Alternatives à Google Analytics : comment continuer à utiliser la pile technologique de Google et être conforme au RGPD

Au cours des deux dernières années, des événements importants se sont produits dans le domaine de l'analyse marketing qui ont affecté la qualité des données et la préparation des rapports marketing. En raison du RGPD, du mode de consentement et des restrictions d'utilisation des cookies, de nombreuses entreprises recherchent désormais des alternatives à Google Analytics. Ils craignent que leur pile technologique Google habituelle ne garantisse pas que les données collectées seront stockées uniquement dans un emplacement de l'UE.

Cependant, changer les piles technologiques est douloureux et coûteux :

• Une énorme courbe d'apprentissage et un besoin d'étudier de nouvelles technologies ralentissent les processus et nécessitent de nouvelles embauches.
• Les développeurs et les analystes doivent réimplémenter un nouveau balisage sur le site. Cela nécessite non seulement des ressources importantes, mais retarde également d'autres tâches urgentes.

La bonne nouvelle est que les entreprises n'ont pas à modifier leur pile technologique. Ils ont juste besoin de tout configurer correctement.

Dans cet article, vous apprendrez ce que les entreprises doivent faire pour se conformer au RGPD lorsqu'elles utilisent la pile technologique Google.

Il y a quelques années, tous ceux qui travaillaient dans l'analyse de données imaginaient les années à venir comme un monde magnifique où les données et la personnalisation étaient omniprésentes, avec la pile de technologies publicitaires se développant rapidement.

Que savons-nous de ce bon vieux temps ?

Collecte de données

• 99,5% des spécialistes ont utilisé Google Tag Manager pour envoyer des données où ils voulaient.
• 85,7 % des spécialistes ont utilisé Google Analytics pour la collecte de données sur le site Web.

Traitement de l'information

• Presque tout le monde utilisait ETL et DWH pour le traitement des données.
• Il était très facile de définir des clés et de les utiliser pour joindre des données et créer les rapports souhaités.

Rapport de données

Une variété d'outils de visualisation de données, y compris Google Data Studio et Google Sheets, connectés de manière transparente aux stockages de données.

En bref, il était nettement plus facile de traiter des données sans toutes les exigences externes d'aujourd'hui.

Aujourd'hui, nous devons redoubler d'efforts pour travailler avec les données des utilisateurs. Nous n'avons pas de voitures volantes et la personnalisation des données n'est pas partout. Au lieu de cela, nous avons des exigences et des limites qui créent des préoccupations supplémentaires.

Les navigateurs limitent l'utilisation de cookies tiers

Les navigateurs et les plateformes limitent la durée de vie des cookies tiers définis par un domaine tiers. Cela affecte l'affichage d'identifiants importants pour les systèmes d'analyse, tels que l'ID client dans Google Analytics. De ce fait, une quantité importante d'informations sur l'efficacité des canaux publicitaires ne sera déjà pas disponible à l'avenir :

• La part des conversions pour les nouveaux visiteurs augmentera. Cependant, il ne s'agira pas en fait de « nouveaux » visiteurs, mais plutôt d'anciens visiteurs « anciens » auxquels un nouveau cookie a été attribué.
• La part des conversions directes / aucune va augmenter.
• Le retour sur investissement des annonces payantes dans les rapports aura une marge d'erreur de 10 % à 20 %. Le plus souvent, ce sera sur le côté inférieur.

Google Analytics n'est pas conforme au RGPD

Après l'entrée en vigueur du règlement général sur la protection des données (RGPD) de l'UE, les utilisateurs de Google Analytics en Europe ont été confrontés à un problème. Google Analytics est devenu illégal pour les opérateurs de sites Web dans plusieurs pays en raison de décisions des autorités européennes de protection des données, car il n'est pas conforme au RGPD.

Désormais, les entreprises doivent supprimer Google Analytics de leurs sites Web sous peine d'amendes pour violation du RGPD. Les utilisateurs de Google Analytics opérant dans l'Union européenne ou desservant des clients dans les pays de l'UE doivent prendre des mesures immédiates pour s'assurer qu'aucune donnée personnelle n'est transférée vers des serveurs aux États-Unis ou trouver une plateforme d'analyse alternative conforme au RGPD.

De plus, pour se conformer aux exigences du RGPD, les sites Web doivent utiliser le mode consentement. Autrement dit, un site Web ne doit pas identifier les utilisateurs qui ne souhaitent pas partager de cookies. Et cela conduit au problème suivant.

