Server-side tracking : alternative conforme au RGPD

Le server-side tracking (suivi cote serveur) suscite un interet croissant parmi les annonceurs et les editeurs de sites web confrontes aux restrictions croissantes sur les cookies tiers. La disparition programmee des cookies tiers dans les navigateurs, les bloqueurs de publicite de plus en plus repandus et le durcissement des regles de consentement ont erode l’efficacite du tracking traditionnel cote client. Le server-side tracking est souvent presente comme une solution technique permettant de contourner ces limitations tout en restant conforme au RGPD. Cette promesse merite une analyse juridique rigoureuse.

Fonctionnement technique du server-side tracking

Le tracking cote client traditionnel

Dans le modele classique du tracking cote client, un script JavaScript (Google Analytics, pixel Facebook, LinkedIn Insight Tag) s’execute directement dans le navigateur de l’utilisateur. Ce script depose des cookies sur le terminal, collecte des informations (pages visitees, evenements, parametres UTM) et les transmet directement aux serveurs des plateformes tierces (Google, Meta, LinkedIn). L’utilisateur peut identifier ces requetes dans les outils de developpement du navigateur, et les bloqueurs de publicite peuvent intercepter ces appels en se basant sur les domaines de destination.

Le tracking cote serveur

Le server-side tracking introduit un serveur intermediaire, generalement un conteneur serveur heberge par l’annonceur (par exemple Google Tag Manager Server-Side, ou des solutions comme Addingwell, JENTIS, Stape). Le fonctionnement se decompose en plusieurs etapes.

Le navigateur de l’utilisateur envoie les donnees non pas directement aux plateformes tierces, mais a un endpoint sous le domaine de l’annonceur (par exemple analytics.monsite.fr). Ce serveur intermediaire recoit les donnees, peut les enrichir, les filtrer ou les anonymiser, puis les redistribue aux plateformes de destination (Google Analytics, Facebook CAPI, LinkedIn Conversions API). Les cookies deposes sur le terminal de l’utilisateur sont des cookies first-party (sous le domaine de l’annonceur), et non des cookies tiers.

Avantages techniques

Le server-side tracking offre plusieurs avantages techniques. La fiabilite des donnees est amelioree car les requetes proviennent du serveur de l’annonceur et ne sont pas bloquees par les bloqueurs de publicite ou les protections anti-tracking des navigateurs. La performance du site s’ameliore car le nombre de scripts JavaScript executés dans le navigateur diminue. Le controle des donnees est renforce car l’annonceur peut filtrer, anonymiser ou enrichir les donnees avant leur transmission aux plateformes tierces. Enfin, les cookies first-party beneficient de durees de vie plus longues que les cookies tiers dans les navigateurs appliquant l’ITP (Intelligent Tracking Prevention).

Analyse juridique : le server-side tracking est-il exempt de consentement ?

Le depot de cookies reste soumis a consentement

Le premier point juridique fondamental est le suivant : le server-side tracking n’elimine pas les cookies. Dans la plupart des configurations, un cookie first-party est depose sur le terminal de l’utilisateur pour identifier les sessions et les visiteurs recurrents. L’article 82 de la loi Informatique et Libertes (transposition de l’article 5.3 de la directive ePrivacy) soumet au consentement prealable toute operation d’acces ou d’inscription d’informations dans le terminal d’un utilisateur, sauf si cette operation est strictement necessaire a la fourniture du service demande.

Le fait que le cookie soit first-party (sous le domaine de l’annonceur) et non third-party ne modifie pas cette analyse. La directive ePrivacy ne distingue pas les cookies first-party des cookies tiers. Un cookie depose a des fins d’analyse d’audience ou de mesure de conversion reste un traceur soumis a consentement, quel que soit le domaine sous lequel il est place. La CNIL a clairement confirme cette position.

La collecte de donnees personnelles reste un traitement RGPD

Independamment de la question des cookies, la collecte de donnees relatives au comportement de navigation d’un utilisateur identifiable constitue un traitement de donnees personnelles au sens de l’article 4 du RGPD. L’adresse IP, les identifiants de session, le user-agent combine a d’autres informations sont des donnees a caractere personnel. Le fait que ces donnees transitent par un serveur intermediaire avant d’atteindre les plateformes tierces ne modifie pas la qualification juridique du traitement.

