Server-side tracking : alternative conforme au RGPD

Server-side tracking : alternative conforme au RGPD

Le server-side tracking (suivi cote serveur) suscité un intérêt croissant parmi les annonceurs et les éditeurs de sites web confrontés aux restrictions croissantes sur les cookies tiers. La disparition programmée des cookies tiers dans les navigateurs, les bloqueurs de publicité de plus en plus répandus et le durcissement des règles de consentement ont érode l’efficacité du tracking traditionnel cote client. Le server-side tracking est souvent présente comme une solution technique permettant de contourner ces limitations tout en restant conforme au RGPD. Cette promesse mérite une analyse juridique rigoureuse.

Fonctionnement technique du server-side tracking

Le tracking cote client traditionnel

Dans le modèle classique du tracking cote client, un script JavaScript (Google Analytics, pixel Facebook, LinkedIn Insight Tag) s’exécute directement dans le navigateur de l’utilisateur. Ce script déposé des cookies sur le terminal, collecté des informations (pages visitées, évènements, paramètres UTM) et les transmet directement aux serveurs des plateformes tierces (Google, Meta, LinkedIn). L’utilisateur peut identifier ces requêtes dans les outils de développement du navigateur, et les bloqueurs de publicité peuvent intercepter ces appels en se basant sur les domaines de destination.

Le tracking cote serveur

Le server-side tracking introduit un serveur intermédiaire, généralement un conteneur serveur hébergé par l’annonceur (par exemple Google Tag Manager Server-Side, ou des solutions comme Addingwell, JENTIS, Stape). Le fonctionnement se décompose en plusieurs étapes.

Le navigateur de l’utilisateur envoie les données non pas directement aux plateformes tierces, mais à un endpoint sous le domaine de l’annonceur (par exemple analytics.monsite.fr). Ce serveur intermédiaire reçoit les données, peut les enrichir, les filtrer ou les anonymiser, puis les redistribue aux plateformes de destination (Google Analytics, Facebook CAPI, LinkedIn Conversions API). Les cookies déposés sur le terminal de l’utilisateur sont des cookies first-party (sous le domaine de l’annonceur), et non des cookies tiers.

Avantages techniques

Le server-side tracking offre plusieurs avantages techniques. La fiabilité des données est améliorée car les requêtes proviennent du serveur de l’annonceur et ne sont pas bloquees par les bloqueurs de publicité ou les protections anti-tracking des navigateurs. La performance du site s’améliore car le nombre de scripts JavaScript exécutés dans le navigateur diminue. Le contrôle des données est renforcé car l’annonceur peut filtrer, anonymiser ou enrichir les données avant leur transmission aux plateformes tierces. Enfin, les cookies first-party bénéficient de durées de vie plus longues que les cookies tiers dans les navigateurs appliquant l’ITP (Intelligent Tracking Prevention).

Analyse juridique : le server-side tracking est-il exempt de consentement ?

Le dépôt de cookies reste soumis à consentement

Le premier point juridique fondamental est le suivant : le server-side tracking n’élimine pas les cookies. Dans la plupart des configurations, un cookie first-party est déposé sur le terminal de l’utilisateur pour identifier les sessions et les visiteurs récurrents. L’article 82 de la loi Informatique et Libertés (transposition de l’article 5.3 de la directive ePrivacy) soumet au consentement préalable toute opération d’accès ou d’inscription d’informations dans le terminal d’un utilisateur, sauf si cette opération est strictement nécessaire à la fourniture du service demande.

Le fait que le cookie soit first-party (sous le domaine de l’annonceur) et non third-party ne modifie pas cette analyse. La directive ePrivacy ne distingué pas les cookies first-party des cookies tiers. Un cookie déposé à des fins d’analyse d’audience ou de mesure de conversion reste un traceur soumis à consentement, quel que soit le domaine sous lequel il est place. La CNIL a clairement confirmé cette position.

La collecte de données personnelles reste un traitement RGPD

Indépendamment de la question des cookies, la collecte de données relatives au comportement de navigation d’un utilisateur identifiable constitue un traitement de données personnelles au sens de l’article 4 du RGPD. L’adressé IP, les identifiants de session, le user-agent combiné a d’autres informations sont des données à caractère personnel. Le fait que ces données transitent par un serveur intermédiaire avant d’atteindre les plateformes tierces ne modifie pas la qualification juridique du traitement.

