1 points par GN⁺ 2023-07-05 | 1 commentaires | Partager sur WhatsApp
  • La question du transfert de données personnelles vers les États-Unis via des outils d’analyse de sites web étant au cœur du dossier, l’autorité suédoise de protection des données IMY a audité l’utilisation de Google Analytics par CDON, Coop, Dagens Industri et Tele2
  • L’audit portait sur la version de Google Analytics en date du 14 août 2020, et le niveau de protection des données transférées lors de la mesure et de l’analyse du trafic constituait l’enjeu principal
  • L’IMY estime que les données envoyées aux États-Unis via l’outil statistique de Google relèvent des données personnelles, car elles peuvent être combinées avec d’autres données uniques
  • Les quatre entreprises se sont toutes appuyées sur les clauses contractuelles types, mais il a été jugé que les mesures de sécurité techniques supplémentaires n’étaient pas suffisantes pour garantir un niveau de protection équivalent à celui de l’UE/EEE
  • Une amende de 12 millions de SEK a été infligée à Tele2, et de 300 000 SEK à CDON ; Tele2 avait déjà cessé l’utilisation, tandis que les trois autres entreprises ont reçu l’ordre d’y mettre fin

Audit de l’IMY sur l’utilisation de Google Analytics

  • L’autorité suédoise de protection des données IMY a audité l’utilisation de Google Analytics par quatre entreprises
    • Les entreprises concernées sont CDON, Coop, Dagens Industri, Tele2
    • L’audit portait sur la version de Google Analytics en date du 14 août 2020
    • Google Analytics est un outil statistique servant à mesurer et analyser le trafic des sites web
  • L’audit a été mené dans le contexte d’une plainte de NOYB (None of Your Business) et de l’arrêt Schrems II de la Cour de justice de l’Union européenne (CJUE)
    • La plainte soutenait que les quatre entreprises avaient transféré des données personnelles vers les États-Unis en violation de la loi
    • Selon le RGPD, des données personnelles peuvent être transférées vers des pays tiers hors UE/EEE, mais la Commission européenne doit avoir décidé que le niveau de protection du pays concerné est adéquat
    • Dans l’arrêt Schrems II, la CJUE a estimé qu’à l’époque, les États-Unis ne pouvaient pas être considérés comme offrant un niveau de protection adéquat équivalent à celui de l’UE/EEE

Évaluation du transfert de données personnelles et mesures de protection

  • L’IMY considère que les données transférées vers les États-Unis via l’outil statistique de Google constituent des données personnelles
    • Parce qu’elles peuvent être reliées à d’autres données uniques transférées en même temps
    • Il a été jugé que les mesures de sécurité techniques des quatre entreprises étaient insuffisantes pour offrir une protection essentiellement équivalente à celle garantie dans l’UE/EEE
  • Les quatre entreprises ont toutes utilisé les clauses contractuelles types comme base juridique pour le transfert de données personnelles via Google Analytics
    • Lorsqu’il n’existe pas de décision d’adéquation de la Commission européenne, un transfert fondé sur des clauses contractuelles types peut être possible
    • Selon la CJUE, des mesures de protection supplémentaires peuvent être nécessaires pour que les clauses contractuelles types maintiennent en pratique le niveau de protection prévu
    • Selon les résultats de l’audit de l’IMY, les mesures de sécurité techniques supplémentaires des quatre entreprises n’étaient pas suffisantes

Amendes et mesures de suspension selon les entreprises

  • L’IMY a décidé des amendes et des mesures d’arrêt en tenant compte du niveau de protection mis en place par chaque entreprise et de l’état de leur utilisation
    • Tele2 : amende de 12 millions de SEK, et arrêt récent de l’utilisation de Google Analytics de sa propre initiative
    • CDON : amende de 300 000 SEK
    • CDON n’avait pas mis en place des mesures de protection aussi étendues que Coop et Dagens Industri
    • CDON, Coop et Dagens Industri ont reçu l’ordre de cesser d’utiliser Google Analytics
  • Cette décision s’applique directement aux quatre entreprises, mais elle envoie aussi un signal aux autres organisations utilisant Google Analytics : elles doivent examiner les risques liés au transfert de données personnelles