Le mode Consentement réduit le nombre de conversions pour lesquelles une source de trafic peut être identifiée

Les annonceurs continueront de collecter des données sur l'activité des utilisateurs, mais ils ne seront pas en mesure de déterminer quelles interactions avec les annonces entraînent des conversions. La part moyenne d'utilisateurs qui refusent les cookies sur les sites Web avec mode de consentement mis en œuvre est de 30 %. Selon le type de site web, cette part peut atteindre 40 %.

Le volume de conversions en ligne dans les rapports marketing restera le même, mais les conversions ne seront pas liées à la source des clics et aux commandes terminées depuis le CRM. Par conséquent, vous ne pourrez pas attribuer la plupart des conversions aux campagnes publicitaires et obtiendrez un faible retour sur investissement.

Aujourd'hui, lorsqu'un analyste commence à réfléchir à la collecte, au traitement et à la transformation de données, il doit répondre aux questions délicates suivantes.

Collecte de données

• Que dois-je faire en cas de manque de données dû au RGPD, au mode de consentement et aux restrictions d'utilisation des cookies ?
• Que dois-je faire avec les utilisateurs consentants et les utilisateurs non consentants ? Comment puis-je les distinguer et obtenir des données fiables dans mes rapports ?
• Quel type de consentement dois-je demander pour suivre les paramètres UTM ? (Il est essentiel de suivre les paramètres UTM afin de faire correspondre les sessions/conversions de sites Web avec vos campagnes.)
• À quels endpoints puis-je envoyer les données des utilisateurs ? (Vérifiez les types de services que vous utilisez avant d'y envoyer des données.)
• Quel type de données puis-je suivre pour les utilisateurs non consentants ?

Traitement de l'information

• Comment puis-je m'assurer que les données des clients européens sont traitées et stockées dans un lieu de l'UE ?
• Comment les données PII circulent-elles dans tous mes pipelines et transformations de données ?

Ceux qui ont déjà eu des conversations avec leurs équipes juridiques savent à quel point il peut être frustrant de fournir une réponse claire à ce qui se passe avec les données PII lors de leur parcours vers le rapport final.

Rapport de données

• Comment pouvez-vous créer des rapports récapitulatifs pour toutes les régions si toutes ces régions ont des lois et réglementations différentes et également des serveurs différents ?
• Pourquoi le trafic direct et la part des nouveaux utilisateurs augmentent-ils de manière inattendue ?

Faisons de notre mieux pour couvrir toutes les questions ci-dessus afin de faciliter la vie des analystes dans les semaines, mois et probablement années à venir.

Presque toutes les équipes marketing disposent d'une pile technologique Google à laquelle tout le monde est habitué et qui fonctionne parfaitement depuis des années. Cependant, les limitations et les innovations décrites ci-dessus obligent les entreprises à rechercher d'autres outils pour travailler avec les données. La bonne nouvelle est que vous pouvez continuer à utiliser la pile technologique familière de Google tant que vous suivez ces directives.

1. Consultez les rapports géographiques dans Google Analytics

Vous devez comprendre de quelles régions viennent les visiteurs du site Web. Combien viennent des États-Unis par rapport à l'UE ? Vous devez absolument commencer à travailler avec les pays d'où viennent le plus souvent les visiteurs. Nous pensons que tout le monde sait où trouver ses rapports géographiques. Consultez-les et définissez la liste des pays d'où proviennent la majorité de vos visiteurs.

2. En savoir plus sur les lois sur la protection des données dans les régions des visiteurs

Quelles lois sont applicables aux visiteurs de ces comtés ? Dieu merci, il existe un excellent site Web qui combine toutes les lois et réglementations du monde entier et permet de déterminer facilement celles que vous devez suivre pour être en conformité.

3. Dédupliquer et hiérarchiser les exigences

Une fois que vous avez terminé les étapes 1 et 2, vous devez dédupliquer toutes ces exigences de différents pays. Consultez des avocats pour traduire de l'anglais juridique à l'anglais des analystes de données.

À la fin de cette étape, vous aurez compris toutes les restrictions de confidentialité, quelle que soit la plate-forme à laquelle vous allez envoyer des données. Il ne s'agit pas seulement de Google.

4. Implémentez correctement le mode de consentement.

Enfin, vous devez implémenter le mode consentement. Il est très facile de mettre en œuvre ces règles à l'aide de balises tierces ou de produits tiers intégrés à GTM. Suivez ces liens pour trouver des modèles GTM afin de demander à vos visiteurs le consentement pour envoyer leurs données aux services d'analyse.

Enfin, nous arrivons à l'étape du traitement des données. Alors qu'à l'étape précédente, vous saviez quel type de données vous pouviez collecter avec quel type de consentement, vous pouvez maintenant commencer à capturer ces données et à les traiter.

