Suivi de l’audience en 2021 : où en est-on ?

Dans un contexte post-application des lignes directives de la CNIL au 1er avril 2021, il devient de plus en plus difficile de suivre son audience en respectant le consentement des internautes où beaucoup de confusions sont faites.

Commençons par une brève introduction à la notion de consentement et données personnelles au cas où vous seriez nouveau ici (bonjour d’abord). Pour les puristes, il est possible que je vulgarise quelques concepts déjà bien complexes, gardez vos insultes pour Twitter svp.
Pour la plupart des sites, le suivi de l’audience consistait à installer un script Google Analytics sur toutes les pages qui, lors de l’arrivée d’un visiteur inconnu, lui ajoutait un cookie relié au nom d’hôte (ici, webalab.fr) en le remplissant d’une valeur unique (nombre aléatoire et timestamp). Lors du retour de l’utilisateur sur le site, GA interrogeait le cookie pour savoir s’il s’agissait d’un visiteur connu ou d’un nouveau visiteur.
Or cette valeur unique est le noeud du problème : il s’agit d’une donnée personnelle (tout comme peut l’être l’adresse IP) et depuis le 1er avril il faut le consentement pour déposer ce cookie.
Si on veut creuser plus loin on pourrait aussi souligner que Google Analytics avait des conditions assez floues sur l’utilisation des données et le partage entre ses différents services. Malgré des efforts de clarification, cette partie est encore un point de blocage entre la CNIL et Google et cela ne devrait pas se débloquer avant cet été (c’est Google qui le dit).

Comme la CNIL n’a pas fait d’effort public de clarification, ne souhaitant pas rentrer dans une désignation particulière d’un outil plutôt qu’un autre, beaucoup d’éditeurs de site ignorent ou font semblant d’ignorer la notion de consentement dans la récupération de leurs statistiques.
Si on tire un peu le fil on peut aussi constater que la CNIL n’a pas mis en place de système automatisé de contrôle pour envoyer un premier avertissement sur les sites n’ayant pas effectué de mises à jour. Ce point fait d’ailleurs le bonheur de certains spammeurs qui se font passer pour la CNIL et balancent sans vergogne des fausses amendes à des gens peu connaisseurs à payer en bitcoin, mais c’est un autre débat.

Intéressons nous maintenant à ceux qui veulent se mettre dans les clous : la plupart ont mis un système de collecte de consentement plus ou moins bien paramétré et ont vu leurs stats s’écrouler. Peut-on vraiment en vouloir à certaines personnes d’être revenu en arrière lorsque des milliers d’euros par an sont investis en publicité et qu’il est impossible de voir l’impact de différentes campagnes ? À vrai dire, tout est une question de nuance et comme souvent avec ce type de loi on a eu les gros qui ont su s’adapter et des petites entreprises qui se retrouvent à devoir gérer un projet de consentement compliqué et qui finiront par créer une page de vente sur Facebook ou Wix pour avoir moins à gérer.

Le trait est volontairement gros mais on pourrait le résumer en une question : comment suivre son trafic en 2021 sans installer 50 outils ? Plus simplement dit : peut-on se passer d’un bandeau cookies (ou CMP pour les intimes) alors qu’on souhaite juste envoyer Google Analytics ?

Sans suspense, la réponse à la deuxième question est : non. Pas pour le moment. Toutefois, cela nous amène à un deuxième point : il n’y a pas que Google Analytics sur le marché. En fait il en existe plein, trop parfois et dans la suite de cet article nous allons vous donner quelques pistes pour choisir le bon.

Mauvaise option : garder Google Analytics sans consentement

Ce paragraphe doit être là puisque la réalité des choses est que beaucoup de sociétés vont choisir cette option. Il est donc normal de regarder dans quoi vous vous embarquez avec cette solution car non, votre cookie GA ne résume pas votre vie, Google en sait déjà assez sur vous sans cet outil.

Ici le but est de jouer au plus bête. Techniquement la CNIL n’a jamais dit publiquement que Google Analytics n’était pas compatible, et même s’ils lisent ces lignes (bonjour) je les mets au défi de le faire. Tant qu’il n’existe pas un article clair vous pouvez utiliser la technique « qu’ils viennent me chercher » pour être fixé. Après tout c’est actuellement la technique utilisée par les éditeurs proposant un cookie wall accès alternatif à la légalité discutable sur lequel la CNIL n’a pas rendu son jugement.

Les gros n’appliquent pas la loi : avez-vous vu un bouton refuser sur Google ou Facebook ? Même certains sites publics n’appliquent pas ces nouvelles directives (bonjour Ameli). Si vous êtes moins gros qu’eux et que vous ne faites pas n’importe quoi avec les données personnelles (du genre les accès publics à toute votre base client), le risque de plainte sera assez faible.