1 commentaires

 
GN⁺ 2023-07-05
Avis sur Hacker News
  • Ma belle-sœur — plus précisément la petite amie du petit frère de ma copine, mais peu importe — a récemment étudié pour obtenir une certification en analyse de données, et en a en fait décroché plusieurs
    Toute la formation (https://medieinstitutet.se) est basée sur Google Analytics, donc la valeur de cette personne est désormais liée à sa capacité à utiliser Google Analytics. Peu de gens auront envie de réapprendre un nouveau système d’analyse pendant 6 à 12 mois, ou de cesser complètement d’être analyste, donc il est probable qu’ils résistent fortement pour que cette compétence reste utile
    J’ai l’impression qu’on n’évalue pas correctement la dépendance qu’on accepte quand on apprend quelque chose parce que cela simplifie la vie. Google Analytics a été vendu comme une solution qui évitait d’avoir à créer sa propre analytique, en échange du fait que Google récupère aussi les informations, mais les webmasters pris individuellement ne s’en souciaient pas vraiment
    Maintenant, au moins des milliers de personnes dépendent de l’existence de cet outil précis, et pourraient devenir économiquement inutiles s’il était interdit. Apprendre exclusivement ce genre d’outil, au lieu des principes de base et de ses composants, me semble d’une stupidité surprenante
    Cela dit, vu qu’il existe aussi le titre de « Cloud Engineer », cette leçon semble difficile à apprendre

    • Si ce qu’ils ont appris dans ce cursus dépend à ce point de GA, alors il est déjà légitime de douter qu’on appelle cette certification analyse de données
      L’analyse de données est un domaine général qui n’est pas lié à GA, et au lieu de lui donner une portée plus large que les connaissances et compétences réelles, il vaudrait mieux l’appeler « Google Analytics Certification »
      L’analyse de données inclut des statistiques, et de nos jours probablement aussi un peu d’entraînement, d’utilisation et de compréhension de base des modèles de machine learning. J’ai déjà participé à la conception d’une vraie formation aux compétences de data analyst destinée à des personnes en reconversion vers ce métier, et cette formation était officiellement certifiée comme enseignement professionnel pour chercheurs d’emploi
    • Ce niveau de dépendance à un outil spécifique n’est ni rare ni sans précédent
      Les emplois de bureau ordinaires sont enseignés avec Word/Excel/Outlook, et il est souvent très difficile, voire impossible, de recycler les gens vers d’autres outils. Cela peut venir d’un manque réel de compréhension ou d’une résistance au changement
      Même à l’école, « Informatik » se résume souvent à apprendre où cliquer dans les produits Microsoft. De la même manière, les métiers techniques se spécialisent fréquemment dans des outils et produits précis. Les mécaniciens auto sont parfois pratiquement forcés de se spécialiser dans certaines marques, et les réparateurs d’électroménager ont eux aussi tendance à vendre et réparer surtout les lave-linge, sèche-linge et lave-vaisselle d’une même marque
    • Comparer un concept vaste et transversal comme le « cloud » à un outil spécifique comme Google Analytics me semble un peu inexact
      L’ensemble du secteur va vers le cloud, et même sans utiliser un grand acteur comme Amazon, Microsoft ou Google, un serveur managé reste techniquement du cloud, où qu’il soit hébergé
      Honnêtement, je suis content de ne jamais avoir vraiment suivi la mode Google Analytics ; je n’ai jamais passé plus de cinq minutes à coller quelques lignes de tag sur un site que j’avais créé. Je n’ai jamais non plus travaillé dans une organisation assez grande pour que l’analytique soit réellement utile ou précieuse
      Aujourd’hui, on peut retirer facilement le tag en supprimant quelques lignes de code. Les grandes organisations auraient peut-être dû, dès le départ, consacrer quelques heures ou quelques semaines de plus à construire leur propre solution d’analytique
    • Même en apprenant un cursus très général, on peut ne rien comprendre, et même en apprenant un outil très spécifique, on peut acquérir une capacité de généralisation
      Au fond, cela semble surtout dépendre de la capacité d’adaptation de chacun. De ce point de vue, si un cursus centré sur GA aide à décrocher plus vite un premier emploi, ce n’est pas forcément une mauvaise chose
    • C’est peut-être le bon moment pour regarder des alternatives auto-hébergées comme Matomo ou Snowplow
      Si l’on apprend à appliquer ce qu’on a acquis avec Google Analytics et à l’implémenter dans ce type de systèmes, on peut vendre ses compétences aussi bien à des clients qui continuent à utiliser Google Analytics qu’à ceux qui cherchent une alternative pour éviter les amendes ou réellement respecter le droit local
  • On peut encore continuer à utiliser Google Analytics en proxyfiant les événements. À ma connaissance, seule l’adresse IP est considérée comme une donnée personnelle, donc il suffit de masquer l’IP ou de la hacher de façon irréversible, de supprimer les autres éléments pouvant être considérés comme personnels, puis d’envoyer les événements à Google. C’est faisable même avec un simple script PHP de quelques lignes
    Cela dit, j’ai déjà lâché Google pour deux raisons
    A) ils ont rendu impossible la conversion des anciennes données vers la nouvelle version d’Analytics
    B) ils ont abandonné l’API qui permettait de créer ses propres rapports. J’avais écrit beaucoup de code pour communiquer avec cette API pendant des années, et tout est désormais devenu inutile
    Je suis récemment passé à Matomo auto-hébergé ; au début je n’y pensais pas plus que ça, mais une fois habitué, je trouve ça bien meilleur que GA. L’interface est bien plus jolie, plus rapide et plus logique
    Le fait que ce soit open source est aussi un vrai plus. Même si, un jour, les créateurs de Matomo choisissaient un fork incompatible, je pense que la communauté créerait un convertisseur pour transformer les anciennes données vers le nouveau format
    À force de l’utiliser, je me suis aussi rendu compte qu’on peut créer ses propres outils de reporting en interrogeant directement la base de données MariaDB. Écrire du SQL est largement préférable au fait de se battre avec l’API Google Analytics, follement complexe et peu intuitive
    Si vous tenez vraiment à continuer avec Google Analytics, il suffit de créer un convertisseur qui pousse tous les événements Matomo vers Google Analytics. Vous auriez ainsi une façon d’utiliser les outils Google tout en restant conforme au RGPD. Mais je n’en ai aucune intention. J’en ai fini avec Google Analytics pour toujours, et Matomo est pour moi la terre promise

