Web analytics : avec ou sans cookies, comment faire le bon choix ?

Introduction  

Depuis plusieurs années, le terme cookies s’est démocratisé, au-delà des blagues un peu trop faciles sur les gâteaux, les cookies représentent un véritable enjeu dans le cadre du Règlement Général pour la Protection des Données (RGPD) et remettent en question une grande partie des analyses de trafic et du fonctionnement du web.


Sommaire

  • Qu’est-ce qu’un cookie et à quoi ça sert ?
  • Comment se mettre en conformité avec le RGPD ?
  • Google Analytics, une solution basée sur les cookies
  • Matomo une alternative sans cookie à Google Analytics
  • Comment déployer Matomo sur votre site ?

Qu’est-ce qu’un cookie et à quoi ça sert ?

Les cookies sont des bouts de code informatique contenant des données et stockés sur le navigateur des utilisateurs. Ils sont laissés par les sites internet au cours de leursvisites.

Bien qu’ils soient stigmatisés de par les utilisations abusives de traçage de navigation, ils demeurent à ce jour un élément essentiel du web permettant la mise en place d’un bon nombre de fonctionnalités sur les sites internet.

Vous êtes déjà allé sur un site international ? Lorsque vous sélectionnez une langue parmi celles proposées, un cookie est déposé sur votre ordinateur pour vous éviter cette sélection de langue lors de votre prochaine visite.

Il existe deux types de cookies : les cookies internes et les cookies tiers.

Les cookies internes, comme leur nom laisse supposer, sont déposés sur le navigateur par le site en cours de visite, contrairement aux cookies tiers qui sont déposés, et exploités, par un site ou une application tierse.

Il s’agit souvent des cookies réseaux sociaux (Facebook, Twitter, …) ou de YouTube dont les codes sont appelés par le site visité et non par les internautes.

Ces cookies assurent également un rôle de fonctionnement (chargement des modules de partage des réseaux sociaux par exemple) mais permettent à ces tiers de savoir quelles pages sont visitées, dans un but publicitaire principalement, et ce, non pas seulement sur votre site, mais sur l’ensemble des sites sur lesquels leurs modules sont présents.

Au-delà de cette distinction internes et tiers, l’ensemble des cookies peut être réparti en plusieurs catégories :

Les cookies publicitaires et de traçage,
Les cookies essentiels (essentiels au bon fonctionnement du site, ne récupérant pas de données personnelles),
Les cookies relatifs à la sécurité du site web

Vous vous en doutez, les cookies les plus sensibles sont évidemment les cookies de traçage…

Comment se mettre en conformité avec le RGPD ?

Le RGPD, rentré en application en mai 2018, oblige les responsables de sites internet à mettre en place les mesures nécessaires pour garantir une confidentialité des données personnelles de leurs utilisateurs.

Il faut savoir qu’un historique de navigation (le fait de tracer le comportement d’un visiteur sur un site internet) peut comprendre ces données personnelles et privées (comme l’adresse IP).

De plus, tout dépôt de cookie sur le navigateur doit être explicitement déclaré dans lapolitique de confidentialité du site, ainsi que leur durée de stockage et la raison de leur dépôt.

La CNIL, garante de l’application du RGPD sur le territoire français, fournit une liste exhaustive des types de cookies nécessitant le consentement des utilisateurs. Parmi ces types de cookies, on retrouve :

Les cookies liés aux opérations relatives à la publicité personnalisée ;
Les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

Enfin, le consentement doit être libre, spécifique, éclairé et univoque, autrement dit, un simple bandeau de cookies informant l’utilisateur du dépôt des cookies n’est pas suffisant.

Pour chaque cookie, l’utilisateur doit être en mesure de comprendre quelles seront les données récoltées, les utilisations et doit pouvoir donner son consentement de manière explicite. Il doit également être aussi facile d’accepter les cookies que de les refuser ! Et l’utilisateur doit pouvoir retirer son consentement à tout moment.

L’ensemble des données collectées doit être stocké dans des serveurs européens, ce qui va à l’encontre des pratiques de Google Analytics, que nous allons évoquer dans la partie suivante.

Google Analytics, une solution basée sur les cookies

Analytics est un outil de Google pour mesurer et tracer le comportement des utilisateurs sur les sites internet.

Il s’agit de l’outil le plus utilisé puisqu’il atteint plus de 85% de part de marché. Sa grande force est sa gratuité et son intégration avec les autres outils Google.

A ce jour, la troisième version de Google Analytics, appelée Universal Analytics (UA) arrive à bout de souffle et laissera sa place en juillet 2023 à Google Analytics 4, déjà disponible et largement implémenté.