Même dans le cas d’un contrôle, vous risquez une demande de mise en conformité pour vous remettre sur les rails. Certes celle-ci n’arrivera jamais au bon moment mais si vous n’avez pas le choix vous pourrez prouver votre bonne foi en mettant quelques éléments de base : IP anonymisé, cookie à 13 mois, stockage des données à 14 mois, pas de cross domain tracking, non partage avec la publicité, pas de suivi des conversions avec des ID nominatifs. Si la CNIL vous dit que ce n’est pas compatible, demandez-leur précisément pourquoi (je vous aide à rédiger le courrier si vous le souhaitez) et publiez-le sur Internet, au moins vous aurez fait avancer le débat avec un écrit de leur part.

Alors oui, ce paragraphe est à charge et je ne recommande pas de le faire (puisque la suite de l’article vous montrera des solutions plus simples) mais quand un outil a une part de marché énorme un minimum de clarification relève juste du bon sens sinon les gens vont juste arriver à cette déduction.

Attention aussi, je remets une couche sur le fait que ce soit une mauvaise idée : certains internautes sont très au courant de la loi et s’amusent à chasser les sociétés qui font ce genre de pratique. À mes yeux le risque de name shaming est bien plus concret qu’un contrôle CNIL, raison de plus pour ne pas le faire.

Attention : entre le début de la rédaction de cet article et aujourd’hui, la CNIL a annoncé avoir « épinglé » une vingtaine d’organismes privés et public : https://www.cnil.fr/fr/cookies-une-vingtaine-organismes-mis-en-demeure
Leurs noms sera révélé s’ils sont toujours en non-conformité courant juin, avec une amende (donc peu de chances que cela arrive puisqu’on parle de 2% du CA)

Maintenant qu’on a supprimé cette part de mauvaise foi de tous les chevaliers blancs de l’Analytics qui disent de ne pas le faire tout en continuant à bosser sur des GA partant sans consentement, nous allons pouvoir vous donner de vraies alternatives qui ne tomberont pas lorsque la CNIL aura décidé de faire quelques bénéfices rapidement pour se payer de nouveaux bureaux.

Option 1 : Les alternatives sans consentement

Parmi les discussions sur l’analytics une idée qui revient souvent est qu’il faudrait absolument être sur la liste blanche de la CNIL pour être utilisé sans consentement. C’est faux (comme le montre ce petit js sans consentement de Piwik sur le site de la CNIL alors que cette solution n’est pas encore dans la liste)

En effet, la CNIL va valider une technologie soumise via un formulaire mais cela n’empêche pas d’autres solutions de respecter les lignes directrices. De même, certains outils exemptables ont des failles dans la documentation qui ne vous couvriront pas en cas de contrôle si vous ajoutez n’importe quoi.

Voici une liste de petits scripts qui semblent remplir le cahier des charges : des outils avec une possibilité de ne pas déposer de cookie pour suivre les statistiques :

Disclaimer : nous n’avons pas la prétention de connaitre la totalité du marché, nous n’avons pas testé l’ensemble de ces outils (cf. parenthèse plus haute sur le budget de Webalab). Certains de ces outils demanderont une installation un peu plus complexe qu’un simple script, d’autres se rajouteront en un copier coller dans GTM ou votre HTML.

Il faut prendre un peu de temps pour voir l’outil qui vous correspond le plus. Si vous n’êtes pas dev, plausible.io et simpleanalytics.com semblent être les meilleurs choix avec des fonctionnalités un peu avancées pour le deuxième.

Vérifiez bien à quoi correspondent les différentes metriques si vous souhaitez faire un comparatif entre les outils, un exemple avec la data policy de plausible.io.

capture plausible.io

Nous avons utilisé plausible.io sur quelques jours, cf fin d’article.

Option 2 : La double mesure avec CMP

Si vous avez du trafic et que vous souhaitez utiliser votre outil d’analytics à 100% (en optimisant vos publicités par exemple) cette solution est faite pour vous.

Tout d’abord il faudra vous munir d’une CMP. Je vous renvoie à l’article de Valérian qui vous explique quelques bases pour bien la choisir, nous essaierons d’aller plus loin sur les présentations car chaque CMP correspond à un besoin précis (si vous êtes éditeur de CMP, nous vous rappelons que nous avons 0 budget et un formulaire de contact…). Il faut aussi faire tout un exercice dans le cadre de la mise en conformité RGPD mais pour clarifier cet article (déjà trop long) nous allons rester focalisé sur l’analytics.

L’idée ici est d’envoyer un analytics dégradé sans consentement et un analytics complet avec consentement.

Pour l’analytics « dégradé », referrez vous à la liste du paragraphe précédent puis conditionner au consentement votre outil non exemptable d’analytics via votre CMP ou GTM.

