← Accueil
📖

Dictionnaire des Traceurs & RGPD

Ce guide décrypte en toute transparence le fonctionnement des technologies de suivi en ligne (cookies, scripts tiers, pistage côté serveur) et clarifie la réglementation en vigueur (RGPD, exigences de la CNIL). Chaque notion est contextualisée selon la zone où elle apparaît dans Impact Trackers.

Sommaire

🔍 Zone Trackers⚡ Zone Performance🌱 Zone Éco-conception🕵️ Tracking Serveur⚖️ RGPD & Badges👤 Données personnelles🍪 Cookies🌐 Cross-site Tracking✅ Exemptions CNIL🤖 Blocages de Scraping📝 Abréviations
🔍

Zone Trackers — Traceurs & Trackers

📍 Affiché dans : onglet Trackers de la page de résultats

Un traceur (ou tracker) est un script logiciel intégré dans une page web par l'éditeur du site pour analyser votre comportement ou diffuser des publicités ciblées. Ils sont généralement hébergés sur des serveurs tiers et se lancent automatiquement au chargement de la page.

Les catégories de traceurs :

  • Analytics (Mesure d'audience) : Outils d'analyse de trafic — pages vues, durée de visite, provenance des visiteurs.
    Exemple : Google Analytics, Piano Analytics, Matomo.
  • Advertising (Publicité) : Scripts publicitaires qui collectent vos centres d'intérêt pour vous afficher des publicités ciblées en temps réel.
    Exemple : Meta Pixel (Facebook), Google Ads, Criteo.
  • Session Recording (Comportemental) : Enregistrent les mouvements de souris, clics et scrolls pour recréer une vidéo de votre visite ou générer des cartes de chaleur (heatmaps).
    Exemple : Hotjar, Microsoft Clarity, Contentsquare.
  • Product Analytics : Analysent les interactions dans une application web (fonctionnalités utilisées, parcours, A/B tests).
    Exemple : Mixpanel, Amplitude, PostHog.
  • CMP (Consent Management Platform) : Gèrent l'apparition du bandeau cookies et stockent vos choix de consentement. Leur présence est généralement positive.
    Exemple : Didomi, Axeptio, OneTrust, Cookiebot.
  • Tag Manager (Gestionnaire de balises) : Conteneurs de scripts qui facilitent l'intégration dynamique d'autres trackers sans modifier le code source.
    Exemple : Google Tag Manager (GTM).

Statut de consentement d'un tracker :

⚠️ Pré-consentement

Le tracker s'est chargé avant que l'utilisateur ait cliqué sur "Accepter" dans le bandeau cookies. C'est une violation du RGPD si le tracker est intrusif.

✅ Post-consentement

Le tracker ne s'est chargé qu'après le clic d'acceptation. C'est le comportement conforme attendu.

🔵 Exempté CNIL

L'outil bénéficie de l'exemption de consentement accordée par la CNIL car il respecte toutes les conditions strictes (pas de cross-site, pas de partage d'ID).

Zone Performance

📍 Affiché dans : onglet Performance & carte de chaque tracker

Les trackers tiers ont un impact direct sur la vitesse de chargement de votre site. Impact Trackers mesure et simule cet impact pour chaque outil détecté.

Métriques mesurées :

  • Main Thread (ms) : Temps occupé par le fil d'exécution principal du navigateur pour exécuter le script du tracker. Un temps supérieur à 50 ms bloque le rendu visuel de la page et génère une Long Task selon les Web Vitals.
  • GPU (%) : Pourcentage estimé de ressources GPU consommées par le tracker (animations, surveillance du DOM, rendu de publicités). Un score élevé peut faire chuter les 60 images/seconde d'une page fluide.
  • INP — Interaction to Next Paint : Mesure le délai entre une action de l'utilisateur (clic, frappe) et la prochaine mise à jour visuelle. C'est l'une des trois métriques Core Web Vitals depuis mars 2024. Si un tracker monopolise le Main Thread, il augmente directement l'INP et dégrade l'expérience utilisateur.
    Seuil : ≤ 200 ms = Bon | 200–500 ms = À améliorer | > 500 ms = Mauvais

Total Main Thread (vue globale) :

Impact Trackers additionne le Main Thread de tous les trackers détectés pour donner un temps total cumulé. Ce chiffre représente la dette de performance directement imputable aux trackers tiers sur votre page.