Le responsable du traitement doit donc disposer d’une base legale valide pour cette collecte (article 6 du RGPD), informer les personnes concernees (articles 12 a 14), et respecter l’ensemble des principes du RGPD (minimisation, limitation des finalites, limitation de la conservation). Pour les enjeux specifiques a Google Analytics et au RGPD, notre guide detaille ces obligations.

L’exemption de consentement pour la mesure d’audience

La CNIL a defini les conditions dans lesquelles un outil de mesure d’audience peut beneficier d’une exemption de consentement. Ces conditions sont strictes : la finalite doit etre limitee a la mesure d’audience pour le compte exclusif de l’editeur, les donnees ne doivent pas etre recoupees avec d’autres traitements, les donnees ne doivent pas etre transmises a des tiers, la duree de vie des traceurs ne doit pas exceder 13 mois et les donnees collectees ne doivent pas etre conservees au-dela de 25 mois.

Dans une configuration server-side standard ou les donnees sont transmises a Google Analytics ou a d’autres plateformes tierces, l’exemption ne s’applique pas. Les donnees sont traitees par Google pour ses propres finalites (amelioration des services, benchmarking), ce qui exclut le benefice de l’exemption. Seules des configurations specifiques avec des outils comme Matomo auto-heberge ou AT Internet pourraient, sous conditions strictes, pretendre a cette exemption.

Les vrais avantages du server-side tracking pour la conformite

Le filtrage des donnees

L’avantage majeur du server-side tracking pour la conformite est la possibilite de filtrer les donnees avant leur transmission aux plateformes tierces. L’annonceur peut supprimer l’adresse IP avant transmission a Google Analytics, retirer les parametres d’URL contenant des donnees personnelles (email, identifiant client), anonymiser les identifiants utilisateur, et limiter les donnees transmises au strict necessaire pour chaque finalite.

Ce filtrage contribue au respect du principe de minimisation (article 5.1.c du RGPD) et permet de reduire la quantite de donnees personnelles partagees avec les sous-traitants et les plateformes tierces. C’est un argument de conformite reel, distinct de la question du consentement.

Le controle des transferts de donnees

Le serveur intermediaire permet de controler les destinataires des donnees. L’annonceur peut choisir de ne transmettre que des donnees anonymisees ou pseudonymisees aux plateformes americaines, tout en conservant les donnees brutes sur des serveurs europeens. Cette architecture peut contribuer a la conformite avec les exigences du chapitre V du RGPD sur les transferts internationaux, en particulier dans le contexte post-Schrems II.

Le choix de l’hebergeur du conteneur serveur est a cet egard determinant. Un conteneur heberge sur un serveur europeen (OVH, Scaleway, ou un Google Cloud Platform avec localisation europeenne) offre de meilleures garanties qu’un conteneur heberge aux Etats-Unis. Les recommandations de l’ANSSI en matiere d’hebergement securise sont pertinentes pour ce choix.

La gestion granulaire du consentement

Le server-side tracking permet une gestion plus granulaire du consentement. L’annonceur peut configurer le serveur intermediaire pour ne transmettre les donnees a chaque plateforme que si le consentement specifique pour cette finalite a ete recueilli. En cas de retrait du consentement pour une categorie specifique, le serveur peut immediatement cesser de transmettre les donnees aux plateformes correspondantes, sans dependre de la configuration JavaScript cote client. Cette architecture renforce l’effectivite du mecanisme de retrait du consentement exige par l’article 7.3 du RGPD, en complement de la CMP deployee sur le site.

Mise en oeuvre conforme

Architecture recommandee

L’architecture server-side conforme comprend les composants suivants : une CMP cote client qui recueille le consentement et transmet le signal au dataLayer, un conteneur GTM cote client minimal qui collecte les donnees de navigation et les transmet au conteneur serveur sous le domaine de l’annonceur, un conteneur GTM serveur (ou equivalent) heberge en Europe qui recoit les donnees, les filtre selon les regles de consentement et les redistribue aux plateformes de destination.