Tout le monde sait que nous ne pouvons plus simplement envoyer des données PII à GA comme nous le faisions auparavant, même si les données de GA sont ensuite exportées vers GBQ et que l'emplacement de GBQ est défini sur EU. En effet, les lois de l'UE stipulent que vous ne pouvez pas envoyer de PII directement à GA sans une configuration appropriée.

1. Configurez Google Analytics et Google Tag Manager

Ce n'est pas la tâche la plus difficile. Tout ce que vous avez à faire est de parcourir cette liste de contrôle, d'accepter le nouveau Google DPA et de désactiver les paramètres de partage de données. Plus important encore, les appels fantômes et les signaux Google doivent également être désactivés.

Avec ce qui précède fait, vous pouvez rendre GA conforme en termes de confidentialité et de toutes les réglementations en empêchant la collecte de PII sans consentement.

Cependant, dès que vous ajustez tous ces paramètres dans GA, vous constaterez que les données vraiment importantes sont introuvables dans GA ou, par conséquent, dans Google BigQuery Export.

Nous parlons de données de localisation granulaires, de certaines données PII dont vous avez besoin pour certains rapports et de certaines dimensions personnalisées qui sont utilisées comme clé pour les joindre, par exemple, avec des données CRM.

Évidemment, cet état de fait ne fonctionnera pas pour vous car en fin de compte, en tant qu'analyste, vous souhaitez créer un rapport exploitable et vous souhaitez traiter des données accessibles en SQL. Heureusement, il existe une autre solution que vous pouvez mettre en œuvre : le suivi côté serveur.

2. Configurez le suivi côté serveur sans cookie

Vous pouvez utiliser la solution OWOX ou créer la vôtre.

Inscrivez-vous pour une démo pour en savoir plus sur le suivi côté serveur OWOX BI

Quoi qu'il en soit, la chose la plus importante à propos du serveur est qu'il doit être situé dans l'UE. C'est ainsi que vous pouvez être sûr que toutes les données PII sont filtrées avant de les envoyer à tout autre service.

D'après notre expérience, le suivi côté serveur augmente la précision du suivi des campagnes d'acquisition de 20 %. Il existe donc une raison commerciale, et pas seulement une raison légale, de migrer vers le suivi côté serveur.

3. Configurer un gestionnaire de balises côté serveur

La troisième partie consiste à configurer un gestionnaire de balises côté serveur. Pourquoi c'est important? Parce que vous aimeriez avoir le contrôle sur toutes les données que vous envoyez non seulement à votre service d'analyse, mais également à tous les services publicitaires tiers (Facebook, Bing).

À ce stade, vous pouvez héberger votre gestionnaire de balises côté serveur dans un emplacement de l'UE et filtrer tous les champs PII tels que l'adresse IP. Vous pouvez envoyer uniquement les données requises pour chaque service publicitaire.

C'est ainsi que vous pouvez exporter des données d'une manière conforme aux exigences du RGPD.

Si vous rencontrez toujours des objections de la part de l'équipe juridique, dites : comment s'assurer que personne ne puisse accéder aux données PII de nos visiteurs dans Google BigQuery ?

À ce stade, il existe également une solution. Vous pouvez activer les clés KMS cloud gérées par le client et crypter vos données afin d'empêcher quiconque, et je dis bien n'importe qui, d'y accéder.

Pour être honnête, nous n'avons rencontré aucune organisation qui aurait encore des doutes sur l'utilisation de GCP une fois qu'elle aurait suivi toutes ces recommandations.

Passons maintenant à quelques recommandations plus pratiques. À quoi ressemble le mode consentement ?

Dès que vous commencez à envoyer des données avec consentement (par exemple, en utilisant OWOX BI), vous obtiendrez un paramètre dédié qui contient ce mode de consentement.

Voici un tableau de session. Comme vous pouvez le voir, il a un champ dédié ConsentMode qui contient la valeur du consentement accordé sur le site Web.

Afin de collecter des données à des fins d'analyse, vous devez obtenir le consentement et vous pouvez déterminer les options de consentement avec la valeur de ce paramètre ConsentMode. Les valeurs de Google Analytics qui correspondent aux besoins d'analyse sont G101 et G111. Si le paramètre gsc a l'une de ces valeurs, vous pouvez collecter vos données à des fins d'analyse.

Cependant, si les visiteurs de votre site Web n'ont pas donné leur consentement, vous pouvez toujours stocker leurs données mais sans aucune information personnellement identifiable - tout comme la façon dont les journaux de votre serveur Web contiennent des adresses IP et des agents utilisateurs mais n'ont pas d'identifiants d'utilisateur uniques.