💡 Exemple concret : Si un tracker comme Hotjar monopolise 210 ms du Main Thread et que Meta Pixel en prend 180 ms, l'INP de votre page sera dégradé de plusieurs centaines de millisecondes, ce qui est perceptible par l'utilisateur et pénalise le score Google.
🌱

Zone Éco-conception & Empreinte Carbone

📍 Affiché dans : section Éco-conception de la page de résultats

Chaque requête réseau, chaque kilooctet transféré et chaque nœud DOM ajouté par un tracker consomme de l'énergie. Impact Trackers calcule l'impact environnemental des trackers sur votre page à l'aide du référentiel officiel EcoIndex.

Métriques EcoIndex :

  • Score EcoIndex (0–100) : Score calculé à partir de trois paramètres — nombre de nœuds DOM, nombre de requêtes HTTP et poids total de la page. Plus le score est élevé, plus la page est sobre. Une note de A à G est attribuée (comme un diagnostic énergétique).
  • GES (gCO₂e) : Grammes d'équivalent CO₂ émis par visite de la page. Calculé par la formule officielle EcoIndex.
  • Eau (cl) : Centilitres d'eau consommés par visite, autre indicateur environnemental de la formule EcoIndex.
  • EcoIndex Global vs. EcoIndex Propre : Impact Trackers calcule deux scores — l'état réel de la page (avec tous ses trackers) et l'état hypothétique sans trackers. La différence de score est le gain EcoIndex que vous obtiendriez en supprimant les trackers.
  • Points perdus EcoIndex : Estimation numérique directe de la dégradation du score EcoIndex causée par l'ensemble des trackers. Calculé via : 0.3 × requêtes + 0.3 × (poids_ko/100) + 0.4 × (nœuds_dom/100).
  • Sobriété : Indicateur qualitatif (Élevée, Moyenne, Faible) reflétant la légèreté d'un tracker vis-à-vis du réseau et du CPU.
💡 L'éco-conception est gérée séparément de la performance. La performance mesure l'impact côté CPU/rendu navigateur (Main Thread, INP), tandis que l'éco-conception mesure l'impact réseau et énergétique global (poids transféré, nombre de requêtes, émissions CO₂).
🕵️

Tracking Côté Serveur (Server-Side)

📍 Affiché dans : section Tracking Serveur de la page de résultats

Le tracking côté serveur est une technique où la collecte de données ne s'effectue plus via un script dans le navigateur de l'utilisateur, mais directement sur les serveurs du site web. Les données sont collectées et transmises aux outils analytics depuis le serveur, sans que le navigateur ne charge de script tiers visible.

Pourquoi est-ce préoccupant ?

  • Il contourne les bloqueurs de publicités et d'extensions (uBlock Origin, Privacy Badger) qui ne voient jamais les requêtes côté serveur.
  • Il contourne les protections ITP/ETP (Intelligent Tracking Prevention de Safari, Enhanced Tracking Protection de Firefox).
  • Il est plus difficile à détecter et à auditer pour l'utilisateur.

Techniques détectées par Impact Trackers :

  • CNAME Cloaking : Un sous-domaine du site (ex: analytics.monsite.fr) est configuré comme un alias DNS vers un serveur de tracking tiers. Le navigateur croit qu'il parle au site lui-même.
  • GTM Server-Side (sGTM) : Une version de Google Tag Manager hébergée sur les propres serveurs du site ou via Stape. Les scripts s'exécutent côté serveur et envoient des hits GA ou autres sans script visible.
  • Measurement Protocol : API de Google Analytics permettant d'envoyer des hits directement depuis un serveur (paramètres tid=, cid=, v=1) sans aucun code JavaScript.

Niveau de confiance :

🟡 Faible (Low)

Score de confiance entre 1 et 34. Un ou deux signaux faibles détectés (ex: un endpoint /collect sur le domaine propre).

🟠 Moyen (Medium)

Score entre 35 et 64. Plusieurs signaux combinés (ex: CNAME + Measurement Protocol).

🔴 Élevé (High)

Score ≥ 65. Configuration sGTM confirmée ou CNAME cloaking clairement identifié.

⚖️

RGPD — Badges & Niveaux de Risque

📍 Affiché dans : badge coloré sur chaque tracker dans la liste des résultats

Le RGPD (Règlement Général sur la Protection des Données, en anglais GDPR — General Data Protection Regulation) est un règlement européen (UE 2016/679) entré en vigueur le 25 mai 2018. Il régit la collecte, le traitement et le stockage des données personnelles des résidents européens. Tout tracker qui collecte des données personnelles sans consentement préalable est en infraction avec le RGPD.

⚠️ Note sur la notation : Dans le code, vous verrez parfois RGPD (terme français) et parfois ! RGPD dans les messages d'interface. Le point d'exclamation (!) est une convention visuelle utilisée dans certains badges pour indiquer une alerte ou une violation RGPD active (ex : tracker chargé avant consentement). RGPD seul désigne simplement la réglementation. Ce n'est pas une faute — les deux formes sont intentionnelles.