    • Selon la décision de l’IMY, le hachage d’IP ne suffit pas, et plus aucune entreprise ne pourra utiliser GA à l’avenir
      CDON utilisait l’anonymisation d’IP de GA, qui tronque l’adresse IP, mais cela a été jugé insuffisant. Après troncature, l’IP elle-même n’est plus une donnée personnelle, mais on ne savait pas clairement si cette troncature avait lieu avant la sortie des données hors du pays, et combinée à d’autres données personnelles comme les cookies, elle reste considérée comme personnelle
      Coop proxifiait tous les appels GA et utilisait la même adresse IP générique pour tous les utilisateurs. L’entreprise n’a pas été condamnée à une amende, mais doit tout de même cesser d’utiliser GA
      [1] "1.3.15 Effektiviteten hos vidtagna skyddsåtgärder av Google och CDON" https://www.imy.se/globalassets/dokument/beslut/2023/beslut-...
      [2] "2.2.2 Integritetsskyddsmyndighetens bedömning" https://www.imy.se/globalassets/dokument/beslut/2023/beslut-...
      [3] "1.3.14.2 Coops implementering av server side container" https://www.imy.se/globalassets/dokument/beslut/2023/beslut-...
    • Pour les adresses IPv4, le hachage ne règle rien. L’espace des possibilités est si petit qu’une attaque par force brute exhaustive est triviale
    • Le point A en particulier est lamentable, et a poussé plusieurs petites entreprises que je connais à abandonner complètement GA
      Elles avaient des années de données GA, mais l’export était impossible sans bricolage via BigQuery
      Il est difficile de croire qu’une équipe aussi bien financée que l’équipe Analytics n’a pas trouvé, ou n’a pas voulu mettre en place, un moyen de migrer automatiquement gtag.js vers GA4. Ils auraient dû rendre la mise à niveau transparente en convertissant les requêtes en arrière-plan pour permettre aux anciennes propriétés Analytics de continuer à exister, tout en n’imposant GA4 que pour la création de nouvelles propriétés
    • Le site coop.se mentionné dans cette décision utilisait un conteneur GTM côté serveur pour masquer les IP avant l’envoi à Google, mais a quand même reçu l’ordre de cesser d’utiliser GA, sans amende
      L’autorité de protection des données a estimé que les seuls cookies _gads, _ga et _gid suffisaient déjà à rendre l’utilisateur identifiable. Il est difficile de suivre cette logique, mais au minimum cela signifie qu’avec l’approche de Coop, utiliser un proxy ne suffit pas à être conforme
    • Notre entreprise utilise aussi Matomo, et nous voulions suivre la manière dont les utilisateurs se servent de la WebApp. Mais les Custom Actions vont être abandonnées, et les Custom Dimensions ne sont pas faites pour cet usage
      Je me demande quels outils d’analyse vous utilisez pour suivre ce que font les utilisateurs tout en restant conformes au RGPD
      J’aimerais voir sur quels boutons ils cliquent, combien de fois, quelles parties de l’app sont les plus ou les moins utilisées, construire des funnels pour les parcours normaux, etc. Je ne veux pas savoir qui sont les utilisateurs, seulement comment l’application est utilisée du point de vue de l’app. Avant, on faisait ça avec Google Tag Manager, mais ce n’est pas conforme au RGPD donc on ne peut plus l’utiliser
  • Cette affaire concerne l’ancien Analytics, remplacé par Google Analytics 4 en 2020. La conséquence est donc qu’il faut cesser d’utiliser une version que Google a définitivement arrêtée le 1er juillet de cette année.
    On peut soutenir que GA4 ne satisferait pas non plus aux mêmes exigences. Le Danemark adopte cette position, mais cela n’a pas encore été mis à l’épreuve.
    Leur logique est que si un citoyen de l’UE se rend en Asie et visite un site là-bas, ces informations sont envoyées vers des serveurs américains plutôt que vers des serveurs de l’UE. En réfléchissant à la manière dont Internet fonctionne, cela me semble objectivement absurde, mais il est possible que le droit fonctionne ainsi. On ne peut pas le savoir avant qu’un cas concret soit traité, et il faut se montrer sceptique envers ceux qui prétendent déjà connaître l’issue.

