de recherche
• Des valeurs de champs de formulaire capturées comme paramètres d'événement
• Des dimensions personnalisées avec des identifiants clients ou des noms de comptes
• Des noms de fichiers révélant un contenu sensible
• Des champs de débogage internes qui identifient les utilisateurs

Les politiques de Google Analytics interdisent l'envoi de données personnellement identifiables à Analytics, mais la prévention relève de votre responsabilité. Nettoyez les URL, évitez les propriétés d'événement en texte libre et examinez les dimensions personnalisées avant le lancement.

Google Signals et fonctionnalités publicitaires

Lorsque Google Signals est activé, Google indique qu'Analytics peut utiliser les données des utilisateurs Google connectés ayant activé la personnalisation des annonces pour prendre en charge le remarketing, les fonctionnalités de reporting publicitaire ainsi que les données démographiques et centres d'intérêt (Documentation Google Signals).

Cela modifie le profil de confidentialité. Un outil de mesure devient connecté à une identité publicitaire et à un reporting multi-appareils. Si votre activité n'a pas besoin du remarketing ou des rapports démographiques, désactiver Google Signals constitue une réduction significative du risque.

Le mode Consentement modifie le comportement, mais pas le besoin de gouvernance

Le mode Consentement peut ajuster le comportement des balises Google en fonction du consentement. En mode basique, les balises sont bloquées jusqu'au consentement. En mode avancé, les balises peuvent envoyer des pings sans cookies pendant que le consentement est refusé, ce que Google peut utiliser à des fins de modélisation (Configuration du mode Consentement).

Ce n'est pas un substitut à une analyse de confidentialité. Votre équipe doit toujours déterminer si le mode avancé est approprié, comment la bannière l'explique, si les règles ePrivacy locales autorisent le stockage ou l'accès associés, et comment les données modélisées doivent être rapportées en interne.

Transferts internationaux et questions relatives aux fournisseurs

Les données GA4 peuvent impliquer des entités Google, des lieux de traitement, des sous-traitants et des mécanismes de transfert. Le cadre Data Privacy Framework UE-États-Unis fournit actuellement une voie d'adéquation pour les entreprises américaines certifiées, mais les organisations doivent toujours examiner les conditions des fournisseurs, les accords de traitement des données et le contexte du transfert (Commission européenne — transferts UE-États-Unis).

Le statut juridique d'un mécanisme de transfert ne supprime pas la nécessité d'une minimisation des données, d'un consentement valide lorsqu'il est requis et de notices transparentes.

Configuration GA4 plus sûre

Si vous conservez GA4, réduisez le rayon d'impact :

• Placez les balises derrière une CMP correctement configurée lorsque cela est requis
• Désactivez Google Signals sauf besoin spécifique
• Évitez la personnalisation des annonces par défaut
• N'envoyez pas d'identifiant utilisateur (User ID) sans revue juridique
• Supprimez les données personnelles des URL
• Gardez les paramètres d'événement catégoriels et minimaux
• Examinez les paramètres de mesure améliorée
• Limitez la durée de conservation des données
• Contrôlez les exports BigQuery et les autorisations d'accès
• Documentez ce que chaque événement personnalisé collecte

Alternative axée sur la vie privée

De nombreux sites web utilisent GA4 parce qu'il est familier, non parce qu'ils ont besoin de tout son écosystème d'identité et de publicité. Si vos exigences réelles concernent le trafic, les référents, les campagnes, les objectifs, les téléchargements de fichiers et les entonnoirs, une configuration analytique sans cookies peut répondre aux mêmes questions métier avec moins de données personnelles.

Google Analytics peut être configuré avec plus de soin que de nombreuses installations par défaut, mais cela reste un système complexe. Plus vous activez de fonctionnalités, plus la gouvernance est nécessaire. L'analytique axée sur la vie privée part de l'hypothèse inverse : collecter le moins de données nécessaires à la prise de décision, puis n'ajouter que ce que vous pouvez justifier.

Documentez votre configuration réelle

Le risque lié à GA4 dépend fortement des paramètres. Tenez un bref relevé des flux activés, des choix de mesure améliorée, du mode Consentement utilisé, du statut de Google Signals, des comptes Google Ads liés, des dimensions personnalisées, des paramètres de conservation et des destinations d'export. Ce document aide les équipes juridiques, marketing et techniques à discuter de la même implémentation au lieu de débattre d'une version abstraite de Google Analytics.

Liste de contrôle pour la revue de la collecte

Examinez GA4 comme une implémentation, pas comme un produit abstrait. Recensez les événements par défaut, les événements de mesure améliorée, les paramètres personnalisés, le comportement des cookies, le mode Consentement, Google Signals, la personnalisation des annonces, le User-ID, l'export BigQuery, la mesure inter-domaines, les paramètres régionaux et la conservation. Inspectez ensuite les charges utiles réseau réelles et le stockage du navigateur avant consentement, après refus et après acceptation.

Utilisez l'inventaire pour séparer le consentement ePrivacy au stockage/accès de la base légale GDPR pour le traitement ultérieur. Une configuration peut être sans cookies tout en traitant des données personnelles, et un identifiant pseudonyme peut tout de même nécessiter des contrôles même lorsqu'il ne s'agit pas d'une PII directe.