Le responsable du traitement doit donc disposer d’une base légale validé pour cette collecte (article 6 du RGPD), informer les personnes concernées (articles 12 à 14), et respecter l’ensemble des principes du RGPD (minimisation, limitation des finalités, limitation de la conservation). Pour les enjeux spécifiques a Google Analytics et au RGPD, notre guide détaillé ces obligations.

L’exemption de consentement pour la mesure d’audience

La CNIL a défini les conditions dans lesquelles un outil de mesure d’audience peut bénéficier d’une exemption de consentement. Ces conditions sont strictes : la finalité doit être limitée à la mesure d’audience pour le compte exclusif de l’éditeur, les données ne doivent pas être recoupees avec d’autres traitements, les données ne doivent pas être transmises à des tiers, la durée de vie des traçeurs ne doit pas excéder 13 mois et les données collectées ne doivent pas être conservées au-delà de 25 mois.

Dans une configuration server-side standard ou les données sont transmises a Google Analytics ou a d’autres plateformes tierces, l’exemption ne s’applique pas. Les données sont traitées par Google pour ses propres finalités (amélioration des services, benchmarking), ce qui exclut le bénéfice de l’exemption. Seules des configurations spécifiques avec des outils comme Matomo auto-hébergé ou AT Internet pourraient, sous conditions strictes, prétendre à cette exemption.

Les vrais avantages du server-side tracking pour la conformité

Le filtrage des données

L’avantage majeur du server-side tracking pour la conformité est la possibilité de filtrer les données avant leur transmission aux plateformes tierces. L’annonceur peut supprimer l’adressé IP avant transmission a Google Analytics, retirer les paramètres d’URL contenant des données personnelles (email, identifiant client), anonymiser les identifiants utilisateur, et limiter les données transmises au strict nécessaire pour chaque finalité.

Ce filtrage contribue au respect du principe de minimisation (article 5.1.c du RGPD) et permet de réduire la quantité de données personnelles partagées avec les sous-traitants et les plateformes tierces. C’est un argument de conformité réel, distinct de la question du consentement.

Le contrôle des transferts de données

Le serveur intermédiaire permet de contrôler les destinataires des données. L’annonceur peut choisir de ne transmettre que des données anonymisées ou pseudonymisées aux plateformes américaines, tout en conservant les données brutes sur des serveurs européens. Cette architecture peut contribuer à la conformité avec les exigences du chapitre V du RGPD sur les transferts internationaux, en particulier dans le contexte post-Schrems II.

Le choix de l’hébergeur du conteneur serveur est à cet égard déterminant. Un conteneur hébergé sur un serveur européen (OVH, Scaleway, ou un Google Cloud Platform avec localisation européenne) offre de meilleures garanties qu’un conteneur hébergé aux États-Unis. Les recommandations de l’ANSSI en matière d’hébergement sécurisé sont pertinentes pour ce choix.

La gestion granulaire du consentement

Le server-side tracking permet une gestion plus granulaire du consentement. L’annonceur peut configurer le serveur intermédiaire pour ne transmettre les données à chaque plateforme que si le consentement spécifique pour cette finalité a été recueilli. En cas de retrait du consentement pour une catégorie spécifique, le serveur peut immédiatement cesser de transmettre les données aux plateformes correspondantes, sans dépendre de la configuration JavaScript cote client. Cette architecture renforcé l’effectivité du mécanisme de retrait du consentement exigé par l’article 7.3 du RGPD, en complement de la CMP déployée sur le site.

Mise en oeuvre conforme

Architecture recommandée

L’architecture server-side conforme comprend les composants suivants : une CMP cote client qui recueille le consentement et transmet le signal au dataLayer, un conteneur GTM cote client minimal qui collecté les données de navigation et les transmet au conteneur serveur sous le domaine de l’annonceur, un conteneur GTM serveur (ou équivalent) hébergé en Europe qui reçoit les données, les filtre selon les règles de consentement et les redistribue aux plateformes de destination.