    • La logique selon laquelle « si un citoyen de l’UE va en Asie et visite un site là-bas, les informations partent vers des serveurs américains » est vraiment absurde.
      Je dis cela en tant que résident de l’UE. Je ne veux surtout pas que les sites web commencent à vérifier le lieu de résidence ou la citoyenneté pour décider de la propriété de mes données.
    • Il n’est même pas nécessaire de voyager. Il suffit d’utiliser un VPN, un proxy ou Tor.
      La géolocalisation par IP n’est pas un indicateur fiable de la position physique, encore moins du lieu de résidence, et la citoyenneté n’entre de toute façon pas du tout dans l’équation. Je ne vois aucun problème à ce que le droit reconnaisse ce point.
    • À mon avis, cette décision s’applique aussi à GA4.
      La décision ne mentionne pas explicitement la version ; elle dit que certains sites doivent cesser d’utiliser « la version de l’outil Google Analytics utilisée le 14 août 2020 ». Elle ne dit pas s’il s’agit d’UA ou de GA4.
      La plainte initiale de NOYB visait UA, mais les points cités dans cette décision s’appliqueraient aussi à GA4.
      Donc, quand l’autorité de protection des données dit que « les entreprises doivent cesser d’utiliser Google Analytics », rien ne permet de supposer qu’elle ne parle que d’une version déjà abandonnée au moment de la publication.
    • Le résultat, c’est la balkanisation d’Internet. Beaucoup de gens dans l’UE souhaitent aller dans cette direction pour soutenir leur industrie nationale et pour des raisons nationalistes, sous le mince prétexte de s’opposer à l’impérialisme américain.
      Et pendant ce temps, ils ne parviennent pas à agir sur des problèmes qui menacent réellement l’UE, comme la surdépendance à la Russie.
  • L’analytics actuel revient en pratique à dire : « Nous accordons de l’importance à la vie privée des utilisateurs, donc vous n’obtiendrez aucune information utile sur votre site web, mais ne vous inquiétez pas, nous voyons toutes les données. »
    Si vous intégrez Google Analytics, votre client, ce n’est pas vous, c’est Google.
    Si vous avez besoin d’analytics, franchement, il vaut mieux le faire vous-même. On ne peut pas confier les données des utilisateurs à une régie publicitaire.