Voyons comment cela fonctionne.

Imaginez que vous n'avez pas obtenu le consentement. Désormais, chaque hit aura un nouvel ID client et un nouvel ID utilisateur OWOX.

De plus, les données de localisation granulaires ne seront pas disponibles. L'idée derrière cela est la suivante :

Vous ne pouvez collecter aucun type de données permettant d'identifier directement ou indirectement l'individu. De quel type de données s'agit-il ? Ville, latitude, longitude, navigateur (c'est-à-dire numéro de version mineure et agent utilisateur), tout ce qui peut être utilisé pour la prise d'empreintes digitales, y compris la marque/le modèle de l'appareil, etc.

Cependant, vous pouvez stocker des données non PII telles que des pages vues sans aucune PII pouvant être utilisée pour identifier des individus. Vous découvrirez ci-dessous pourquoi vous avez besoin de ces données.

L'idée la plus évidente est d'obtenir les totaux, non ? Nous pensons que tout le monde aimerait avoir des totaux précis en termes de pages vues et de nombre de conversions, et peu importe de quels utilisateurs particuliers ces statistiques proviennent.

Passons maintenant à la création de rapports de données, qui commence par le lignage des données. Dès que vous collectez toutes vos données, vous ne pouvez probablement pas éviter de répondre à la façon dont vos données PII circulent, comment paramétrer et contrôler toutes vos transformations de données, les joindre, les nettoyer.

Ce serait formidable d'avoir un outil dédié qui montre toutes ces transformations et comment vous êtes arrivé au rapport final de la manière la plus claire et la plus auditable - un outil qui vous aiderait à comprendre si vos PII circulent correctement.

Par exemple, dès que vous collectez des données de différentes régions, vous devez les rejoindre afin de créer un roll-up. Ou dites que les données sur lesquelles les utilisateurs donnent leur consentement et ne donnent pas leur consentement sont stockées séparément, et la métrique globale doit être calculée dans un seul rapport. Pour ce faire, vous devez connaître le schéma de données. Vous devrez garder des dizaines de transformations dans votre tête. Et si soudainement une erreur apparaît dans les calculs, sans une lignée de données claire et compréhensible, vous passerez beaucoup de temps à la rechercher et à l'éliminer. Ce ne sont là que quelques-uns des centaines de cas d'utilisation lorsque vous avez besoin d'un lignage des données.

Pour résoudre ce problème, auquel nos clients ont souvent été confrontés, nous avons créé un graphique de transformation clair dans OWOX BI qui montre clairement comment, où et pourquoi vos données se déplacent. Avec lui, vous pouvez facilement voir la logique de calcul et l'influencer :

• Suivez la façon dont les données se déplacent et changent des connecteurs aux tableaux de bord.
• Définissez et contrôlez les transformations de données et la logique de calcul des métriques dans chaque rapport.
• Gérez les transformations SQL en quelques clics.
• Planifiez les mises à jour des données pour garder les données à jour.
• Voir immédiatement toute erreur ou retard dans la mise à jour des données.

1. Créer un catalogue de données

Tout d'abord, un catalogue de données est un moyen d'organiser votre inventaire d'actifs de données, en particulier ceux qui contiennent des données PII. Vous devez avoir une marque claire du type de données PII dont il s'agit. Par exemple, vous pouvez chiffrer vos données, les hacher ou les déchiffrer. Cela dépend de la façon dont vous allez l'utiliser.

2. Attribuez un propriétaire à chaque ressource de données

Deuxièmement, vous devez attribuer un propriétaire à chaque actif de données. Par exemple, vous pouvez vous définir comme propriétaire des visiteurs afin de comprendre facilement à qui appartiennent les données et quels types de champs sont liés aux données PII.

3. Définir la sécurité des PII par colonne

Enfin, vous pouvez même définir la sécurité des données PII sur une base de colonne pour déterminer si vous souhaitez chiffrer les données ou les hacher.

La bonne nouvelle est que GC offre un moyen simple d'utiliser le chiffrement de clé de colonne sans avoir besoin de réécrire toutes les requêtes SQL à partir de zéro.

En suivant les recommandations de cet article, vous pourrez :

• Obtenez toutes vos données dans Google BigQuery
• Filtrer toutes les données PII pour les utilisateurs non consentants
• Évitez de perdre des données PII sans consentement afin d'obtenir des totaux et de créer des rapports récapitulatifs
• Dites à votre équipe juridique comment vos données circulent dans tous les pipelines