Integration avec la CMP

Le signal de consentement doit etre transmis au conteneur serveur. Deux approches sont possibles. La premiere consiste a transmettre le statut de consentement dans chaque requete envoyee au conteneur serveur, via un parametre d’URL ou un en-tete HTTP. La seconde consiste a configurer le conteneur client pour ne declencher la collecte qu’apres consentement, de sorte que le conteneur serveur ne recoive des donnees que pour les utilisateurs ayant consenti. La seconde approche est plus securisante car elle evite que des donnees arrivent sur le serveur intermediaire sans base legale.

Pour la configuration de Google Tag Manager dans ce contexte, notre guide detaille les etapes necessaires.

Durees de conservation

Les donnees transitant par le serveur intermediaire doivent etre soumises a des regles de conservation strictes. Les logs du serveur contenant des donnees personnelles (adresses IP, identifiants) doivent etre supprimes dans un delai raisonnable. La CNIL recommande une conservation maximale de 25 mois pour les donnees de mesure d’audience. Les donnees transmises aux plateformes tierces sont soumises aux durees de conservation de ces plateformes, que l’annonceur doit verifier et documenter.

Les limites et les risques

Le risque de contournement du consentement

Le principal risque juridique du server-side tracking est son utilisation pour contourner le consentement. Certaines configurations permettent de continuer a collecter et transmettre des donnees meme lorsque l’utilisateur a refuse les cookies, en se fondant sur le fait que les bloqueurs de publicite ne detectent pas les requetes first-party. Cette pratique est juridiquement illegale et constitue un traitement illicite de donnees personnelles. Elle peut etre qualifiee de dark pattern au sens du DSA.

La complexite technique et les couts

Le server-side tracking introduit une complexite technique significative : hebergement du conteneur serveur, maintenance, monitoring, couts d’infrastructure (le conteneur serveur consomme des ressources proportionnelles au trafic). Ces couts doivent etre budgetes et maintenus dans la duree.

La dependance a l’ecosysteme Google

Dans sa version GTM Server-Side, le server-side tracking reste partiellement dependant de l’ecosysteme Google. Les API de conversion de Google Ads et les protocoles de mesure de GA4 definissent les formats de donnees et les flux. Des alternatives open source existent mais sont moins matures.

FAQ

Le server-side tracking dispense-t-il du recueil du consentement ?

Non. Le server-side tracking ne dispense pas du consentement. Le depot de cookies first-party a des fins de mesure ou de publicite reste soumis au consentement prealable au titre de l’article 82 de la loi Informatique et Libertes. La collecte de donnees personnelles reste un traitement soumis au RGPD necessitant une base legale valide. Le server-side tracking offre des avantages reels pour la conformite (filtrage, minimisation, controle des transferts), mais il ne supprime pas l’obligation de recueillir le consentement pour les traceurs non essentiels.

Peut-on utiliser le server-side tracking pour contourner les bloqueurs de publicite ?

Techniquement, le server-side tracking permet d’envoyer des donnees vers un endpoint first-party que les bloqueurs de publicite ne detectent pas. Toutefois, utiliser cette capacite pour collecter des donnees sans consentement valide est illicite. Le contournement du refus de l’utilisateur (exprime via un bloqueur de publicite ou un refus de cookies) constitue un traitement sans base legale. L’objectif du server-side tracking doit etre l’amelioration de la qualite des donnees pour les utilisateurs ayant consenti, et non le contournement des choix des utilisateurs.

Quel hebergement choisir pour le conteneur serveur ?

Le conteneur serveur doit etre heberge dans l’Espace economique europeen pour minimiser les risques lies aux transferts internationaux. Les options recommandees incluent Google Cloud Platform avec localisation europeenne (regions europe-west), OVH, Scaleway, ou tout hebergeur europeen certifie. Le choix doit prendre en compte la localisation des donnees, les certifications de securite de l’hebergeur, les conditions contractuelles et la capacite a garantir l’absence d’acces par des autorites de pays tiers. Pour les enjeux de retargeting et RGPD, le choix d’hebergement est particulierement critique car les donnees de retargeting sont par nature identifiantes.