    • Cela vaut non seulement pour l’analytics, mais pour presque toutes les fonctions.
      Supposons que vous soyez un excellent conférencier ou formateur avec un public : aujourd’hui, vous offrez ce public à YouTube, Twitter, etc. En échange, ils monétisent à votre place, ne vous en reversent qu’une petite part, et orientent sans cesse votre audience vers des concurrents et d’autres contenus distrayants. En fait, YouTube vend même l’option d’afficher des publicités pour des vidéos concurrentes au-dessus des vôtres.
      Il faut donc en sortir. Le logiciel communautaire aussi devrait être exploité directement, au lieu de dépendre de Discord ; idem pour la visioconférence, le live streaming, le chat, les présentations, et même les contenus payants, avec en plus des paiements en cryptomonnaie en dehors de PaymentRequest. Créer des alternatives open source suffisamment bonnes est difficile, et Mastodon comme Bluesky n’en sont pas encore là.
      Donc, pour faire un peu d’auto-promo sans honte, mon équipe et moi avons consacré 12 ans et 1 million de dollars à en construire une : https://github.com/Qbix/Platform
      Parmi des centaines de fonctionnalités, l’une permet d’avoir ses propres analytics dans sa propre base de données sur son propre site communautaire. Les autres fonctionnalités sont ici : https://qbix.com/features.pdf
      Bien sûr, cela ne veut pas dire qu’il faut cesser complètement d’héberger du contenu sur YouTube. Mais il faudrait n’y mettre que de courts teasers, des extraits marquants ou des témoignages, et faire en sorte que tout renvoie vers son propre site. On peut se faire découvrir sur les grandes plateformes, mais pour les contenus longs et la communauté, toute personne vraiment sérieuse devrait acheter un abonnement sur votre site et établir une relation directe. À partir de là, l’exclusion de la plateforme ou les formes de coercition cessent d’être une préoccupation majeure.
    • C’est essentiellement ce que j’ai fait aussi. Je n’avais pas besoin de connaître le navigateur, l’appareil ou la localisation, et comme le produit était réservé au Royaume-Uni, ce n’était globalement pas pertinent.
      Comme je contrôlais la partie serveur, il suffisait d’enregistrer les visites de pages et certains CTA spécifiques pour voir à peu près par quel parcours les gens passaient et s’ils commandaient.
      C’est bien plus utile que de dépendre du fait que les gens aient activé JavaScript ou bloqué le tracking.
      Par exemple, si quelqu’un va sur la page de commande, revient à la FAQ, puis clique de nouveau sur le lien « qu’est-ce que x ? », on peut en déduire qu’il faut ajouter sur la page de commande une explication de X.
      Bien sûr, cela dépend des données dont on a réellement besoin, mais on peut atteindre la plupart des objectifs sans collecter une masse de données inutiles.
    • La plupart des alternatives ne sont pas créées par des régies publicitaires, mais elles ne sont pas toujours gratuites.
      Il existe tellement de bonnes options, et surtout si l’on veut ce niveau de contrôle, il y a beaucoup de solutions self-hosted et open source ; il n’est donc pas nécessaire, ni en général recommandé, de tout construire soi-même from scratch.
      Le coût de GA est généralement présenté comme étant « subventionné par les données des clients ».
    • Matomo est une bonne option d’analytics self-hosted.
    • Dire « faites-le vous-même » peut être arrogant si l’on n’a ni le temps, ni l’énergie, ni la volonté, ni les connaissances théoriques nécessaires. Si possible, mieux vaut éviter de résoudre à nouveau un problème déjà résolu.
      En revanche, l’auto-hébergement est clairement recommandé. Comme on ne partage pas les données avec des tiers, cela résout une grande partie des problèmes liés au RGPD. Il ne reste alors qu’à se préoccuper du consentement et de la conservation des données.
      Et si les données brutes d’analytics permettant de remonter jusqu’à l’utilisateur sont transformées en statistiques généralisées, la conservation des données ne devrait pas non plus poser de gros problème.
  • Je me demande quelle part de toutes les données d’analyse fournies par ces outils est réellement utilisée par les gens. Je connais Matomo et d’autres solutions open source ou auto-hébergées, mais quelle quantité d’informations est vraiment exploitée ?
    Dans la plupart des cas d’usage, j’imagine qu’on veut surtout savoir si le contenu est consommé ou lu, combien de temps les gens restent, et d’où ils viennent. On peut déjà obtenir ça avec un petit script qui parse les logs
    J’ai déjà fait quelque chose de similaire en parsant les logs de Caddy pour avoir une idée approximative du nombre de visiteurs par lien, et c’était en fait tout ce dont j’avais besoin. Je ne l’exécute que quand j’ai besoin d’une mise à jour, donc ça ne consomme pas de ressources en permanence. Avant d’effacer les logs, je sauvegarde la sortie pour savoir des choses comme : Article 1, moins de 39 vues ; Article 2, 5 vues
    On en fait beaucoup trop, et prendre juste quelques minutes pour réfléchir avant de tomber dans le terrier du lapin de l’analyse de tout et n’importe quoi serait déjà très bénéfique

