La raccolta lato server al servizio della conformità

Da allora, come si è mosso il mercato e quali soluzioni sono state adottate?

Nonostante la realtà del rischio giuridico che grava sugli operatori che utilizzano Google Analytics, il mercato non ha ancora abbandonato in modo massiccio questo strumento. A corte-terme, la priorità è consistita in :

• Controllare la raccolta di dati e verificare l'applicazione di tutti i meccanismi di sicurezza esistenti;
• Raccogliere le garanzie supplementari che consentono di rispondere alle obiezioni sulla messa in sicurezza. Si tratta di elencare le protezioni supplementari che consentono di prevenire l'esposizione di dati personali nell'ambito del FISA 702;
• Analizzare gli strumenti analitici alternativi e documentare i piani di migrazione per essere in grado di attivarli rapidamente.

A più lungo termine, la soluzione più stabile è necessariamente regolamentare e si oppone in larga misura a Google Analytics, poiché tutti i controllori o elaboratori di dati personali di nazionalità americana sono potenzialmente interessati (si pensi a Microsoft, Salesforce, Apple...). Il governo americano e la Commissione europea hanno annunciato un accordo di principio su un nuovo quadro normativo, ma questo non dovrà essere finalizzato, al più tardi, per la fine del 2022, e le autorità hanno dichiarato che non c'è stato alcun accordo di legge al riguardo.

È indispensabile un controllo attento delle soluzioni che minimizzano o garantiscono le donazioni personali. Con GA4, Google annuncia alcuni progressi come la soppressione degli indirizzi IP e la riduzione delle altre informazioni raccolte. La CNIL non si è ancora pronunciata su questi annunci, e non è in grado di dire se saranno ritenuti sufficienti.

In quanto azienda presente su Internet, è indispensabile garantire in modo rigoroso il rispetto della vita privata. Ciò passa attraverso il controllo dei dati inviati alle piattaforme, qualunque esse siano. Il controllo è descritto dalla CNIL che cita il principio di "proxification" in un articolo che spiega perché la versione Universal Analytics di Google Analytics non offre garanzie sufficienti. Il dispositivo mira a sopprimere il legame tra i dati raccolti e il navigatore, il che ha un impatto fondamentale sui casi di utilizzo pubblico. I casi d'uso puramente analitici (calcolo degli utenti o delle sessioni, analisi dei percorsi) sono in gran parte realizzabili, poiché gli identificatori identificati (non decifrabili dall'editore della soluzione) rimangono sostanzialmente stabili per ogni utente. È quindi opportuno analizzare il livello di sicurezza adattato in base al proprio contesto.

Forte di questa constatazione, fifty-five ha sviluppato dal febbraio 2022 una proposta tecnica basata sul lato server. Agendo come "tampone" tra i navigatori degli utenti e gli strumenti di misurazione finale, il tracking server-side ridà ai gestori di siti il controllo sui dati raccolti, ad esempio, nel contesto attuale:

• Mascherare l'indirizzo IP degli utenti;
• Chiffare con le chiavi non conosciute dell'editore di soluzioni gli identificativi di cookie e altri identificativi propri del sito (identificativo della transazione, numero di computer CRM...);
• Ridurre al minimo i dati che, collegati a questi identificatori, permettono di isolare una persona, come i numeri di versione del navigatore.

‍

La scelta del fornitore di cloud che offre il servizio "tampone" dipende da diversi fattori:

• Familiarità delle squadre tecniche con le tecnologie adiacenti;
• Livello di garanzia fornito dagli editori rispetto alla FISA ;
• Tecniche di misurazione che consentono un controllo totale ed esclusivo dei dati di bilancio.

Abbiamo realizzato impianti di riferimento facilmente attivabili per i principali fornitori (GCP, AWS, Azure e OVH). Questi ultimi sono americani, ma le garanzie di localizzazione dei tracciati e dei dati sono contrattuali. Illustriamo l'approccio tecnico e le specificità di ciascun cloud per questo tipo di progetto in uno dei prossimi articoli Tea House.

‍Zoom : lato server e chiffrement al servizio della conformità

Per quanto riguarda il caso specifico di Google Analytics 4, l'approccio migliore è l'attivazione delle funzioni privacy native di Google Analytics 4 (vedi qui). Secondo noi, l'aggiunta di un'infrastruttura lato server è indispensabile per controllare in modo completo i trasferimenti di dati personali nel tempo. Un'infrastruttura di questo tipo offre inoltre vantaggi in termini di sicurezza e di esperienza d'uso (si veda il nostro webinar sul tema con Commanders Act). Gli impatti del lato server sull'efficienza pubblicitaria devono essere presi in considerazione per pianificare una transizione senza ostacoli verso un mondo senza cookie.

Se le recenti decisioni della CNIL perturbano fortemente la raccolta di dati analitici di prima parte tramite strumenti americani, secondo noi esistono soluzioni per la stabilizzazione. Non è il caso di agitarsi, il pan del marketing a rischio è sempre quello delle donazioni di terze parti, e il futuro è irrimediabilmente orientato verso l'abbandono di questi tracciatori universali, troppo sensibili, a vantaggio di coorti o "argomenti" accoppiati alla modelizzazione. Il rapporto sulla fine dei cookie tiers sur Chrome al 2024, oltre a permettere all'industria pubblicitaria di prepararsi meglio, ha l'inconveniente di far perdere ancora questi scambi transatlantici di dati personali pubblici, e il rischio giuridico che ne deriva. La situazione attuale non è altro che una transizione verso un marketing digitale più rispettoso dei dati degli utenti.