Vous allez donc jongler avec deux outils et le delta entre les deux vous donnera une mesure du consentement chez vous. Ce n’est pas une solution fiable car entre les outils les définitions ne sont pas les mêmes, il vous faudra donc accepter que les statistiques sont différentes d’un outil à l’autre et jouer sur les tendances plutôt que des valeurs absolues.

Option 3 : la mesure hybride

Peut-être la fonctionnalité la plus aboutie puisque certains outils puisque vous aurez une mesure respectueuse du choix de l’utilisateur. En clair, l’outil va récupérer le consentement et va ensuite agir différemment selon ce dernier. Si nous prenons par exemple AT Internet, l’outil enregistrera toutes les données de scope utilisateur en cas de consentement et les bloquera en cas de refus.
À cela, vous pouvez ajouter une option pour faire un choix très fin sur les données « exemptables » dans l’interface qui vous permettront d’ajouter les dimensions que vous estimez exemptables : et c’est là que la CNIL peut ne pas être d’accord avec vous. Par exemple : la source d’une session est-elle exemptable ? Non mais les sources de l’ensemble de vos sessions peuvent l’être…

En cas de faible trafic cela posera toutefois une question de sécurité : en additionnant le navigateur, la source et quelques autres données vous serez capable de dédupliquer vos sessions et d’avoir un pseudo-identifiant utilisateur. C’est ce qu’on appelle du fingerprinting et c’est pas très joli. Ne joue pas avec ça, tu risques de te faire pincer très fort.

Voici ceux que j’ai en tête, si j’en oublie n’hésitez pas à commenter je rajouterai dans cette liste :

On essaiera de refaire un article sur le mode hybride. Si vous êtes un peu dev, n’hésitez pas à aller voir la plupart des sites présents dans la liste de l’ACPM, ils tournent sous AT mode hybride.

Exemple mesure hybride AT Internet

Option 4 : Les stats serveur

Il reste une dernière option pour ceux qui veulent se débarrasser complétement des scripts envoyés sur leurs sites : les stats serveur.

Attention, on rentre ici dans une zone dangereuse puisqu’on parle d’outil qui va agréger l’ensemble des hits (demandes de fichiers sur votre serveur) et vous compiler ça dans un rapport. Un effort sera fait pour différencier les robots « connus » des autres visiteurs mais les chiffres seront gonflés quoi qu’il arrive. Toutefois, cela reste un bon outil pour voir les tendances de trafic si vous êtes à l’abri des scraps intensifs de robots. Vous aurez aussi un aperçu des fichiers les plus tapés par les robots, ce qui pourrait vous aider à trouver des pages qui n’ont rien à faire dans les différents index.

Soyons sérieux trente secondes : il est quasiment impossible de baser ses analyses sur cet outil à moins d’avoir un site purement statique sans CSS et sans JS. Voici la liste des pages vues de Webalab, vous allez comprendre le délire :

Cela demande beaucoup de travail et hélas des outils d’analyse de logs professionnels seront mieux équipés pour ce genre de tâche qui va plutôt être une analyse technique plutôt que d’une véritable analyse des comportements.

Récapitulatif – statistiques de Webalab

Cet article est long, j’aurai pu le découper en plusieurs parties mais le plus intéressant va se faire dans ce tableau. Pour vous faire votre propre idée de ce que peut donner le fait de mettre plusieurs outils, voici nos stats sur les 3 dernières semaines (du 9 mai au 30 mai).

OutilMode d’envoiUtilisateursNombre sessionsPages Vues
Google Analytics – Universal AnalyticsPage vue consentie161249404
Google Analytics 4Page vue consentie169313413
Piwik ProPage vue consentie165252396
Plausible.ioToutes les pages (sans consentement)419 (‘visiteurs uniques’)N/A731
AWStatsHit serveurN/A175114142

Comme vous pouvez le voir, d’un outil à l’autre nous n’avons pas les mêmes chiffres (mais ça on vous a déjà dit de pas faire de benchmark de vos KPI). Nous voyons toutefois que nos stats « consenties » représentent environ la moitié de l’audience réelle (soyez sympa, acceptez les cookies analytics) ce qui crée un énorme biais du survivant lors de l’analyse.
De même il est ridicule de se baser sur des stats serveurs ou alors uniquement pour voir la performance des pages d’entrées.

Nous vous laissons maintenant imaginer les scénarios sur vos sites et adopter le bon comportement qui vous apportera le plus de données tout en respectant le choix de vos utilisateurs. Et au cas où, faites le calcul que font certains gros sites : un bon avocat coutera sûrement moins que 2% de votre CA.

Hello 👋 Merci d'avoir lu !

On vous invite à ne manquer aucun article en vous inscrivant !

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.