Définition des niveaux de risque :

🚨Très élevé — very_high

Trackers qui collectent massivement des données personnelles sensibles, effectuent un suivi inter-sites (cross-site tracking) par nature, ou peuvent transmettre des données à des pays tiers sans garanties adéquates (ex : ByteDance/Chine pour TikTok).

Exemples : Meta Pixel, TikTok Pixel

Pénalité au score : −20 points par tracker (max −60)

🔴Élevé — high

Trackers qui collectent des données personnelles (adresse IP, identifiant unique, profil comportemental) et les envoient vers des serveurs situés hors de l'UE (principalement États-Unis), sans que l'exemption CNIL ne s'applique.

Exemples : Google Analytics, Google Ads, Microsoft Clarity, Adobe Analytics, Hotjar, Criteo, LinkedIn Insight Tag

Pénalité au score : −10 points par tracker (max −40)

🟠Moyen — medium

Trackers qui collectent des données personnelles limitées (IP, session ID) ou dont les données restent au sein de l'UE avec des garanties partielles. Peuvent nécessiter un consentement selon leur configuration.

Exemples : Google Tag Manager, Piano Analytics, Matomo Cloud, Marfeel, Mixpanel, Amplitude, Chartbeat

Pénalité au score : −5 points par tracker (max −20)

🟡Faible — low

Trackers qui collectent très peu de données personnelles (souvent uniquement l'IP à des fins techniques, immédiatement anonymisée), hébergés en Europe, et souvent éligibles à l'exemption CNIL. Leur présence n'est pas problématique si correctement configurés.

Exemples : Wysistat, Matomo Self-Hosted, Piwik PRO, Abla Analytics, Vercel Analytics, et tous les outils certifiés CNIL

Pénalité au score : 0 point

🟢Aucun — none

Trackers qui ne collectent aucune donnée personnelle par conception (privacy-by-design). Aucun cookie déposé, aucun identifiant généré, conformité RGPD native.

Exemples : Simple Analytics, Plausible, Umami

Pénalité au score : 0 point

👤

Données Personnelles Collectées

📍 Affiché dans : section Données Personnelles & dans le détail de chaque tracker

Voici la liste complète des types de données personnelles qui peuvent être collectées par les trackers, avec leur tag interne (tel qu'utilisé dans le code de Impact Trackers) et leur explication.

ip_addressRisque élevé

Adresse IP : Identifiant réseau unique de votre connexion Internet, attribué par votre fournisseur d'accès (FAI). Elle permet de vous géolocaliser précisément (ville, région, pays), d'identifier votre FAI et peut être utilisée pour reconstituer votre navigation. C'est une donnée personnelle à part entière selon le RGPD. Elle est systématiquement transmise lors de toute connexion à un serveur tiers.

unique_client_idRisque élevé

Identifiant Unique Client (Client ID / Cookie ID) : Chaîne de caractères générée aléatoirement (ex: GA1.2.14820549.17799) stockée dans un cookie ou en LocalStorage. Il vous distingue de manière unique de tous les autres internautes et permet de relier toutes vos visites sur un même site au fil du temps. C'est la donnée centrale du profilage.

session_idRisque moyen

Identifiant de Session : Identifiant temporaire qui regroupe toutes les actions (clics, pages vues, durée) d'une même visite. Il expire généralement après 30 minutes d'inactivité. Contrairement au Client ID, il ne persiste pas entre les sessions.

behavioral_profileRisque élevé

Profil Comportemental : Ensemble des actions enregistrées — historique des clics, pages visitées, temps passé sur chaque section, paniers abandonnés, liens sortants cliqués. Ces données agrégées constituent un profil détaillé de vos intentions et centres d'intérêt.

session_recordingRisque très élevé

Enregistrement de Session : Capture vidéo complète de votre session de navigation, incluant tous vos mouvements de souris, ce que vous avez tapé dans des champs (parfois y compris des données sensibles comme des mots de passe ou des informations bancaires si le masquage n'est pas activé), et vos clics. Extrêmement intrusif.

mouse_movementsRisque élevé

Mouvements de Souris : Trajectoire exacte du curseur en temps réel, permettant de déduire où vous portez votre attention sur la page (zones d'intérêt, hésitations). Utilisé pour générer des heatmaps.

cross_site_trackingRisque très élevé

Suivi Inter-sites (Cross-site Tracking) : Capacité d'un tracker à vous identifier et suivre sur plusieurs sites web différents via un identifiant partagé. Permet de reconstituer votre historique de navigation complet sur Internet.