    • D’après mon expérience, dans les organisations d’entreprise modernes, l’analytics et la business intelligence jouent un rôle assez important
      Plus l’entreprise grossit, plus les décideurs deviennent averses au risque, et l’analyse sert alors d’appui commode quand leurs décisions sont remises en question
      Ce qui m’intéresse, c’est le retour sur investissement de ces outils. Dans certains cas, c’est clairement utile, mais est-ce toujours le cas ? Nous employons actuellement 3 développeurs business intelligence et 2 développeurs qui construisent le vrai produit
      Le plus drôle, c’est qu’on a 3 personnes en BI et qu’on est incapables de savoir si elles apportent vraiment de la valeur. Leurs données ne le montrent pas
    • J’utilise Plausible Analytics. Ça enregistre et affiche très peu de données, et il n’y a aucune donnée personnellement identifiable
      Pour moi, c’est largement suffisant
      Je l’ai aussi activé pour quelques clients, et ils m’ont dit adorer la simplicité. Le faible volume de données est une fonctionnalité
    • Sur les applications monopage et les applications mobiles, les logs serveur ne sont ni très précis ni très utiles
      Si on veut savoir quelles fonctionnalités sont utilisées, le suivi d’événements est réellement utile
      Ce n’est pas toujours du marketing ou de la pub malveillante
      Cela dit, du point de vue d’un utilisateur ordinaire, GA4 est horrible
    • Même si vous ne voulez pas utiliser les logs du serveur à cette fin, l’implémenter vous-même en JavaScript est assez simple
      Pas besoin de GA ni d’un autre framework d’analyse obèse
    • Il m’arrive de regarder les logs d’accès et de balancer une requête grep dans un outil de comptage de lignes, ou de faire un uniq par IP, pour avoir une idée approximative du nombre de personnes qui consultent certaines parties ou certains outils de mon site web
      Je fais ça environ deux fois par an. Ça m’aide à prioriser ce qu’il faut maintenir ou mettre à jour, en fonction de ce qui est encore lu, trouvé via les moteurs de recherche ou lié depuis l’extérieur
  • J’ai utilisé ChatGPT pour générer du code HTML de présentation remark.js à partir d’un certain contenu, et il a bien produit le code, mais il a aussi inséré en bas un snippet GA avec un identifiant de compte GA aléatoire
    Je ne m’en suis pas rendu compte tout de suite, et je l’ai découvert quelques jours plus tard en modifiant les slides. C’est aussi ma faute, j’ai été paresseux