Intégration avec la CMP

Le signal de consentement doit être transmis au conteneur serveur. Deux approches sont possibles. La première consiste à transmettre le statut de consentement dans chaque requête envoyée au conteneur serveur, via un paramètre d’URL ou un en-tête HTTP. La seconde consiste à configurer le conteneur client pour ne déclencher la collecte qu’après consentement, de sorte que le conteneur serveur ne reçoive des données que pour les utilisateurs ayant consenti. La seconde approche est plus sécurisante car elle évite que des données arrivent sur le serveur intermédiaire sans base légale.

Pour la configuration de Google Tag Manager dans ce contexte, notre guide détaillé les étapes nécessaires.

Durées de conservation

Les données transitant par le serveur intermédiaire doivent être soumises à des règles de conservation strictes. Les logs du serveur contenant des données personnelles (adressés IP, identifiants) doivent être supprimés dans un délai raisonnable. La CNIL recommandé une conservation maximale de 25 mois pour les données de mesure d’audience. Les données transmises aux plateformes tierces sont soumises aux durées de conservation de ces plateformes, que l’annonceur doit vérifier et documenter.

Les limités et les risques

Le risque de contournement du consentement

Le principal risque juridique du server-side tracking est son utilisation pour contourner le consentement. Certaines configurations permettent de continuer a collecter et transmettre des données même lorsque l’utilisateur a refusé les cookies, en se fondant sur le fait que les bloqueurs de publicité ne detectent pas les requêtes first-party. Cette pratique est juridiquement illégale et constitue un traitement illicite de données personnelles. Elle peut être qualifiée de dark pattern au sens du DSA.

La complexité technique et les coûts

Le server-side tracking introduit une complexité technique significative : hébergement du conteneur serveur, maintenance, monitoring, coûts d’infrastructure (le conteneur serveur consomme des ressources proportionnelles au trafic). Ces coûts doivent être budgetes et maintenus dans la durée.

La dépendance à l’écosystème Google

Dans sa version GTM Server-Side, le server-side tracking reste partiellement dépendant de l’écosystème Google. Les API de conversion de Google Ads et les protocoles de mesure de GA4 définissent les formats de données et les flux. Des alternatives open source existent mais sont moins matures.

FAQ

Le server-side tracking dispense-t-il du recueil du consentement ?

Non. Le server-side tracking ne dispense pas du consentement. Le dépôt de cookies first-party à des fins de mesure où de publicité reste soumis au consentement préalable au titre de l’article 82 de la loi Informatique et Libertés. La collecte de données personnelles reste un traitement soumis au RGPD nécessitant une base légale validé. Le server-side tracking offre des avantages réels pour la conformité (filtrage, minimisation, contrôle des transferts), mais il ne supprimé pas l’obligation de recueillir le consentement pour les traçeurs non essentiels.

Peut-on utiliser le server-side tracking pour contourner les bloqueurs de publicité ?

Techniquement, le server-side tracking permet d’envoyer des données vers un endpoint first-party que les bloqueurs de publicité ne detectent pas. Toutefois, utiliser cette capacité pour collecter des données sans consentement validé est illicite. Le contournement du refus de l’utilisateur (exprimé via un bloqueur de publicité ou un refus de cookies) constitue un traitement sans base légale. L’objectif du server-side tracking doit être l’amélioration de la qualité des données pour les utilisateurs ayant consenti, et non le contournement des choix des utilisateurs.

Quel hébergement choisir pour le conteneur serveur ?

Le conteneur serveur doit être hébergé dans l’Espace économique européen pour minimiser les risques lies aux transferts internationaux. Les options recommandées incluent Google Cloud Platform avec localisation européenne (régions europe-west), OVH, Scaleway, ou tout hébergeur européen certifie. Le choix doit prendre en compte la localisation des données, les certifications de sécurité de l’hébergeur, les conditions contractuelles et la capacité à garantir l’absence d’accès par des autorités de pays tiers. Pour les enjeux de retargeting et RGPD, le choix d’hébergement est particulièrement critique car les données de retargeting sont par nature identifiantes.