purchase_dataRisque élevé

Données d'Achat : Informations sur les transactions effectuées (produits achetés, montants, fréquence d'achat). Données très sensibles utilisées pour le reciblage publicitaire (ex: vous montrer des chaussures que vous avez consultées).

facebook_idRisque très élevé

Identifiant Facebook : Permet à Meta de relier votre navigation sur le site à votre profil Facebook/Instagram si vous êtes connecté. Croisement de données particulièrement intrusif.

linkedin_idRisque élevé

Identifiant LinkedIn : Permet à LinkedIn de relier votre visite à votre profil professionnel LinkedIn, notamment pour cibler des publicités B2B.

email_hashedRisque élevé

Email Haché : Votre adresse email transformée par un algorithme de hachage (MD5, SHA-256). Bien que non lisible directement, elle permet des correspondances entre bases de données de différents acteurs publicitaires (customer matching).

meta_dataRisque faible

Métadonnées Techniques : Informations standard envoyées automatiquement par le navigateur — résolution d'écran, langue, fuseau horaire, version du système d'exploitation et du navigateur. Seules, ces données sont peu sensibles, mais combinées elles forment une empreinte digitale (fingerprint).

🍪

Cookies Web

📍 Affiché dans : onglet Cookies de la page de résultats

Un cookie est un petit fichier texte stocké par votre navigateur sur votre ordinateur à la demande d'un site internet. Il permet au site de se souvenir de vous d'une page à l'autre ou d'une visite à l'autre.

Concepts essentiels :

  • Cookie First-Party (Interne) : Déposé directement par le domaine du site que vous visitez. Utile pour la session de connexion ou le panier d'achat. Moins intrusif par nature.
  • Cookie Third-Party (Tiers) : Déposé par un domaine externe (serveur de pub ou outil d'analytics tiers). Principal outil de suivi inter-sites. La plupart des navigateurs modernes les bloquent désormais par défaut.
  • Durée de vie (Expiration) : La CNIL recommande une durée maximale de 13 mois pour les cookies nécessitant un consentement. Impact Trackers calcule et affiche automatiquement cette durée pour chaque cookie détecté.
  • Attributs de sécurité :
    • HttpOnly : Empêche JavaScript d'accéder au cookie (protection contre le vol XSS).
    • Secure : Force la transmission uniquement via HTTPS chiffré.
    • SameSite : Restreint l'envoi du cookie lors de requêtes intersites (protection CSRF).
🌐

Cross-site Tracking (Suivi multi-site)

📍 Affiché dans : badge cross_site_tracking sur un tracker ou un cookie

Le suivi multi-site est la capacité d'une régie publicitaire ou d'un réseau d'analyse à vous suivre sur plusieurs sites internet totalement différents grâce à un identifiant commun.

💡 Exemple concret : Vous visitez un site de vente de chaussures qui utilise le Meta Pixel, puis un site de voyage qui l'utilise aussi. Meta sait que vous avez visité ces deux sites et peut croiser ces informations pour vous afficher des publicités de chaussures de randonnée sur Instagram.

Cross-site ID Sharing (Partage d'identifiants) :

Technique de contournement des blocages de cookies tiers où les scripts de différents éditeurs s'échangent mutuellement des clés d'identification uniques. Impact Trackers détecte ce partage en comparant les identifiants clients extraits des requêtes réseau de chaque tracker.

Exemptions de Consentement CNIL

📍 Affiché dans : badge 🔵 Exempté sur un tracker dans les résultats

En France, la CNIL (Commission Nationale de l'Informatique et des Libertés) a accepté que certains outils de mesure d'audience soient exemptés du recueil préalable du consentement, sous des conditions très strictes.

Conditions obligatoires pour bénéficier de l'exemption :

  • L'outil doit servir exclusivement à mesurer l'audience pour le compte de l'éditeur du site (pas de revente de données).
  • Il ne doit pas effectuer de suivi multi-site (pas de cross-site tracking).
  • Il ne doit pas partager d'identifiants avec d'autres services tiers.
  • L'adresse IP des visiteurs doit être anonymisée (tronquée).
  • L'outil doit figurer dans la liste officielle des outils reconnus par la CNIL.

Principaux outils éligibles (liste CNIL) :

Wysistat, Piano Analytics (AT Internet), SmartProfile, Piwik PRO, Abla Analytics, Matomo Analytics, Wizaly, Commanders Act, BEYABLE, etracker, Retency, Nonli, Eulerian, Thank-You Analytics, eStat Streaming (Médiamétrie), NPAW Suite...