    • Je ne pense pas que ce soit entièrement ta faute. Les données personnelles ne devraient pas être partagées avec d’autres
      Vérifier ce que ChatGPT écrit avant de l’utiliser relève de la responsabilité de l’utilisateur, mais ne pas partager de données personnelles relève de la responsabilité d’OpenAI
    • Attendez, les gens utilisaient vraiment ChatGPT pour écrire du code de production ? Ce n’était pas juste un mème ?
  • Je ne sais pas vraiment qui a besoin d’analytics
    Quand je travaillais dans une entreprise qui utilisait Google Analytics, dans 99,9 % des cas on pouvait obtenir les mêmes données à partir des logs serveur avec quelque chose comme awstats ou goaccess
    Je ne comprends toujours pas pourquoi on insère du JavaScript pour envoyer des requêtes supplémentaires ou des pixels de suivi. Les données ont déjà été transmises une première fois

    • Ce problème vient au moins en partie des applications monopage
      Si l’application tourne entièrement dans le navigateur client, à part quelques appels API, il devient difficile de savoir quelles pages sont réellement consultées. À moins que l’application cliente ne le signale directement, ou ne le signale à Google
    • J’ai travaillé dans une agence web qui créait beaucoup de sites pour des entreprises de taille intermédiaire. C’étaient des sites avec des millions de vues par mois
      La conclusion, c’était une question de ressenti. Avoir l’impression de disposer de données sur les utilisateurs est agréable, même si, le plus souvent, personne ne les regarde vraiment. Et même quand on embauche quelqu’un pour les regarder, il est fréquent que ce qui est découvert ne soit jamais mis en œuvre
      Le meilleur moyen d’obtenir des retours reste de parler directement aux utilisateurs ou de faire des enquêtes
    • Ce qui m’intrigue, ce n’est pas pourquoi il faut de l’analytics, mais pourquoi les données ont besoin de données personnellement identifiables
      Peu m’importe que Bob ait cliqué sur le bouton ; ce qui compte, c’est de savoir si 1 % ou 50 % des utilisateurs ont cliqué. Ou si les personnes qui cliquent sur le bouton A ont davantage tendance à cliquer sur le bouton B, auquel cas il faudrait peut-être rapprocher les deux
      L’analytics devrait être une statistique d’usage anonyme, pas un suivi individuel. On mélange tout : le mauvais, l’utile et le globalement inoffensif
    • L’essentiel n’est pas seulement d’avoir les données brutes. Google Analytics permet aussi d’accéder aux données dans Google BigQuery
      Ce qui compte, c’est que les parties prenantes métier puissent accéder facilement aux données et les utiliser pour prendre des décisions
      Il faut une interface qui visualise les données et qui distribue autant que possible l’accès et l’analyse
      Google Analytics est gratuit et fait quasiment partie du plus gros ensemble marketing qu’est Google Ads, donc on rencontre beaucoup de parties prenantes marketing qui connaissent au moins un peu l’outil
      Cela dit, le démarrage de Google Analytics 4 a été très chaotique, donc la donne pourrait changer
    • Avant le responsive design, j’aimais bien avoir des statistiques comme la résolution d’écran, qu’on ne pouvait pas obtenir à partir des logs serveur
      On pouvait aussi obtenir des statistiques sur les termes de recherche qui amenaient vers des pages individuelles
  • Il y a quelques années, Google Analytics est revenu dans un projet client. De notre côté, on essayait d’éviter Google autant que possible, et j’ai proposé des alternatives comme Matomo ou Fathom. Plusieurs membres de l’équipe avaient aussi de l’expérience avec ce genre d’alternatives, mais le client insistait sur GA
    C’était du genre : « C’est le standard du secteur. Regardez, des entreprises à plusieurs milliards de dollars utilisent GA. Nous aussi, on doit utiliser ça. » J’ai fait remarquer que les entreprises prises en comparaison ont des dizaines d’ingénieurs sur chaque projet, alors que nous, nous étions trois à temps partiel
    Le raisonnement revenait toujours à : « GA est le standard, et les gens connaissent GA. » C’est vrai, mais c’est un peu circulaire
    J’ai aussi proposé d’essayer plusieurs options. Par exemple, faire tourner GA et Matomo en parallèle pendant un moment, ou n’utiliser GA que pour le site marketing public et autre chose pour l’application interne
    Mais ça a été refusé. Ils voulaient suivre chaque dépense publicitaire jusque dans l’usage des utilisateurs inscrits sur l’application métier interne. Avec l’idée qu’un jour il faudrait peut-être absolument pouvoir analyser qu’une dépense de 70 dollars dans la région de Tacoma a conduit à 3 utilisateurs inscrits, et que ces 3 utilisateurs utilisent l’outil de budget plus souvent que 8 autres inscrits après 90 dollars dépensés à Toronto
    Au lieu de « installons les deux pendant quelques semaines et testons », c’est devenu « étudions plusieurs options et rédigeons un rapport sur les avantages et inconvénients », ce qui était complètement dingue
    Mon inquiétude plus large, c’était qu’à des fins de test et de développement, on ne puisse pas facilement « réinitialiser » une base de données d’analytics hors de notre contrôle. Réinitialiser, ou créer en illimité un nouveau bac à sable pour chaque exécution de test, est difficile. Je n’ai trouvé aucun bon moyen de bien gérer les tests ni avec GA, ni en fait avec pratiquement aucune solution hébergée. Mais ce n’est peut-être pas un sujet majeur pour les utilisateurs de l’analytics en entreprise