Pour fonctionner, ces versions de Google Analytics utilisent des cookies, qui, au regard de la CNIL, doivent faire l’objet du consentement des utilisateurs.

Or, d’après une étude, plus de 30% des utilisateurs refusent systématiquement les cookies. C’est autant de données et de statistiques d’utilisation du site qui ne sont pas collectées.

On a donc un manque de précision sur les données collectées et affichées par Google Analytics.

Au-delà de ce souci s’ajoute la non-conformité de Google avec les principes du RGPD. La CNIL et d’autres institutions européennes ont, à plusieurs reprises, épinglé le géant du web sur le traitement des données recueillies.

En effet, en plus d’être disponibles pour le ou les gestionnaires de suite via l’interface analytics, ces données sont utilisées par Google à des fins de ciblage marketing (ce qui peut être fait légalement avec le consentement de l’utilisateur mais peut poser des problèmes d’éthique à certains). Or, ces données traitées par Google le sont sur des serveurs hors union européenne, ce qui est contraire au RGPD en l’absence de tout accord garantissant un traitement des données similaire à la réglementation.

Rassurez-vous, Google n’est pas né de la dernière pluie et est en train de mettre en place des solutions respectant le RGPD et assurant une collecte de donnée minimum en cas de refus du consentement.

Il s’agit du consent mode, un terme qui deviendra de plus en plus utilisé dans les mois à venir tellement le traçage de données représentent un enjeu de taille pour les sites web et business en ligne.

Cependant, il existe déjà des alternatives crédibles à Google Analytics.

Matomo une alternative sans cookie à Google Analytics

Face à cette mainmise de Google sur le marché, et face à une éthique pouvant être remise en question, il existe une solution open source et libre de droit avec pour point d’honneur le respect de la vie privée des internautes.

Contrairement à Google Analytics, les données collectées par Matomo Analytics sont uniquement accessibles au gestionnaire du site web.

De plus, cette solution, conçue pour anonymiser les données, est recommandée par la CNIL et, en fonction de ses paramétrages, ne requiert aucun consentement de l’utilisateur. Concrètement, les deux derniers groupes de caractères de l’adresse IP ne sont pas collectés, assurant une non-identification de l’utilisateur avec des données restant pertinentes pour le web analyste.

En plus d’être une alternative à Google Analytics, Matomo propose l’outil Matomo tag manager, une alternative efficace à Google Tag Manager pour effectuer vos plans de taggage et traquer des actions précises sur votre site internet, le tout en ayant la possibilité de ne laisser aucun cookie !

Il existe deux principes de fonctionnement de Matomo Analytics, l’un auto hébergé, c’est-à-dire installé uniquement sur votre site internet, et entièrement gratuit. Un second hébergé sur le cloud (de Matomo), payant.

Comment déployer Matomo sur votre site ?

Matomo reste relativement facile à installer et correctement documenté, il est possible de s’en sortir sans être développeur web. Cependant, la version embarquée nécessite obligatoirement d’avoir accès à son serveur (en ftp) ainsi qu’une base de données MySQL installée sur son hébergement, ce qui est obligatoirement le cas pour les deux CMS suivants : WordPress et Prestashop.

1/ Vous avez un site WordPress

C’est le cas le plus simple (bien que les autres installations ne soient pas compliquées non plus), il vous suffira tout simplement d’installer et d’activer le plugin Matomo pour WordPress. Ce dernier se chargera de lier l’application Matomo à votre base de données et les accès seront associés à vos comptes utilisateurs WordPress.

2/ Vous avez un site Prestashop

La solution n’est pas compliquée non plus, mais plus onéreuse sachant que le plugin Matomo pour Prestashop coute 69,99€.

3/ Pour toute autre installation de Matomo

Pour réaliser une installation manuelle, il faut vous rendre sur le site de Matomo et télécharger le dossier d’installation que vous mettrez ensuite sur votre serveur. Il vous suffira d’appeler ce dossier via l’URL pour voir l’écran d’installation apparaitre.

Une fois Matomo complètement installé, ce dernier vous fournira un code JavaScript à copier-coller dans les fichiers html de votre site. Ce code de suivi doit apparaitre dans la totalité des pages traquées. Il est à placer dans la balise <head> de vos pages web (ce code de suivi est automatiquement mis en place sur WordPress et Prestashop).

Matomo étant maintenant installé, il vous reste donc à le configurer pour s’assurer de sa conformité au RGPD et le tour est joué !


Conclusion