Impact Trackers vérifie en temps réel les conditions d'exemption (pas de cross-site, pas de partage d'ID). Si toutes les conditions sont remplies, le tracker est labellisé 🔵 Exempté et ne pénalise pas le score de confidentialité.

🤖

Blocages de Scraping & Éthique

📍 Affiché dans : bannière d'avertissement en haut des résultats si le site bloque l'analyse

Certains sites web choisissent de bloquer les visites par des programmes automatisés. Ce blocage peut s'effectuer de deux manières :

  • Blocage Légal (robots.txt) : Le fichier à la racine du domaine contient une directive interdisant le scraping (ex : User-agent: * — Disallow: /). Impact Trackers respecte ce choix et n'affiche pas les résultats d'analyse (pour éviter des données erronées).
  • Blocage Technique (WAF) : Le site utilise un pare-feu applicatif (Cloudflare, Imperva, Sucuri) ou un système de Captcha pour bloquer les requêtes automatiques.

Impact Trackers propose un bouton "Tester quand même" pour les sites bloqués par robots.txt uniquement (avec avertissement éthique), mais ne cherche jamais à contourner les protections techniques.

📝

Abréviations & Termes Techniques

📍 Utilisés partout dans l'interface Impact Trackers
RGPD
Règlement Général sur la Protection des Données — Réglementation européenne (UE 2016/679) sur la protection des données personnelles. En anglais : GDPR (General Data Protection Regulation).
CNIL
Commission Nationale de l'Informatique et des Libertés — Autorité française de protection des données, équivalente de toutes les DPA (Data Protection Authorities) nationales.
INP
Interaction to Next Paint — Métrique Core Web Vitals (Google) qui mesure la réactivité d'une page web. C'est le délai entre un clic ou une frappe clavier et la prochaine mise à jour visuelle visible. Remplace FID depuis mars 2024. Un INP élevé est souvent causé par des scripts tiers bloquant le Main Thread.
CWV
Core Web Vitals — Les trois métriques de qualité d'expérience utilisateur de Google : LCP (Largest Contentful Paint — vitesse d'affichage), INP (réactivité), CLS (Cumulative Layout Shift — stabilité visuelle). Ces métriques impactent le référencement SEO.
GTM
Google Tag Manager — Gestionnaire de balises Google, permettant d'injecter dynamiquement des scripts tiers sans modifier le code source du site.
sGTM
Server-side Google Tag Manager — Version de GTM hébergée sur le serveur du site lui-même. Les tags s'exécutent côté serveur, contournant les bloqueurs de publicités côté navigateur.
GA / GA4
Google Analytics (version 4) — Outil d'analytics de Google. "G-XXXXXXXX" est l'identifiant d'une propriété GA4, "UA-XXXXXXXX" était celui de l'ancienne Universal Analytics (UA, abandonné en 2023).
CMP
Consent Management Platform — Plateforme de gestion du consentement. Outil qui affiche le bandeau cookies, collecte les choix des utilisateurs et bloque/débloque les trackers en conséquence.
CDN
Content Delivery Network — Réseau de serveurs distribués géographiquement. Les trackers utilisent souvent des CDN pour charger leurs scripts plus rapidement depuis un serveur proche de l'utilisateur.
WAF
Web Application Firewall — Pare-feu applicatif web qui protège les sites des attaques et peut bloquer les robots d'analyse automatique (Cloudflare, Imperva, Sucuri).
DSP
Demand-Side Platform — Plateforme d'achat automatisé d'espaces publicitaires en temps réel (RTB — Real Time Bidding). Exemple : The Trade Desk.
ITP / ETP
Intelligent Tracking Prevention (Safari) / Enhanced Tracking Protection (Firefox) — Mécanismes de protection anti-tracking intégrés dans les navigateurs Apple Safari et Mozilla Firefox.
EcoIndex
Standard de mesure de l'empreinte environnementale des pages web, développé par le Collectif GreenIT. Calcule un score (A à G) basé sur le nombre de nœuds DOM, les requêtes HTTP et le poids de la page.
GES
Gaz à Effet de Serre — Exprimé en grammes d'équivalent CO₂ (gCO₂e) par visite de page dans le contexte EcoIndex.
SSE
Server-Sent Events — Protocole web permettant au serveur d'envoyer des mises à jour en temps réel au navigateur (utilisé par Impact Trackers pour la progression de l'analyse).
DOM
Document Object Model — Représentation en mémoire de la structure HTML d'une page. Les trackers qui injectent de nombreux éléments dans le DOM alourdissent le rendu de la page.