  • Chaque fois qu’un client demande d’implémenter Google Analytics ou le pixel Facebook, j’ai l’impression de mourir un peu à l’intérieur
    J’ai bien des clients qui utilisent réellement Google Ads, mais ils ne tirent absolument aucun bénéfice d’Analytics. Je le sais parce que c’est moi qui ajuste les campagnes
    C’est juste un truc que tout le monde fait, et si on ne le fait pas, on passe pour un idiot. Cette mentalité de lemming est toujours triste. Parce qu’une grande partie des mauvaises choses dans la société vient de là
    Et chaque fois que quelqu’un dit que développer soi-même est une perte de temps, moi je développe moi-même jusqu’aux CMS et aux frameworks d’application monopage. À long terme, le reste est une énorme perte de temps. Le seul moment où je « roule moi-même » en perdant du temps, c’est quand ça implique du tabac

    • Tu pourrais partager un site application monopage développé maison, ou si possible un lien vers le code source ? Il n’y a pas beaucoup de gens qui font ça eux-mêmes, et encore moins qui prêtent assez attention aux détails pour éviter les régressions d’expérience utilisateur, donc j’aimerais regarder. Bien sûr, les solutions tierces ne sont pas géniales non plus
  • Quand je visite le site d’une entreprise et qu’il utilise Google Analytics, j’y vois un signal que cette entreprise est paresseuse, ignorante ou hostile envers ses prospects
    Ces trois possibilités couvrent tous les cas, et aucune n’est un signal positif
    Toute entreprise, ou tout acteur ayant une présence en ligne, a le droit de savoir ce que font les gens sur sa propre plateforme et d’utiliser des outils adaptés à cet objectif. Mais elle n’a pas le droit de partager cela avec qui que ce soit sans avertissement explicite et sans consentement de l’utilisateur
    Le web comme terrain de chasse numérique où des acteurs immoraux dépouillent des gens mal informés doit cesser
    La vie commerciale n’est pas une vitrine de l’éthique, mais la version numérique qui a évolué jusqu’ici est particulièrement en décalage avec les normes générales

    • Tu penses qu’il y a réellement tant d’entreprises hostiles que ça ?
      En général, une personne ordinaire dans une entreprise va un jour se demander : « Comment les gens nous découvrent-ils ? » Ensuite, elle cherche sur Google comment répondre à cette question en entreprise et tombe sur Google Analytics
      Ce n’est clairement pas hostile. C’est peut-être un peu ignorant, mais peut-on vraiment leur en vouloir ?
    • Même les sites gouvernementaux utilisent Google Analytics. Autrement dit, nous sommes suivis bien au-delà d’un simple profil d’achat
    • Si « elles n’ont pas le droit de partager cela sans avertissement explicite et sans consentement de l’utilisateur », alors avec la gestion du consentement imposée par la loi, c’est-à-dire une bannière cookies qui donne à l’utilisateur la possibilité de refuser tout suivi, elles ne seraient plus paresseuses, ignorantes ou hostiles ?
      Je suis d’accord pour dire que les utilisateurs devraient avoir un contrôle fort sur leurs données et sur l’étendue du partage, mais si tu es opposé à toutes les régies publicitaires et d’analytics tierces, alors tu t’opposes à l’acquisition numérique d’utilisateurs de 99 % des sites web